Wenn trotz Sicherheitsmaßnahmen ein Security-Vorfall passiert, gelten strenge Fristen für NIS2-regulierte Unternehmen.
Mit Inkrafttreten der NIS2-Richtlinie in Deutschland verschärfen sich nicht nur die Sicherheitsanforderungen für viele Unternehmen. NIS2 macht Zeit zu einem kritischen Compliance-Faktor. Unternehmen müssen Sicherheitsvorfälle künftig schnell, strukturiert und nachvollziehbar an die Aufsichtsbehörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Dies geschieht entweder über das BSI-Portal oder bei KRITIS und Bundesbehörden über die bisherigen Meldewege.
Die Herausforderung liegt dabei selten in der Technik, vielmehr spielen fast immer noch ungeklärte Abläufe und Zuständigkeiten eine Rolle.
Lesen Sie in diesem Beitrag:
- welche Meldefristen nach NIS2 gelten,
- was Unternehmen zu welchem Zeitpunkt liefern müssen,
- und warum gute Vorbereitung der Schlüssel ist.
Die NIS2-Meldefristen im Überblick
1. Erstmeldung innerhalb von 24 Stunden
Sobald ein meldepflichtiger Sicherheitsvorfall erkannt wird, beginnt die Uhr zu laufen. Innerhalb von 24 Stunden ist eine erste Meldung an die zuständige Aufsicht erforderlich. Dabei geht es nicht um alle Details oder eine vollständige Analyse, sondern eine Frühwarnung. Dazu gehören Angaben wie:
- die Einstufung des Vorfalls
- eine erste Einschätzung der Auswirkungen
- bereits getroffene Maßnahmen
2. Folgemeldung innerhalb von 72 Stunden
Spätestens nach 72 Stunden folgt ein strukturierter Zwischenbericht. Hier erwartet die Aufsicht bereits mehr Substanz wie zum Beispiel:
- ergänzende technische Informationen
- Informationen zur Ursache
- Getroffene und geplante Gegenmaßnahmen
Spätestens an diesem Punkt zeigt sich, ob Incident-Response- und Meldeprozesse sauber vorbereitet sind.
3. Abschlussmeldung innerhalb eines Monats
Der Abschlussbericht dient der vollständigen Aufarbeitung und enthält unter anderem:
- ausführliche Beschreibung des Vorfalls inkl. Schweregrad und Auswirkungen
- Art der Bedrohung und Ursache
- Abhilfemaßnahmen
- ggf. grenzüberschreitende Auswirkungen
Er ist zentral für mögliche Rückfragen, Prüfungen oder Folgemaßnahmen durch die Aufsicht. Ist der Vorfall innerhalb eines Monats nicht beendet, ist stattdessen eine weitere Folgemeldung erforderlich.
Welche Herausforderungen bringen die Meldepflichten?
In vielen Unternehmen müssen die nötigen Prozesse noch etabliert werden: Verantwortlichkeiten, Abstimmung zwischen IT, Security, Management und Kommunikation, Meldewege bei externen Dienstleistern usw. Es bedarf klarer Entscheidungswege, definierter Rollen, vorbereiteter Prozesse sowie technischer und organisatorischer Unterstützung. Die meldeberechtigten Personen einer Organisation müssen zudem einen Zugang zur Meldestelle erhalten. Eine stellvertretende Meldungsabgabe über Dienstleister ist ebenfalls möglich.
Nicht zuletzt um eine reibungslose Vorfallsbewältigung in Zusammenarbeit mit dem BSI zu gewährleisten, sollten interne Prozesse eingerichtet werden. Diese müssen sicherstellen, dass nach Eingang der Information auch außerhalb der normalen Geschäftszeiten geeignete Ansprechpersonen alarmiert werden. Diese Personen sollten über die fachliche Kompetenz verfügen, um den konkreten Vorfall beurteilen zu können, und sind in die Organisation und Prozesse zur Vorfallsbewältigung eingebunden.
Doch auch wenn noch nicht alles durchdekliniert ist, gilt immer der Grundsatz, dass eine frühzeitige Meldung wichtiger ist als deren Vollständigkeit. Für die Ergänzung und Korrektur dienen die Folgemeldungen.
Welche Rolle spielt ein SOC bei der NIS2-Vorfallsmeldung?
Ein Security Operations Center (SOC) kann ein wertvolles Mittel für die Einhaltung der NIS2-Meldefristen sein. Es stellt die kontinuierliche Überwachung von IT- und Cloud-Umgebungen sicher, kann sicherheitsrelevante Ereignisse frühzeitig erkennen und deren Relevanz bewerten. Für die Erstmeldung innerhalb der 24-Stunden-Frist ab dem Moment, in dem ein meldepflichtiger Vorfall erkannt wird, lassen sich durch das SOC gesammelte und bewertete Informationen effizient nutzen.
Zwar ersetzt das SOC nicht die Verantwortung des Unternehmens gegenüber der Aufsicht. Es unterstützt jedoch bei der notwendigen Transparenz, Geschwindigkeit und Dokumentation, um Meldefristen einhalten zu können. Besonders in komplexen oder hybriden IT-Landschaften wird es damit fast unerlässlich.
SOC as a Service hilft bei Meldefristen
Der Aufbau und Betrieb eines eigenen Security Operations Centers ist für mittelständische Unternehmen oft nicht realisierbar. Der Service lässt sich jedoch auch "as a Service" bei Anbietern wie Cosanta, dem Security-Spezialisten der plusserver-Gruppe, buchen. Dabei kümmert sich der Anbieter zentral um Infrastruktur, Personal und Prozesse. Erfahren Sie jetzt mehr: