Das Wichtigste auf einen Blick — NIS2-Meldepflichten bei Vorfällen
Die NIS2-Richtlinie (EU) 2022/2555 etabliert das strengste Rahmenwerk zur Vorfallmeldung in der EU-Cybersicherheitsregulierung. Als wesentliche oder wichtige Einrichtungen eingestufte Organisationen müssen eine Frühwarnung innerhalb von 24 Stunden, eine detaillierte Vorfallmeldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb von 30 Tagen übermitteln, nachdem sie Kenntnis von einem erheblichen Vorfall erlangt haben. Verstösse können Geldbussen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes nach sich ziehen, zuzüglich der persönlichen Haftung der Geschäftsleitung nach Artikel 20.
Was ist die NIS2-Richtlinie?
NIS2 (Richtlinie (EU) 2022/2555) ist die aktualisierte Richtlinie der Europäischen Union über Massnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. Sie ersetzte die ursprüngliche NIS-Richtlinie (2016/1148) und trat am 16. Januar 2023 in Kraft; die EU-Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Der vollständige Text ist verfügbar unter EUR-Lex — Richtlinie (EU) 2022/2555.
Was ist ein erheblicher Vorfall nach NIS2?
Ein erheblicher Vorfall ist in Artikel 23 Absatz 3 der NIS2 definiert als ein Vorfall, der eine schwerwiegende Betriebsstörung der Dienste oder finanzielle Verluste für die Einrichtung verursacht hat oder verursachen kann, oder der andere Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann. Die ENISA bietet auf ihrer Themenseite zur Vorfallmeldung weitere Leitlinien zur Vorfallklassifizierung.
Was ist ein CSIRT?
Ein CSIRT (Computer Security Incident Response Team) ist die benannte nationale Behörde, die Vorfallmeldungen nach NIS2 entgegennimmt. Jeder EU-Mitgliedstaat muss nach Artikel 10 der Richtlinie ein oder mehrere CSIRTs benennen. Die ENISA pflegt ein Verzeichnis der nationalen CSIRTs in der gesamten EU.
Was sind die drei NIS2-Meldefristen für Vorfälle?
Artikel 23 Absatz 4 der NIS2 legt drei verpflichtende Meldestufen fest:
- 24 Stunden — Frühwarnung: Muss angeben, ob der Vorfall mutmasslich durch rechtswidrige oder böswillige Handlungen verursacht wurde und ob er grenzüberschreitende Auswirkungen haben könnte.
- 72 Stunden — Vorfallmeldung: Muss die Frühwarnung mit einer ersten Bewertung von Schweregrad, Auswirkungen und Kompromittierungsindikatoren aktualisieren.
- 30 Tage — Abschlussbericht: Muss eine detaillierte Beschreibung des Vorfalls, eine Ursachenanalyse, die angewandten Massnahmen zur Schadensbegrenzung sowie gegebenenfalls die grenzüberschreitenden Auswirkungen enthalten.
Quelle: Richtlinie (EU) 2022/2555, Artikel 23.
Welche Sanktionen drohen bei Nichteinhaltung der NIS2-Meldepflichten bei Vorfällen?
Nach Artikel 34 NIS2 müssen wesentliche Einrichtungen mit Geldbussen von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes rechnen, je nachdem, welcher Betrag höher ist. Wichtige Einrichtungen müssen mit Geldbussen von bis zu 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes rechnen. Artikel 20 legt zudem fest, dass Leitungsorgane wesentlicher und wichtiger Einrichtungen persönlich für die Sicherstellung der Einhaltung der Risikomanagementmassnahmen im Bereich der Cybersicherheit haftbar gemacht werden können.
Wie verhält sich die NIS2-Vorfallmeldung zur Meldung von Datenschutzverletzungen nach DSGVO?
| Anforderung | NIS2 (Richtlinie 2022/2555) | DSGVO (Verordnung 2016/679) |
|---|
| Anwendungsbereich | Erhebliche Cybersicherheitsvorfälle, die wesentliche/wichtige Einrichtungen betreffen | Verletzungen des Schutzes personenbezogener Daten |
| Erste Frist | 24 Stunden — Frühwarnung an CSIRT | 72 Stunden — Meldung an die Datenschutzbehörde |
| Zweite Frist | 72 Stunden — detaillierte Vorfallmeldung | Unverzüglich — Benachrichtigung der betroffenen Personen (bei hohem Risiko) |
| Abschlussbericht | 30 Tage — Abschlussbericht mit Ursachenanalyse | Keine formale Frist für einen Abschlussbericht festgelegt |
| Meldebehörde | Nationales CSIRT oder zuständige Behörde | Aufsichtsbehörde (Datenschutzbehörde) |
| Höchstbusse | 10 Mio. Euro oder 2 % des weltweiten Umsatzes (wesentliche Einrichtungen) | 20 Mio. Euro oder 4 % des weltweiten Umsatzes |
| Haftung der Geschäftsleitung | Ja — persönliche Verantwortung nach Artikel 20 | Für Einzelpersonen nicht ausdrücklich festgelegt |
Quellen: NIS2-Richtlinie, DSGVO Artikel 33.
Welche Sektoren fallen in den Anwendungsbereich von NIS2?
Anhang I der NIS2 listet die Sektoren wesentlicher Einrichtungen auf: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (B2B), öffentliche Verwaltung und Weltraum. Anhang II listet die Sektoren wichtiger Einrichtungen auf: Post- und Kurierdienste, Abfallwirtschaft, Herstellung/Produktion/Vertrieb von Chemikalien, Produktion/Verarbeitung/Vertrieb von Lebensmitteln, verarbeitendes Gewerbe, digitale Anbieter und Forschung. Laut ENISA fallen schätzungsweise 160'000 Einrichtungen in der gesamten EU in den Anwendungsbereich von NIS2 — eine erhebliche Ausweitung gegenüber etwa 15'000 unter der ursprünglichen NIS-Richtlinie. Quelle: ENISA — Themenseite zur NIS-Richtlinie.
Welche Rolle spielen die Leitungsorgane nach Artikel 20 der NIS2?
Artikel 20 der NIS2 verlangt, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die Risikomanagementmassnahmen im Bereich der Cybersicherheit genehmigen, deren Umsetzung überwachen und für Verstösse haftbar gemacht werden können. Mitglieder der Leitung müssen zudem Cybersicherheitsschulungen absolvieren. Dies stellt eine erhebliche Verschiebung gegenüber der ursprünglichen NIS-Richtlinie dar, die die Verantwortlichkeit auf Vorstandsebene nicht ausdrücklich behandelte.
Statistiken zur Bereitschaft bei der Vorfallmeldung
Laut dem ENISA NIS Investments Report 2022 verfügten nur 37 % der befragten wesentlichen und wichtigen Einrichtungen über einen dedizierten Plan zur Reaktion auf Vorfälle. Derselbe Bericht stellte fest, dass Organisationen im Median 7,7 % des IT-Budgets für Informationssicherheit aufwendeten. Eine Studie der IAPP aus dem Jahr 2023 hielt fest, dass die grenzüberschreitende Koordination von Vorfällen für multinationale Organisationen, die über mehrere EU-Rechtsräume hinweg tätig sind, weiterhin zu den drei grössten Compliance-Herausforderungen zählt.