{"id":115667,"date":"2024-01-22T11:50:52","date_gmt":"2024-01-22T11:50:52","guid":{"rendered":"https:\/\/staging.advisera.com\/articles\/reporting-obligations-nis2\/"},"modified":"2024-09-19T19:44:17","modified_gmt":"2024-09-19T19:44:17","slug":"berichtspflichten-nis2","status":"publish","type":"adv_resources","link":"https:\/\/staging.advisera.com\/de\/artikel\/berichtspflichten-nis2\/","title":{"rendered":"Welche Berichtspflichten bestehen nach NIS 2?"},"content":{"rendered":"

Die NIS-2-Richtlinie<\/a>\u00a0legt die Berichtspflichten nur in Artikel 23<\/a> fest, aber dieser Artikel ist recht lang und recht anspruchsvoll. Welche Sicherheitsvorf\u00e4lle m\u00fcssen Sie also melden, an wen und wie m\u00fcssen Sie dies tun?<\/p>\n

\n
Die NIS-2 verlangt von wesentlichen und wichtigen Einrichtungen, dass sie dem CSIRT oder der zust\u00e4ndigen Beh\u00f6rde erhebliche Vorf\u00e4lle melden, mittels:<\/div>\n
\n
    \n
  • Fr\u00fchwarnung<\/li>\n
  • Meldung des Sicherheitsvorfalls<\/li>\n
  • Zwischenbericht<\/li>\n
  • Abschlussbericht<\/li>\n
  • Fortschrittsbericht<\/li>\n<\/ul>\n<\/div>\n<\/div>\n

    Was ist ein erheblicher Sicherheitsvorfall im Sinne der NIS-2?<\/h2>\n

    Laut NIS 2 ist ein Vorfall „ein Ereignis, das die Verf\u00fcgbarkeit, Authentizit\u00e4t, Integrit\u00e4t oder Vertraulichkeit gespeicherter, \u00fcbermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder dar\u00fcber zug\u00e4nglichen Dienste beeintr\u00e4chtigt“.<\/p>\n

    Die NIS 2 verlangt, dass nur erhebliche Vorf\u00e4lle gemeldet werden m\u00fcssen – sie definiert einen erheblichen Vorfall als „jeden Vorfall, der eine erhebliche Auswirkung auf die Erbringung“ der Dienste hat, die wesentliche und wichtige Einrichtungen anbieten, wenn:<\/p>\n

      \n
    • \u201ca) er eine schwerwiegende betriebliche St\u00f6rung der Dienste oder einen finanziellen Verlust f\u00fcr die betreffende Einrichtung verursacht oder verursachen k\u00f6nnte,<\/li>\n
    • (b) er andere nat\u00fcrliche oder juristische Personen beeintr\u00e4chtigt oder beeintr\u00e4chtigen k\u00f6nnte, indem er erhebliche materielle oder immaterielle Sch\u00e4den verursacht.\u201d<\/li>\n<\/ul>\n

      Im Erw\u00e4gungsgrund (101) der Pr\u00e4ambel der NIS 2 hei\u00dft es: „Indikatoren wie das Ausma\u00df, in dem das Funktionieren des Dienstes beeintr\u00e4chtigt wird, die Dauer eines Sicherheitsvorfalls oder die Zahl der betroffenen Nutzer von Diensten k\u00f6nnten eine wichtige Rolle bei der Feststellung spielen, ob die Betriebsst\u00f6rung des Dienstes schwerwiegend ist.“<\/p>\n

      Dar\u00fcber hinaus wurde kein Leitfaden dazu ver\u00f6ffentlicht, was ein „schwerwiegender finanzieller Schaden“ oder was ein „erheblicher materieller oder immaterieller Schaden“ ist.<\/p>\n

      Sowohl wesentliche als auch wichtige Einrichtungen m\u00fcssen erhebliche Sicherheitsvorf\u00e4lle melden, w\u00e4hrend es keine Vorschriften f\u00fcr die Meldung anderer Arten von Vorf\u00e4llen gibt.\u201d<\/p>\n

      <\/div>