Organisationen, die unter NIS2 fallen, müssen bestimmte Sicherheitsvorfälle an die Aufsichtsbehörde melden. Wir erklären den Entscheidungsprozess vom Eintreten eines Sicherheitsereignisses über die Einstufung dessen bis hin zu den sich ergebenden Meldepflichten.
Welche Meldepflichten enthält die NIS2-Richtlinie?
Die europäische NIS2-Richtlinie (in Deutschland umgesetzt durch das NIS2-Umsetzungsgesetz mit Änderungen des BSI-Gesetzes), schreibt vor, dass „wichtige“ und „besonders wichtige“ Einrichtungen ihren Computer-Sicherheits-Incident-Response-Teams (CSIRTs) oder gegebenenfalls ihrer zuständigen Behörde unverzüglich jeden Vorfall melden müssen, der erhebliche Auswirkungen auf die Erbringung ihrer Dienste hat (erheblicher Sicherheitsvorfall).
Gegebenenfalls müssen die Einrichtungen zudem die Empfänger ihrer Dienste unverzüglich über erhebliche Sicherheitsvorfälle informieren, die sich voraussichtlich nachteilig auf die Erbringung dieser Dienste auswirken.
Allerdings stellt nicht jedes Sicherheitsereignis einen solchen meldepflichtigen Vorfall dar. Die folgenden Erklärungen helfen Ihnen, Ereignisse korrekt einzuschätzen und daraus die richtigen Schlüsse zu ziehen.
Welche Vorfälle müssen unter NIS2 gemeldet werden?
Grundsätzlich müssen unter der NIS2-Richtlinie und somit unter dem BSI-Gesetz erhebliche Sicherheitsvorfälle gemeldet werden. Ein Vorfall gilt gemäß BSI-Gesetz als erheblich, wenn er:
- entweder schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat bzw. verursachen kann oder
- andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat bzw. beeinträchtigen kann.
Nach derzeitiger Auslegung des Bundesamt für Sicherheit in der Informationstechnik (BSI) ist „der in der Definition des erheblichen Sicherheitsvorfalls genannte potentielle Charakter insofern zu verstehen, dass […] die dargestellten Auswirkungen realistischerweise eintreten könnte[n] bzw. konkret mit dem Eintritt der Auswirkungen gerechnet werden kann“. Eine unbegründete Befürchtung reicht somit nicht aus.
Kriterien für erhebliche Vorfälle
Das BSI konkretisiert diese Definition, indem es darauf hinweist, dass Einrichtungen einen Vorfall als erheblich betrachten können, wenn mindestens eines der Kriterien, welche für Anbieter Digitaler Infrastrukturen und Anbieter digitaler Dienste gelten, erfüllt ist. Die Kriterien und die Definition des erheblichen Sicherheitsvorfalls von lassen sich am einfachsten Aufteilung und verstehen anhand ihrer möglichen Auswirkungen:
Auswirkungen auf die betreffende Einrichtung:
- der Vorfall hat einen direkten finanziellen Verlust für die betreffende Stelle verursacht oder kann einen solchen verursachen, der 500.000 Euro oder 5 % des Gesamtjahresumsatzes der betreffenden Einrichtung im vorangegangenen Geschäftsjahr übersteigt, je nachdem, welcher Betrag niedriger ist;
- Der Vorfall hat zur Exfiltration von Geschäftsgeheimnissen im Sinne von Artikel 2 Nummer 1 der Richtlinie (EU) 2016/943 geführt oder kann dazu führen;
- Es kam zu einem erfolgreichen, mutmaßlich böswilligen und unbefugten Zugriff auf Netz- und Informationssysteme, der zu einer schwerwiegenden Betriebsstörung führen kann;
- Vorfälle, die für sich genommen nicht als erheblicher Vorfall gelten, sind gemeinsam als ein erheblicher Vorfall zu betrachten, wenn sie alle folgenden Kriterien erfüllen:
- sie sind innerhalb von sechs Monaten mindestens zweimal aufgetreten;
- sie haben dieselbe offensichtliche Ursache;
- sie haben zusammen einen direkten finanziellen Verlust für die betroffene Einrichtung verursacht oder können einen solchen verursachen, der 500.000 Euro oder 5 % des Gesamtjahresumsatzes der betroffenen Einrichtung im vorangegangenen Geschäftsjahr übersteigt, je nachdem, welcher Betrag niedriger ist.
