- NIS2 ist die aktualisierte Cybersicherheitsrichtlinie der EU — breiterer Geltungsbereich als NIS1, strengere Anforderungen
- Es gilt für "wesentliche" und "wichtige" Einheiten in 18 Sektoren — viele KMU sind in Reichweite
- Die Kernverpflichtung: Melden Sie Ihren nationalen Behörden innerhalb bestimmter Fristen erhebliche Vorfälle
- Ein strukturierter Auftragsablauf erfüllt die Berichtspflicht automatisch, wenn er korrekt eingerichtet wird
NIS2 — die EU-Richtlinie über die Netz- und Informationssicherheit 2 — trat im Oktober 2024 in Kraft, als die EU-Mitgliedstaaten verpflichtet waren, sie in nationales Recht umzusetzen. Wenn Sie ein europäisches Geschäft in einem geregelten oder kritischen Sektor sind, oder ein Lieferant für einen, NIS2 gilt für Sie - und das Strafregime ist ernst: bis zu €10 Millionen oder 2% des globalen Jahresumsatzes für wesentliche Einheiten.
Dieser Beitrag ist keine Rechtsberatung, und die NIS2-Umsetzung variiert je nach Mitgliedstaat. Was es ist, ist eine klare englische Erklärung, was die Richtlinie eigentlich erfordert und warum ein strukturierter Zwischenfallmanagement-Workflow die praktischste Weise ist, die Kernpflicht zu erfüllen.
Verwandte HubSecure Kaufpfad
Einhaltung-CRM-Leitfaden Einhaltung-CRM für wachsende Unternehmen CRM-Modul HubSpot-Vergleich Einhaltung-CRM-Leitfaden Leitfaden-Bibliothek Buchen Sie eine Workflow-Demo
Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance
Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Einhaltung-Workflows, geregelter KI-Betreiber.
Verwandter Anwendungsfall
Dieser Leitfaden gehört zum Cluster Workspace Alternatives and Tool Consolidation Guides. Fahren Sie mit dem Produkt-Hub für Arbeitsplatzalternativen und Werkzeugkonsolidierung fort.
Wer NIS2 gilt für
NIS2 unterteilt Unternehmen in zwei Kategorien – „wesentlich“ und „wichtig“ – in 18 Sektoren. Zu den Schlüsselsektoren gehören:
Der Schwellenwert für „wichtige“ Unternehmen liegt im Allgemeinen bei mehr als 50 Mitarbeitern oder einem Jahresumsatz von mehr als 10 Millionen Euro. Es gibt jedoch Ausnahmen: Betreiber kritischer Infrastrukturen können unabhängig von ihrer Größe in den Geltungsbereich einbezogen werden, und Mitgliedstaaten können zusätzliche Einrichtungen benennen.
Über die direkte Anwendbarkeit hinaus gibt es noch die Dimension der Lieferkette. NIS2 verlangt von wesentlichen und wichtigen Einrichtungen, dass sie Cybersicherheitsrisiken in ihren Lieferketten verwalten – was bedeutet, dass ihre Lieferanten unter Druck stehen, vergleichbare Sicherheitspraktiken nachzuweisen, auch wenn diese nicht direkt in den Geltungsbereich fallen.
Was NIS2 eigentlich benötigt
Die Richtlinie enthält mehrere Anforderungen. Die meisten Unternehmen konzentrieren sich zuerst auf die Meldung von Vorfällen – da sie die klarsten betrieblichen Auswirkungen hat.
Wenn ein schwerwiegender Vorfall auftritt, müssen Sie:
Frühzeitige Warnung an die nationale Behörde
Geben Sie innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls eine Frühwarnung ab. Dies muss nicht das vollständige Bild enthalten – es ist eine Benachrichtigung, dass ein Vorfall aufgetreten ist und Sie sich dessen bewusst sind.
Benachrichtigung über Vorfälle
Stellen Sie innerhalb von 72 Stunden eine vollständige Vorfallmeldung bereit, einschließlich der Art des Vorfalls, einer ersten Bewertung der Auswirkungen, aller Anzeichen einer Gefährdung und der ersten ergriffenen Eindämmungsmaßnahmen.
Abschlussbericht
Reichen Sie innerhalb eines Monats nach dem Vorfall einen Abschlussbericht mit einer detaillierten Beschreibung, einer Ursachenanalyse, grenzüberschreitenden Auswirkungen (falls vorhanden) und Maßnahmen zur Verhinderung eines erneuten Auftretens ein.
Was gilt als „erheblicher“ Vorfall? Gemäß NIS2 ist ein Vorfall dann von Bedeutung, wenn er zu schwerwiegenden Betriebsstörungen, finanziellen Verlusten oder erheblichem Schaden für andere geführt hat oder hätte führen können. Dies ist absichtlich weit gefasst. Im Zweifelsfall melden. Die Strafe für eine Unterberichterstattung ist höher als der Verwaltungsaufwand einer unnötigen Meldung.
