Definition Was besagen die Meldepflichten für Sicherheitsvorfälle?

Anbieter zum Thema

Materna Information & Communications SE

genua gmbh

JCC Software GmbH

Regularien wie die NIS-2-Richtlinie und die zum Informationssicherheitsgesetz gehörende Cybersicherheitsverordnung sehen eine Meldepflicht für IT-Sicherheitsvorfälle vor. Aber was bedeutet das für Behörden und Unternehmen?

Cyberangriffe sind eine ständige Bedrohung und das Arsenal an Schadsoftware ist breit gefächert. Mit der zunehmenden Digitalisierung in Unternehmen lauern immer mehr potentielle Einfallstore für Attacken. Cybersicherheit gewinnt daher immer mehr an Bedeutung. Es ist wichtig, die IT-Systeme und den digitalen Markt vor Cyber-Angriffen zu schützen.

Um dem vorzubeugen, wurde in der EU im Jahr 2023 die NIS-2-Richtlinie als Sicherheitsstrategie eingeführt. Die neue Cybersicherheitsverordnung trat aufgrund der erhöhten Bedrohung durch digitale Angriffe 2024 in Kraft. Rund 30.000 bis 40.000 Unternehmen müssen damit ab spätestens Oktober 2024 für IT-Sicherheitsmaßnahmen sorgen. Auch eine Meldepflichtklausel für Cyberangriffe, die über die bisherigen Verordnungen für Betreiber kritischer Infrastrukturen (KRITIS) hinausgeht, wurde verabschiedet.

Für wen gilt die Meldepflichtklausel der Cybersicherheitsverordnung?

Das Informationssicherheitsgesetz (ISG) legt fest, wer künftig zur Meldung von Cyberangriffen beim Bundesamt für Cybersicherheit (BACS) verpflichtet ist und den Anforderungen der NIS-2-Richtlinie, mit der die NIS-1-Richtlinie mit strengeren Cybersicherheitsstandards überarbeitet wurde, gerecht werden muss. Die Vorgaben gelten für deutlich mehr Organisationen als bisher. Die Pflicht gilt für Firmen in verschiedenen Sektoren ab 50 Mitarbeitenden und zehn Millionen Euro Umsatz. Umso bedeutender ist sie für Unternehmen, die für das staatliche Gemeinwesen eine wichtige Rolle spielen, bei denen es beispielsweise zu nachhaltig wirkenden Versorgungsengpässen oder gravierenden Störungen der öffentlichen Sicherheit kommen kann, beispielsweise Energie- und Wasserversorgung, Transport, Bankwesen und Gesundheit.

EU-Richtlinie

NIS-2: Checkliste für die öffentliche Verwaltung

Auf Bundesebene sind neben Behörden und Organisationen auch Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie entsprechende Zusammenschlüsse betroffen. Überdies gilt die Meldepflicht für öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und IT-Dienstleistungen für die Bundesverwaltung erbringen. Bundesländer und Kommunen sind hingegen nicht direkt von der deutschen NIS-2-Umsetzung betroffen, der Bund verweist auf Zuständigkeit der Länder und deren jeweilige Gesetzgebung.

Die Cybersicherheitsverordnung legt im Übrigen fest, wer von der Meldepflichtklausel ausgenommen ist. Dies gilt für kleine Behörden und Firmen, bei denen Cyberangriffe keine Auswirkungen auf das Wohlergehen der Bevölkerung oder eine funktionierende Wirtschaft haben.

Was beinhaltet die Cybersicherheitsverordnung mit ihrer Meldepflichtklausel?

Mit der eingeführten NIS-2-Richtlinie, die die Cyber- und Informationssicherheit regelt, müssen entsprechende Unternehmen und Institutionen sich bei der Behörde registrieren, verschiedene Sicherheitsmaßnahmen ergreifen, Sicherheitsvorfälle melden und angemessen darauf reagieren. Bei Zuwiderhandlung drohen Strafen. Zentrale Aspekte sind für Unternehmen und Organisationen:

• Cyber-Risikomanagement

• Einhaltung spezifischer Security-Standards

• Kontrolle

• Überwachung

• Aufrechterhaltung nach Notfällen durch Backup-Management und Wiederherstellung

• Krisenmanagement

• Offenlegung von Schwachstellen

Behörden sind dazu berechtigt, vor Ort Kontrollen durchzuführen und auf Daten zuzugreifen.

NIS-2

Bin ich betroffen? Und falls ja, wie sehr?

(ID:50182588)