Auswirkungen auf Dritte
- Der Vorfall hat den Tod einer natürlichen Person verursacht oder kann diesen verursachen;
- Der Vorfall hat erhebliche Gesundheitsschäden bei einer natürlichen Person verursacht oder kann solche verursachen;
- Der Vorfall hat erhebliche Vermögensschäden bei Dritten (z.B. Kunden, Lieferanten, Partner, egal ob natürliche oder juristische Personen) verursacht oder kann diesen verursachen;
- Der Vorfall hat erhebliche Verletzungen des Persönlichkeitsrechts, Rufschädigungen oder Vertrauensverluste bei Dritten (z.B. Kunden, Lieferanten, Partner, egal ob natürliche oder juristische Personen) verursacht oder kann diesen verursachen.
Konkretisierung durch europäische Vorgaben
Die Definition im BSI-Gesetz korrespondiert mit der Definition in der NIS2-Richtlinie. Sie nennt zur Bewertung der Erheblichkeit insbesondere folgende Parameter:
- Die betroffenen Netz- und Informationssysteme und insbesondere deren Bedeutung für die Erbringung der Dienste der Einrichtung;
- Die Schwere der Cyberbedrohung;
- Die technischen Merkmale der Cyberbedrohung;
- Alle zugrunde liegenden Schwachstellen, die ausgenutzt werden;
- Die Erfahrungen der Einrichtung mit ähnlichen Vorfällen;
- Das Ausmaß, in dem das Funktionieren des Dienstes beeinträchtigt wird;
- Die Dauer eines Sicherheitsvorfalls;
- Die Zahl der betroffenen Nutzer von Diensten.
Das BSI weist darauf hin, dass die Definition des erheblichen Sicherheitsvorfalls zukünftig durch eine Rechtsverordnung des Bundeministerium des Inneren konkretisiert werden kann.
Hinweis: Diese Definition von erheblichen Sicherheitsvorfällen gilt nicht für Anbieter Digitaler Infrastrukturen und Anbieter digitaler Dienste, sprich für DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter. Für diese Einrichtungen gelten die Definitionen gemäß der Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024.
Gleichzeitige Verstöße gegen die DSGVO
Gemäß Datenschutz-Grundverordnung (DSGVO) bedeutet eine „Verletzung des Schutzes personenbezogener Daten“ (Datenschutzvorfall) eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Das Hauptkriterium ist, dass personenbezogene Daten betroffen sein müssen und einer oder mehrere der folgenden Grundsätze verletzt worden sein müssen: die Integrität, Vertraulichkeit und/oder Verfügbarkeit personenbezogener Daten.
Ein erheblicher Sicherheitsvorfall gemäß NIS2, der (auch) personenbezogene Daten betrifft, wird aller Wahrscheinlichkeit nach auch als meldepflichtiger Verstoß gegen den Datenschutz im Sinne der DSGVO angesehen. Meldepflichtige Datenschutzverstöße müssen innerhalb von 72 Stunden gemeldet werden.
Tipp: Lesen Sie dazu unsere Ratgeber zur Meldung von Datenschutzvorfällen an Aufsichtsbehörden sowie zum Umgang mit Datenschutzvorfällen allgemein.
Sind beim erheblichen Sicherheitsvorfall keine personenbezogenen Daten betroffen, entstehen keine Verpflichtungen gemäß der DSGVO.
An wen müssen NIS2-relevante Vorfälle gemeldet werden?
Meldung an CSIRT
Vorfälle müssen gemäß NIS2-Richtlinie sogenannten Computer-Sicherheits-Incident-Response-Teams (CSIRT) oder zuständigen Behörden gemeldet werden. CSIRTs sind für die Bewältigung von Sicherheitsvorfällen verantwortlich und nehmen am im Rahmen der NIS2-Richtlinie eingerichteten CSIRT-Netzwerk teil. Das BSI übernimmt die CSIRT-Rolle in Deutschland.
Sofern die Meldepflicht gemäß BSIG greift, muss somit das BSI in Deutschland unverzüglich informiert werden. Die Meldepflicht gemäß BSIG beschränkt sich (wie oben diskutiert) auf besonders wichtige Einrichtungen und wichtige Einrichtungen mit Sitz in Deutschland.
