In Kraft seit 17. Okt. 2024·Tag 566·

Vorfälle6. Mai 20267 Min.

Erheblicher Vorfall nach NIS2: der Entscheidungsbaum für die 3-Uhr-Bereitschaft

NIS2-Meldungen hängen an einem Wort: erheblich. Artikel 23 Absatz 3 nennt das Prinzip, die Durchführungsverordnung 2024/2690 die Zahlen. Hier ist der Entscheidungsbaum für die Bereitschaft.

Erheblicher Vorfall nach NIS2: der Entscheidungsbaum für die 3-Uhr-BereitschaftVorfälle

Jede Meldepflicht nach Artikel 23 der Richtlinie (EU) 2022/2555 hängt an einer einzigen Eigenschaft: der Vorfall muss erheblich sein. Unterhalb der Schwelle schuldet die Einrichtung der Aufsicht nichts. Oberhalb beginnen die Fristen von 24 Stunden, 72 Stunden und einem Monat zu laufen. Die Kosten einer falschen Bewertung laufen in beide Richtungen — Über-Meldung ertränkt das CSIRT, Unter-Meldung öffnet ein Aufsichtsverfahren nach Artikel 32.

Achtzehn Monate nach Inkrafttreten bleibt die Definition des erheblichen Sicherheitsvorfalls nach NIS2 die meistgestellte operative Frage zu dieser Richtlinie. Artikel 23 Absatz 3 nennt das Prinzip. Die Durchführungsverordnung (EU) 2024/2690 liefert die Zahlen — für die sieben darin geregelten Sektorkategorien. Überall sonst entscheidet die Einrichtung. Dieser Leitfaden überführt die rechtliche Definition in einen Entscheidungsbaum, den Ihre Bereitschaft um 3 Uhr morgens durchlaufen kann.

1. Der zweistufige Test der Richtlinie

Artikel 23 Absatz 3 definiert einen erheblichen Sicherheitsvorfall als einen Vorfall, der eine der beiden folgenden Voraussetzungen erfüllt:

  • er hat schwerwiegende Betriebsunterbrechungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht oder kann diese verursachen; oder
  • er hat andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt oder kann diese beeinträchtigen.

Zwei Wendungen tragen die Last des Tests: kann verursachen — die Schwelle erfasst auch Beinahe-Vorfälle, deren Auswirkung nur durch Zufall vermieden wurde — und erheblich — von der Richtlinie selbst nicht definiert, an Durchführungsrechtsakte und Aufsichtspraxis verwiesen.

Erwägungsgrund 101 fasst die Bewertung als Beurteilung auf, nicht als automatische Auslösung. Das CSIRT und die zuständige Behörde erwarten, dass die Einrichtung die erste Bewertungsinstanz ist, vorbehaltlich der Anfechtung. Damit wird die Argumentation der Bereitschaft, nicht nur die Entscheidung, Teil dessen, was die Aufsicht liest.

2. Was die Durchführungsverordnung 2024/2690 quantifiziert

Die Durchführungsverordnung der Kommission, am 17. Oktober 2024 angenommen, legt konkrete Schwellenwerte für sieben Sektorkategorien fest: DNS-Diensteanbieter, Top-Level-Domain-Namensregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Inhalte­zustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Online-Marktplätze, Online-Suchmaschinen, Plattformen für soziale Netzwerke und Vertrauensdiensteanbieter.

Für diese Kategorien ist ein Vorfall erheblich, wenn er eines von drei quantifizierten Bändern überschreitet. In operative Sprache übersetzt:

  • Verfügbarkeitsauswirkung — der Dienst ist für eine bestimmte Dauer für eine bestimmte Anzahl von Nutzern nicht verfügbar (z. B. eine Stunde für 5 % der EU-Nutzer eines Cloud-Dienstes ist erheblich; die Schwellen variieren nach Diensttyp und Einrichtungsgröße).
  • Auswirkung auf Vertraulichkeit / Integrität von Daten — nicht-trivialer unbefugter Zugriff auf oder Veränderung von Kundendaten.
  • Kaskadeneffekt — der Vorfall wirkt sich auf einen anderen NIS2-pflichtigen Anbieter aus, der vom unterbrochenen Dienst abhängt.

Die genauen Werte je Diensttyp stehen in den Anhängen der 2024/2690 und sind die operative Referenz. CISOs in den genannten Sektoren müssen sie einmal lesen und die Tabelle im SOC aushängen.

