nis²insights.com

In Kraft seit 17. Okt. 2024·Tag 565·

Incident-Management11. Apr. 20259 Min.

NIS2-Vorfallmeldung: Der praktische 72-Stunden-Leitfaden

Ein Cybervorfall trifft Sie. Die NIS2-Uhr läuft. Hier finden Sie genau, was Stunde für Stunde zu tun ist.

NIS2-Vorfallmeldung: Der praktische 72-Stunden-LeitfadenIncident-Management

Ein Cybervorfall trifft Sie an einem Dienstagvormittag. Bis Dienstagmittag steht im Vorstand nicht mehr die Frage was passiert — sondern was muss an die Aufsicht gehen, und wann. Artikel 23 der Richtlinie (EU) 2022/2555 ist der Teil von NIS2, der die Uhr laufen lässt. Er ist auch der Teil, den Leitungsorgane am häufigsten falsch lesen.

Dies ist der praktische 72-Stunden-Leitfaden, Stunde für Stunde, mit eng am Text gelesener Rechtslage und der dazugehörigen operativen Übersetzung.

Wann die Uhr läuft: „Kenntnis", nicht „Erkennung"

Artikel 23 Absatz 1 verpflichtet Einrichtungen, erhebliche Vorfälle unverzüglich an das CSIRT oder die zuständige Behörde zu melden. Die in Artikel 23 referenzierte Uhr läuft ab dem Moment, in dem die Einrichtung Kenntnis vom Vorfall erlangt.

Diese Unterscheidung zählt. „Kenntnis" ist nicht der Augenblick, in dem ein SIEM-Alarm ausgelöst wird. Es ist der Augenblick, in dem eine Person in der Einrichtung, mit der Autorität und den Informationen, um die Entscheidung zu treffen, begründete Anhaltspunkte hat, dass ein Vorfall vorliegt und die Erheblichkeitsschwelle überschritten ist. Erwägungsgrund 101 der Richtlinie rahmt das als Beurteilungsentscheidung, nicht als automatische Auslösung.

In der Praxis ist „Kenntnis" der Augenblick, in dem Ihr CSIRT-Lead, der Leiter Sicherheitsbetrieb oder der diensthabende Officer entscheidet, dass der vor ihm liegende Alarm wie ein erheblicher Vorfall aussieht. Dieser Entscheidungszeitpunkt sollte mit Zeitstempel dokumentiert werden. Die nationalen CSIRTs — ANSSI/CERT-FR in Frankreich, BSI/CERT-Bund in Deutschland, INCIBE-CERT in Spanien, ACN/CSIRT Italia, NCSC-IE in Irland — erwarten diesen Zeitstempel in der Meldung.

Stunde 24: die Frühwarnung

Artikel 23 Absatz 4 Buchstabe a verpflichtet zu einer Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme. Die Frühwarnung ist kurz. Sie muss enthalten:

  • ob die Einrichtung den Vorfall auf rechtswidrige oder böswillige Handlungen zurückführt,
  • ob der Vorfall grenzüberschreitende Auswirkungen haben könnte, und
  • (in der Praxis, auch wenn nicht ausdrücklich aufgeführt) die Mindestidentifikationsdaten, damit das CSIRT den Fall zuordnen kann.

Das ist der gesamte Inhalt. Keine detaillierte Forensik, keine vollständige Auswirkungsbewertung, kein Patient Zero. Die Frühwarnung ist ein Routing-Signal, kein Bericht.

Der häufige Fehler besteht darin, die Frühwarnung als vollständige Meldung zu behandeln und das Fenster zu verpassen, weil noch ermittelt wird. Die Richtlinie ist hier eindeutig: die Frühwarnung ist eine Markierung, kein Befund. Verschicken Sie sie auf Basis von Teilinformationen; korrigieren oder ergänzen Sie bei der 72-Stunden-Meldung.

Stunde 72: die Vorfallmeldung

Artikel 23 Absatz 4 Buchstabe b verpflichtet zu einer Vorfallmeldung innerhalb von 72 Stunden nach Kenntnisnahme, die die Frühwarnung um substanzielle Informationen aktualisiert. Sie muss enthalten:

  • eine erste Bewertung der Erheblichkeit des Vorfalls (Schweregrad, Auswirkungen, Umfang),
  • soweit verfügbar, Indikatoren für eine Kompromittierung (IoC).

Hier suchen die Aufsichtsbehörden den Beleg, dass die Einrichtung einen funktionierenden Incident-Response-Prozess hat. Die veröffentlichten Erwartungen der nationalen CSIRTs in Europa, mit Verweis auf die ENISA-Leitlinien zur Vorfallmeldung, sind in dem, was „substanziell" heißt, deckungsgleich:

  • eine Beschreibung der betroffenen Dienste und der betrieblichen Auswirkungen (in Klartext und nach Möglichkeit quantifiziert — Zahl der betroffenen Nutzer, Dauer der Störung),
  • Art der Bedrohung (Ransomware, unbefugter Zugriff, Datenexfiltration, Denial-of-Service, Lieferketten-Kompromittierung),
  • zum Zeitpunkt der Meldung verfügbare IoC (Datei-Hashes, schädliche Domains, Angreifer-IPs),
  • bereits ergriffene oder laufende Eindämmungsmaßnahmen.

Die Meldung wird über den nationalen Meldekanal eingereicht — in den meisten Mitgliedstaaten ein vom CSIRT oder der zuständigen Behörde betriebenes authentifiziertes Portal. Die Form variiert; die Substanz nicht.