In Deutschland hat das BSI zwei Wege geschaffen, über die Organisationen, die unter NIS2 fallen, erhebliche Sicherheitsvorfälle melden können:
- Bereits registrierte Einrichtungen nutzen dafür das BSI-Portal
- Für noch nicht registrierte Einrichtungen steht ein Online-Formular im Melde- und Informationsportal (MIP) zur Verfügung.
Achtung: Unternehmen müssen selbst prüfen, ob in anderen Staaten weitere Meldepflichten bestehen. Eine Meldung an das BSI erfüllt nicht automatisch alle Meldepflichten in anderen Staaten. Eine Meldung an das BSI erfüllt auch nicht Meldepflichten welche potenziell gemäß DSGVO oder BDSG greifen.
Meldung an Empfänger von Diensten
Gemäß NIS2-Richtlinie müssen die Einrichtungen gegeben falls zudem die Empfänger ihrer Dienste unverzüglich über erhebliche Sicherheitsvorfälle informieren, die sich voraussichtlich nachteilig auf die Erbringung dieser Dienste auswirken.
In Deutschland besteht gemäß BSI-Gesetz keine direkte Pflicht, die Empfänger immer über erhebliche Sicherheitsvorfälle zu informieren. Stattdessen kann das BSI gegenüber besonders wichtigen und wichtigen Einrichtungen anordnen, die Empfänger ihrer Dienste unverzüglich über einen erheblichen Sicherheitsvorfall zu unterrichten, der die Erbringung des jeweiligen Dienstes beeinträchtigen könnte. Das BSI setzt die für die Einrichtung zuständige Aufsichtsbehörde des Bundes über solche Anweisungen in Kenntnis, die Aufsichtsbehörde wendet sich dann an die Einrichtung mit der Anordnung des BSI. Die Unterrichtung der Empfänger kann dann durch eine Veröffentlichung auf der Internetseite der Einrichtung erfolgen.
Hinweis: Dies ist nicht zu verwechseln mit der Pflicht von bestimmten Einrichtungen aus den Sektoren Finanzwesen, Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende, digitale Infrastruktur, Verwaltung von IKT-Diensten und Digitale Dienste, potenziell betroffene Empfänger ihrer Dienste über erhebliche Cyberbedrohung zu informieren.
Was muss unter NIS2 wann gemeldet werden?
Ein erheblicher Sicherheitsvorfall gemäß Art. § 35 BSIG oder Art. 23 NIS2-Richtlinie muss unverzüglich nach Kenntniserlangung gemeldet werden. Daran schließen sich diverse Folgemeldungen sowie eine abschließende Meldung an.
Achtung: „Kenntniserlangung“ bezieht sich auf den Zeitpunkt, zu dem ein Mitarbeiter der Einrichtung (während der Arbeitszeit) von einem erheblichen Sicherheitsvorfall Kenntnis erlangt.
Frühe Erstmeldung (max. 24h)
Eine frühe Erstmeldung muss unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung eines erheblichen Sicherheitsvorfall übermittelt werden. In der Erstmeldung ist gegebenenfalls anzugeben, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde oder grenzüberschreitende Auswirkungen haben könnte.
Folgemeldung (max. 72h)
Unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung eines erheblichen Sicherheitsvorfalls, ist eine Folgemeldung einzureichen, welche die in der Erstmeldung genannten Informationen bestätigt oder aktualisiert. Die Folgemeldung muss eine erste Bewertung des erheblichen Sicherheitsvorfalls enthalten, einschließlich seiner Schwere und seiner Auswirkungen sowie etwaiger Anzeichen für eine Kompromittierung.
Zwischenbericht / Statusaktualisierung
Auf Ersuchen des BSI in Deutschland bzw. der zuständigen Behörde im jeweiligen EU-Staat muss unter Umständen ein Zwischenbericht über relevante Statusaktualisierungen vorgelegt werden.