3. Was die sieben Sektoren nicht abdecken — der qualitative Test

Für die elf weiteren NIS2-Sektoren (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, öffentliche Verwaltung, Weltraum, Postdienste, Abfallwirtschaft, Herstellung von Chemikalien / Lebensmitteln / Medizinprodukten / IT / Verkehrsausrüstung / Maschinen, digitale Anbieter außerhalb der DV-Liste, Forschung, Lebensmittelproduktion) gelten die Schwellen der Durchführungsverordnung nicht. Es gilt der qualitative zweistufige Test des Artikels 23 Absatz 3 — ergänzt durch die Klassifizierungsmatrix, die die Einrichtung im Voraus festgelegt hat.

Eine belastbare Matrix arbeitet mit drei Achsen:

  • Dienstkritikalität — ist der betroffene Dienst im Geschäftskontinuitätsplan der Einrichtung als Tier-1-Abhängigkeit eingestuft?
  • Nutzerbetroffenheit — Anzahl betroffener Nutzer; ob schutzbedürftige Gruppen (Patientinnen und Patienten, Energiekunden im Winter) berührt sind.
  • Eindämmungssicherheit — ist der Vorfall begrenzt oder kann er ohne Eingriff eskalieren?

Wenn zwei der drei Achsen ein vorab vereinbartes Niveau erreichen, gilt der Vorfall als erheblich. Die Matrix wird vom Vorstand nach Artikel 20 genehmigt und jährlich überprüft. Die von der ENISA veröffentlichten Leitlinien zur Vorfallbearbeitung — aufgegriffen in den Arbeiten der Kooperationsgruppe zur NIS2-Umsetzung — verweisen einheitlich auf diese Art vorab definierter Klassifizierung als operativen Standard.

Die Definition des erheblichen Vorfalls nach NIS2 ist keine Schwelle, die man überschreitet. Sie ist eine Beurteilung, die man verteidigt — mit der Argumentation der Bereitschaft, zeitgestempelt im Moment der Kenntnisnahme.

4. Der Entscheidungsbaum, den Ihre Bereitschaft um 3 Uhr morgens durchläuft

In dem Moment, in dem die diensthabende Analystin um 3 Uhr morgens auf eine SIEM-Warnung blickt, ist die rechtliche Definition zu abstrakt. Es braucht ein vier­fragiges Runbook, das im Voraus geschrieben wurde und eine von drei Antworten erzeugt: melden, nicht melden, an den CISO zur Beurteilung eskalieren.

  1. Steht der betroffene Dienst in unserem Dienstkatalog nach 2024/2690? Wenn ja, die quantifizierten Schwellen aus dem Anhang anwenden. Wenn nein, weiter.
  2. Hat der Vorfall eine schwerwiegende Betriebsunterbrechung eines von uns betriebenen Dienstes verursacht oder kann er sie verursachen? Schwerwiegend = Ausfall eines Tier-1-Dienstes, finanzieller Verlust oberhalb einer von der Einrichtung definierten Wesentlichkeitsschwelle oder Dienst­degradation, die mehr als einen von der Einrichtung definierten Anteil der Nutzer betrifft.
  3. Berührt der Vorfall andere natürliche oder juristische Personen in einer Weise, die nicht geringfügig ist? Beispiele: Datenexfiltration, Kaskadenausfall, der die NIS2-Pflichten eines Kunden trifft, Auswirkungen auf öffentliche Gesundheit oder Sicherheit.
  4. Wenn zwei oder mehr der Achsen 2–3 unklar bleiben, an den CISO eskalieren. Im Zweifel melden statt verzögern — die 24-Stunden-Frühwarnung ist ein Signal, keine Schluss­folgerung, und kann bei der 72-Stunden-Meldung korrigiert werden.

Regel 4 ist die wichtigste. Artikel 23 Absatz 4 Buchstabe a erlaubt Einrichtungen, eine Frühwarnung in der 72-Stunden-Meldung mit substanziellen Informationen zu aktualisieren; die Richtlinie sieht eine unvollständige Erstmeldung ausdrücklich vor. Defensive Über-Meldung am 24-Stunden-Markt ist günstiger als verpasste Fristen.