Ein Monat: der Abschlussbericht

Artikel 23 Absatz 4 Buchstabe d verpflichtet zu einem Abschlussbericht spätestens einen Monat nach der Vorfallmeldung. Er muss enthalten:

  • eine detaillierte Beschreibung des Vorfalls, einschließlich Schweregrad und Auswirkungen,
  • die Art der Bedrohung oder die Grundursache, die den Vorfall ausgelöst hat,
  • die angewandten und laufenden Eindämmungsmaßnahmen,
  • gegebenenfalls die grenzüberschreitenden Auswirkungen des Vorfalls.

Ist der Vorfall zum Zeitpunkt des Monatsberichts noch nicht abgeschlossen, sieht Artikel 23 Absatz 4 Buchstabe c stattdessen einen Zwischenbericht vor; der Abschlussbericht folgt dann innerhalb eines Monats nach Abschluss des Vorfalls.

Der Abschlussbericht schließt die aufsichtsrechtliche Schleife. Er ist auch das Dokument, das in Rechtsordnungen mit Vorstandshaftung zum Kernstück jeder späteren Aufsichtsprüfung wird. Leitungsorgane sollten ihn entsprechend behandeln: lesen, hinterfragen, abzeichnen, die Erörterung protokollieren.

Was ist ein „erheblicher Vorfall"?

Artikel 23 Absatz 3 definiert einen erheblichen Vorfall als einen Vorfall, der

  • schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die Einrichtung verursacht hat oder verursachen kann oder
  • andere natürliche oder juristische Personen durch erheblichen materiellen oder immateriellen Schaden beeinträchtigt hat oder beeinträchtigen kann.

Die Kommission hat Schwellenwerte für Anbieter digitaler Dienste und bestimmte weitere Kategorien veröffentlicht (Durchführungsverordnung (EU) 2024/2690). Für die übrigen erfassten Sektoren ist die Beurteilung qualitativ und liegt zunächst bei der Einrichtung, vorbehaltlich einer Beanstandung durch die zuständige nationale Behörde.

Die Falle in der Praxis ist nicht die Untermeldung — es ist die Übermeldung von Grenzfällen aus Vorsicht, die das CSIRT mit Rauschen zudeckt. Die ENISA-Leitlinie ist klar: maßgeblich ist die Erheblichkeit, nicht die absolute Schwere. Eine 30-minütige Störung im Bezahlpfad kann für einen Acquirer in großem Maßstab erheblich sein; dieselbe Störung an einem Backoffice-Tool ist es vielleicht nicht.

Die 72-Stunden-Uhr ist keine Frist für Vollständigkeit. Sie ist eine Frist für ehrliche, strukturierte Offenlegung dessen, was bisher bekannt ist.

Was „gut umgesetzt" aussieht

Drei Signale tauchen in den Post-Incident-Reviews der Aufsichten konsistent auf:

  1. Eine datierte Vorfall-Chronologie, die den Moment der Kenntnisnahme markiert und die Zeitpunkte der Frühwarnung, der 72-Stunden-Meldung und des Abschlussberichts ausweist. Lücken zwischen diesen Marken werden toleriert; fehlende Zeitstempel nicht.
  2. Eine einzige unterzeichnende Stelle für die Meldekette — typischerweise der CSIRT-Lead mit dokumentiertem Eskalationspfad zum Hauptgeschäftsführer oder gesetzlichen Vertreter. Mehrere unkoordinierte Meldungen aus verschiedenen Teilen der Einrichtung sind ein Warnsignal.
  3. Nachweis, dass das Leitungsorgan informiert wurde — an jedem Meilenstein. Ein Niederschriftvermerk, der die Frühwarnung anspricht, reicht aus. Schweigen entlang der Chronologie eröffnet der Aufsicht den Raum, nach dem Warum zu fragen.

Keines dieser Dokumente muss im Moment der Krise erfunden werden. Sie sind Dokumente, die vorab geprobt sein müssen. Die 72-Stunden-Uhr ist kurz; der Vorlauf zur Vorbereitung ist es nicht.

Quellen

  1. Richtlinie (EU) 2022/2555, Artikel 23 („Berichtspflichten").
  2. Richtlinie (EU) 2022/2555, Artikel 23 Absatz 3 (Definition des „erheblichen Vorfalls").
  3. Richtlinie (EU) 2022/2555, Erwägungsgründe 100 bis 102 (Vorfallmeldung und Erheblichkeitskriterien).
  4. Durchführungsverordnung (EU) 2024/2690 (Erheblichkeitsschwellen für Anbieter digitaler Dienste und vergleichbare Kategorien).
  5. Veröffentlichte Leitlinien zur Vorfallmeldung der zuständigen nationalen Behörden und CSIRTs: ANSSI / CERT-FR (FR), BSI / CERT-Bund (DE), INCIBE-CERT (ES), ACN / CSIRT Italia (IT), NCSC-IE (IE), sowie der ENISA.

Weitere Beiträge

NIS2-Artikel 20: Fünf Aufsichtspflichten, die Leitungsorgane nicht delegieren könnenGovernance

NIS2-Artikel 20: Fünf Aufsichtspflichten, die Leitungsorgane nicht delegieren können

18. Apr. 2025·Lesen · 10 Min.
NIS2-Lieferkettensicherheit: Fünf Klauseln, die Sie von Lieferanten verlangen solltenLieferkette

NIS2-Lieferkettensicherheit: Fünf Klauseln, die Sie von Lieferanten verlangen sollten

9. Apr. 2025·Lesen · 7 Min.
Eine pragmatische Risikoregister-Vorlage für NIS2-Artikel 21Risikomanagement

Eine pragmatische Risikoregister-Vorlage für NIS2-Artikel 21

2. Apr. 2025·Lesen · 6 Min.