Abschlussmeldung (max. ein Monat)
Spätestens einen Monat nach Einreichung der Meldung zum erheblichen Sicherheitsvorfall muss eine Abschlussmeldung mit folgenden Inhalten vorgelegt werden:
- eine detaillierte Beschreibung des erheblichen Sicherheitsvorfalls, einschließlich seiner Schwere und seiner Auswirkungen;
- Informationen über die Art der Bedrohung oder deren zugrunde liegende Ursache, die den erheblichen Sicherheitsvorfall wahrscheinlich ausgelöst hat;
- Einzelheiten zu den ergriffenen und den derzeit laufenden Abhilfemaßnahmen;
- gegebenenfalls die grenzüberschreitenden Auswirkungen des erheblichen Sicherheitsvorfalls.
In Deutschland legt das BSI fest, dass insbesondere bei Erstmeldungen der Schwerpunkt auf einer vorläufigen Einschätzung liegt – eine frühzeitige Meldung wird ausdrücklich empfohlen, auch wenn zum Zeitpunkt der Einreichung noch Unsicherheiten bestehen. Generell hat Schnelligkeit Vorrang vor Vollständigkeit. Nachträgliche Berichte und Korrekturen können jederzeit erfolgen und sind im dreistufigen Meldeprozess ausdrücklich vorgesehen.
Wer sollte die Meldung des Vorfalls vornehmen?
Vom Gesetz her kann jeder Mitarbeiter eine Meldung einreichen. Es obliegt den Organisationen, dies intern zu regeln. Innerhalb einer Einrichtung können mehrere Mitarbeiter dazu befugt sein. Für diese Mitarbeiter muss ein Zugang zum BSI-Portal für registrierte Einrichtungen eingerichtet werden.
Die Einrichtung kann auch Unternehmen oder Dienstleister bevollmächtigen, Meldungen in ihrem Namen einzureichen. In solchen Fällen verbleibt die Verantwortung für den Vorfall und den Inhalt der Meldung jedoch bei der betroffenen Einrichtung.
Da das BSI oder die zuständige Behörde möglicherweise weitere Fragen zum Vorfall hat, ist es sinnvoll, dass die Person, die die Meldung einreicht, auch die in der Meldung angegebene Kontaktperson ist.
Unsere Empfehlung: Diese Kontaktperson muss über die erforderlichen Fähigkeiten und Kenntnisse verfügen, um den Vorfall zu bewältigen und mit dem BSI zu kommunizieren. Sie sollte auch außerhalb der normalen Geschäftszeiten für weitere Kontakte durch das BSI erreichbar sein.
Wie wird die Nichteinhaltung der Meldepflichten sanktioniert?
Die vorsätzliche oder fahrlässige Nichteinhaltung (eines Teils) der NIS2-Meldepflichten, sprich wenn eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemacht wird, gilt in Deutschland als Ordnungswidrigkeit.
- Als besonders wichtig eingestufte Einrichtungen riskieren bei Nichteinhaltung eine Geldbuße von bis zu 10 Millionen Euro,
- wichtige Einrichtungen riskieren eine Geldbuße von bis zu 7 Millionen Euro.
Empfehlungen für NIS2-Organisationen
Organisationen, die von NIS2 betroffen sind, müssen sich umfassend mit der Identifikation, Klassifizierung und Meldung von Sicherheitsvorfällen beschäftigen. Dies sollte nicht erst passieren, wenn ein solcher Vorfall (mutmaßlich) eingetreten ist.
Vielmehr gilt es im Rahmen der angestrebten NIS2-Compliance sowie des dafür notwendigen Informationssicherheits-Managementsystems (ISMS), ein dezidiertes Incident Response Management zu etablieren mit klar definierten Meldewegen, sauberer Dokumentation und entsprechender Schulung aller betroffenen Mitarbeitenden.
Tipp: Unserer Erfahrung nach lohnt es sich, hierfür auf die Vorgaben der ISO 27001 bzw. ISO 27002 (insbesondere Kapitel 5.26 und folgende) zurückzugreifen. Zudem hat sich der Einsatz einer spezialisierten SaaS-Lösung für NIS2 bewährt, um den Umgang mit Vorfällen organisatorisch zu regeln und dies dann auch organisationsweit durchzusetzen.
Sollte im Unternehmen keine ausreichende Expertise für ein NIS2-spezifisches Incident Response Management vorhanden sein, sollte dafür auf externe Beratung zurückgegriffen oder grundsätzlich ein externer Informationssicherheitsbeauftragter beauftragt werden.