5. Grenzüberschreitend, regulierungsübergreifend: wenn sich Erheblichkeit vervielfacht

Zwei Verstärker machen aus einem Grenzfall einen klar erheblichen Vorfall:

  • Grenzüberschreitende Auswirkung. Artikel 23 Absatz 4 Buchstabe a verlangt, dass die Frühwarnung darauf hinweist, ob der Vorfall vermutete grenzüberschreitende Auswirkungen hat. Wird Ihr Dienst in einem anderen Mitgliedstaat genutzt, kommt eine Sorgfaltspflicht gegenüber dessen CSIRT hinzu. Der pan-europäische Vorfall­koordinations­rahmen der Kooperationsgruppe baut auf diesem Signal auf.
  • Überlappung mit DSGVO / DORA / CRA. Ein erheblicher NIS2-Vorfall löst häufig parallele Pflichten aus. Eine Verletzung des Schutzes personenbezogener Daten speist Artikel 33 DSGVO (ebenfalls 72 Stunden, aber mit anderem Fristbeginn — Kenntnis der Verletzung, nicht Kenntnis des Vorfalls). Eine Finanzdienstleistungseinrichtung fällt parallel unter das Vorfallmelderegime der DORA. Vom CRA erfasste Produkte mit digitalen Elementen fügen einen dritten Kanal hinzu. Diese Regime im Voraus zu kartieren — welche Aufsicht welches Formular auf welcher Frist erhält — ist der einzige Weg, eine Fristverletzung in einem Regime beim Reagieren auf ein anderes zu vermeiden.

Der praktische Leitfaden der 72 Stunden auf dieser Seite führt die Meldekadenz durch, sobald der erhebliche Vorfall bestätigt ist. Der vorliegende Beitrag liegt davor — er beantwortet die Frage, ob die Kadenz überhaupt greift.

Wie gute Umsetzung aussieht

Drei Signale tauchen in den veröffentlichten Aufsichtsleitlinien von BSI, ANSSI, INCIBE, ACN, NCSC-IE und der ENISA zur Bewertung der Vorfall­erheblichkeit konsistent auf:

  1. Eine vom Vorstand genehmigte Klassifizierungsmatrix — keine einseitige Notiz, sondern eine schriftliche Matrix mit den drei oder vier Achsen, die die Einrichtung zur Bewertung von Vorfällen verwendet, in den letzten zwölf Monaten überprüft, vom Vorstand nach Artikel 20 unterzeichnet.
  2. Eine zeitgestempelte Begründungs­spur — für jeden vom Bereitschaftsdienst bewerteten Vorfall: die Matrix-Punkte zum Zeitpunkt der Kenntnisnahme, die daraus folgende Entscheidung (melden / nicht melden) und der namentliche Verantwortliche, der sie getroffen hat. Aus dem Ticketsystem entnommen, nicht im Nachhinein rekonstruiert.
  3. Eine jährliche Nachjustierung — die Schwellenwerte der Matrix werden anhand der tatsächlichen Vorfälle des Jahres überprüft und angepasst. Statische Schwellen entfernen sich von der operativen Realität und werden nach achtzehn Monaten zur Verteidigungs­schwäche.

Keines dieser Dokumente ist exotisch. Sie existieren bereits in reifen Vorfallmanagement-Programmen. Die Arbeit der nächsten zwölf Monate für Einrichtungen, die sie noch nicht kodifiziert haben, besteht darin, sie aufzuschreiben — bevor der erste erhebliche Vorfall eintrifft.

Quellen

  1. Richtlinie (EU) 2022/2555, Artikel 23 („Berichtspflichten").
  2. Richtlinie (EU) 2022/2555, Artikel 23 Absatz 3 (Definition des „erheblichen Sicherheitsvorfalls").
  3. Richtlinie (EU) 2022/2555, Erwägungsgrund 101 (Beurteilung der Erheblichkeit als Jugement).
  4. Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024 (technische und methodische Anforderungen; Erheblichkeitsschwellen für digitale Diensteanbieter und verwandte Einrichtungen).
  5. Richtlinie (EU) 2022/2555, Artikel 32 („Aufsichts- und Durchsetzungsmaßnahmen in Bezug auf wesentliche Einrichtungen").
  6. Umsetzungsleitlinien der nationalen zuständigen Behörden — BSI (DE), ANSSI (FR), INCIBE (ES), ACN (IT), NCSC-IE (IE) — und der ENISA über die NIS-Kooperationsgruppe.

Weitere Beiträge

NIS2-Artikel 20: Fünf Aufsichtspflichten, die Leitungsorgane nicht delegieren könnenGovernance

NIS2-Artikel 20: Fünf Aufsichtspflichten, die Leitungsorgane nicht delegieren können

18. Apr. 2025·Lesen · 10 Min.
NIS2-Vorfallmeldung: Der praktische 72-Stunden-LeitfadenIncident-Management

NIS2-Vorfallmeldung: Der praktische 72-Stunden-Leitfaden

11. Apr. 2025·Lesen · 9 Min.
NIS2-Lieferkettensicherheit: Fünf Klauseln, die Sie von Lieferanten verlangen solltenLieferkette

NIS2-Lieferkettensicherheit: Fünf Klauseln, die Sie von Lieferanten verlangen sollten

9. Apr. 2025·Lesen · 7 Min.