Warum die meisten Unternehmen dafür nicht bereit sind
Die 24-Stunden-Frühwarnpflicht ist streng. Für ein Unternehmen, das Vorfälle in einer gemeinsamen Tabelle oder einem Slack-Thread verfolgt, ist es eine echte Herausforderung, innerhalb von 24 Stunden nach der Entdeckung eine zusammenhängende Benachrichtigung zusammenzustellen. Sie müssen wissen, wann der Vorfall erstmals entdeckt wurde, von wem, wie die erste Folgenabschätzung aussieht und welche Eindämmungsmaßnahmen bereits ergriffen wurden. Wenn diese Informationen über Slack-Threads, persönliche Notizen und den Speicher verstreut sind, erzeugt die 24-Stunden-Uhr echten Betriebsdruck.
Die Anforderung eines einmonatigen Abschlussberichts – eine Ursachenanalyse mit dokumentiertem Zeitplan und Abhilfemaßnahmen – ist noch schwieriger zu erstellen, wenn der Vorfall informell behandelt wurde. Es ist zeitaufwändig, eine Zeitleiste aus Slack und E-Mails mehrere Wochen später zu rekonstruieren, und das Ergebnis ist selten so vollständig wie eine zeitgleiche Aufzeichnung.
Der Workflow-Wechsel, der die meisten davon abdeckt
Ein strukturiertes Vorfallmanagementsystem – eines, bei dem jeder Vorfall ab dem Zeitpunkt der Entdeckung protokolliert wird und in jeder Phase zeitgestempelte Aktualisierungen vornimmt – erstellt das NIS2-Meldematerial als Nebenprodukt des normalen Vorfall-Workflows.
So wird der Workflow den Berichtsanforderungen zugeordnet:
- Vorfall erkannt und protokolliert – Zeitstempel aufgezeichnet, Klassifizierung angewendet, Erstbeschreibung erfasst. Dies wird die Grundlage für die 24-Stunden-Frühwarnung.
- Während der Untersuchung protokollierte Aktualisierungen – jede ergriffene Maßnahme, jedes Ergebnis, jede Entscheidung zur Eskalation oder Eindämmung. Diese werden nach 72 Stunden zur Vorfallbenachrichtigung.
- Überprüfung nach dem Vorfall abgeschlossen – Ursachenanalyse, Zeitplanrekonstruktion, Sanierungsplan. Dies wird der einmonatige Abschlussbericht.
Wenn der Workflow strukturiert ist, schreibt sich der Bericht von selbst. Ist dies nicht der Fall, muss jemand es unter Zeitdruck rekonstruieren – und hier treten Fehler, Auslassungen und regulatorische Risiken auf.
Jenseits der Berichterstattung: die anderen NIS2-Anforderungen
Die Meldung von Vorfällen ist die dringendste betriebliche Anforderung, aber NIS2 erfordert auch:
- Risikomanagementrichtlinien – dokumentierte Richtlinien für Cybersicherheitsrisiken, einschließlich Lieferkettenrisiken
- Geschäftskontinuitätsplanung – dokumentierte Pläne zur Aufrechterhaltung des Betriebs während und nach einem schwerwiegenden Vorfall
- Zugriffsverwaltung – kontrolliert, wer Zugriff auf kritische Systeme hat, mit dokumentierter Begründung
- Kryptographie und Verschlüsselung – Verwendung einer geeigneten Verschlüsselung für sensible Daten und Kommunikation
- Sicherheit in der Lieferkette – Bewertung der Sicherheitspraktiken der Lieferanten
Viele dieser Anforderungen werden durch betriebliche Kontrollen berücksichtigt, über die ein gutes IT-Management bereits verfügen sollte. NIS2 formalisiert sie und fügt die Anforderung hinzu, die Einhaltung zu dokumentieren und nachzuweisen.
Erstellt HubSecure Incident Management NIS2-formatierte Berichte?
HubSecure Das Incident Management umfasst eine Vorlage für die Überprüfung nach einem Vorfall, die an den NIS2-Berichtsanforderungen ausgerichtet ist – Zeitplan, Grundursache, beitragende Faktoren, Abhilfemaßnahmen mit Eigentümern und Fälligkeitstermine. Der Bericht wird aus dem Vorfalldatensatz erstellt und nicht von Grund auf neu geschrieben. Wir unterstützen auch den 24-Stunden-Export von Frühwarnungen in einem Format, das mit den meisten Einreichungsportalen nationaler Behörden kompatibel ist.
Was ist, wenn wir nicht sicher sind, ob wir im Geltungsbereich sind?
Das ist eine Frage an einen qualifizierten Rechtsberater in Ihrem Mitgliedsstaat – die NIS2-Implementierung variiert und die Schwellenwerte sind unterschiedlich. Wir würden sagen, dass die von NIS2 geforderten Betriebskontrollen – strukturiertes Vorfallmanagement, dokumentierte Zugriffskontrollen, Verschlüsselung, Geschäftskontinuitätsplanung – eine bewährte Praxis für jedes technologieabhängige Unternehmen sind, unabhängig vom formalen Umfang.
Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die NIS2-Implementierung variiert je nach EU-Mitgliedstaat. Wenden Sie sich an einen qualifizierten Rechtsberater, um spezifische Ratschläge zu Ihren Verpflichtungen zu erhalten.
Sehen Sie sich das Vorfallmanagement mit integrierter NIS2-Berichterstellung an
Wir durchlaufen den gesamten Lebenszyklus eines Vorfalls – Erkennung, Eskalation, Untersuchung, Überprüfung nach dem Vorfall – und zeigen Ihnen, wie der NIS2-Bericht automatisch erstellt wird.
Buchen Sie eine Demo