CompliantDesk

NIS2-Risikomanagementpflicht · Buchstabe b)

Bewältigung von Sicherheitsvorfällen

NIS2Art. 21 Abs. 2 Buchst. b) und Art. 23 NIS2-Richtlinie (in Deutschland §§30, 32 BSIG)

Sie brauchen einen Prozess, um Sicherheitsvorfälle zu erkennen, einzudämmen, zu beheben und aufzuarbeiten. NIS2 koppelt das an strenge Meldepflichten gegenüber dem BSIG: Erstmeldung binnen 24 Stunden, Folgemeldung binnen 72 Stunden, Abschlussbericht binnen eines Monats.

Warum diese Pflicht wichtig ist

Die Meldefristen sind die sichtbarste NIS2-Pflicht und werden von der Aufsicht aktiv kontrolliert. Ein vorbereiteter Incident-Prozess entscheidet darüber, ob Sie die 24-Stunden-Frist im Ernstfall einhalten können.

So setzen Sie die Pflicht um

  1. 1Incident-Response-Prozess mit Rollen und Eskalation definieren
  2. 2Schweregrade und Klassifizierung von Vorfällen festlegen
  3. 3Meldewege und Fristen (24h / 72h / 1 Monat) im Prozess verankern
  4. 4Erkennung und Monitoring aufsetzen, damit Vorfälle überhaupt auffallen
  5. 5Prozess regelmäßig üben (Tabletop-Übungen)

Diese Nachweise erwartet die Aufsicht

  • Dokumentierter Incident-Response-Plan
  • Vorfall-Register mit Zeitleiste und durchgeführten Meldungen
  • Nachweis von Übungen und Lessons Learned

Häufige Fehler

Fristen nicht eingeplant

Im Vorfall wird erst gesucht, wer wann an wen melden muss. Die 24-Stunden-Frist ist dann kaum zu halten.

Nie geübt

Der Plan existiert auf Papier, wurde aber nie durchgespielt und versagt im Ernstfall.

Passende ISO-27001-Controls

Wer ISO 27001 umsetzt, erfüllt diese NIS2-Pflicht weitgehend mit. Diese Annex-A-Controls decken den Bereich ab:

A.5.24

Planung und Vorbereitung des Vorfallmanagements

A.5.26

Reaktion auf Informationssicherheitsvorfälle

A.6.8

Meldung von Informationssicherheitsereignissen

Häufig gestellte Fragen

Welche Meldefristen gelten unter NIS2?

Eine Frühwarnung binnen 24 Stunden, eine vollständige Meldung binnen 72 Stunden und ein Abschlussbericht binnen eines Monats nach dem erheblichen Vorfall.

Welche Vorfälle sind meldepflichtig?

Erhebliche Sicherheitsvorfälle, die den Betrieb der Dienste schwer beeinträchtigen oder beeinträchtigen können, etwa durch Ausfall oder Datenabfluss.

An wen wird gemeldet?

In Deutschland an das BSI über das dafür vorgesehene Meldeportal.

Vorfallbewältigung & Meldepflicht mit CompliantDesk umsetzen

CompliantDesk deckt diesen Bereich mit folgenden Modulen ab: Vorfälle · Incident-Response-Konzept · Meldefristen-Tracker. Starten Sie mit dem kostenlosen NIS2-Check.

NIS2-Check gratis Demo buchen

Verwandte NIS2-Pflichten

Buchstabe c)

Business Continuity & Backup

Buchstabe a)

Risikoanalyse