Registrierung
& Meldepflichten
Ist Ihr Unternehmen von den NIS-2-Regelungen betroffen, müssen Sie neben Maßnahmen zum Risikomanagement auch eine Registrierung vornehmen und Meldepflichten einhalten.
Registrierung
Sie haben bereits geprüft, ob Ihr Unternehmen von der NIS-2-Richtlinie betroffen ist und das Ergebnis fällt positiv aus? Dann müssen Sie eine Registrierung vornehmen und sich somit selbstständig bei den nationalen Behörden melden.
- Folgende Informationen sind dafür notwendig:
- Name der Einrichtung
- Anschrift der aktuellen Kontaktdaten, inkl. E-Mail-Adressen, IP-Adressbereiche und Telefonnummern
- Ggf. den relevanten Sektor und Teilsektor gemäß der Anhänge I und II
- Ggf. eine Liste aller Mitgliedstaaten, in denen sie Dienste erbringen
ACHTUNG: Ändern sich die genannten Registrierungsdaten muss die Korrektur innerhalb von 2 Wochen übermittelt werden!
Bei folgenden Branchen werden diese Daten über ENISA eingepflegt: DNS-Dienstleister, TLD-Namenregister, Domänennamen-Registrierungsanbieter, Cloud-Computing-Anbieter, Anbieter von Rechenzentrumsdiensten, Betreiber von Content-Delivery-Netzwerken (CDN), Anbieter von Managed (Security) Services, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Social Media
Meldepflichten für Sicherheitsvorfälle
Zum Schutz der digitalen Sicherheit der Netz- und Informationssysteme werden Konzepte und Maßnahmen implementiert – Dennoch kann es zu Sicherheitsverletzungen kommen. Um die Reaktionsgeschwindigkeit bei diesen Vorfällen zu erhöhen, unterliegen betroffene Unternehmen Meldepflichten. Man unterscheidet zwischen zwei Kategorien:
Erheblicher Sicherheitsvorfall (Artikel 23):
- Schwerwiegende Betriebsstörungen der Dienste
- Finanzielle Verluste für die Einrichtung
- Erhebliche materielle oder immaterielle Schäden für andere Personen (natürlich & juristisch)
Die NIS-2-Richtlinie sieht für Sicherheitsvorfälle dieser Kategorie folgende Meldungen an die nationale Behörde und ggf. den Kunden/Nutzern der eigenen Dienste vor:
Innerhalb von 24 Stunden nach Kenntnisnahme von erheblichen Sicherheitsvorfällen ist eine Frühwarnung zu erlassen. Es muss gemeldet werden ob Verdacht auf kriminelle Hintergründe besteht, oder grenzüberschreitenden Auswirkungen zu befürchten sind.
Nach 72 Stunden (nach Kenntnisnahme)ist ein ausführlicher Bericht mit aktuellen Informationen, einer ersten Bewertung/Gewichtung, den Auswirkungen und ggf. Kompromittierungsindikatoren fällig.
Innerhalb eines Monats (nach der ersten Meldung) muss ein Abschlussbericht übermittelt werden. Dieser umfasst eine ausführliche Beschreibung des Vorfalls (samt Schweregrad und Auswirkungen), eine Klassifizierung der Bedrohung/Ursache, der Dokumentation der getroffenen Abhilfemaßnahmen und Auflistung der ggf. grenzüberschreitenden Auswirkungen. Konnte der Sicherheitsvorfall bis zu diesem Zeitpunkt noch nicht behoben werden, ist ein Forschrittsbericht nötig.
*Nach Kenntnisnahme
**Nach der ersten Meldung
Freiwillige Meldungen (Artikel 30):
Vorfälle können auch freiwillig (und anonym) bei der nationalen Behörde gemeldet werden. Zum Beispiel wenn: Unternehmen nicht von der NIS-2-Richtlinie betroffen sind, aber dennoch erhebliche Sicherheitsvorfälle, Cyberbedrohungen oder Beinahe-Vorfälle aufgetreten sind.
Rechtzeitig aktiv werden & Ressourcen einplanen!
Die NIS 2 Richtlinie der EU hat das Ziel, ein hohes gemeinsames Cybersicherheitsniveau zu schaffen – und das möglichst bald. Bereits am 16. Jänner 2023 trat die neue Richtlinie zur Netz- und Informationsystemsicherheit in Kraft. Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, die nötigen Maßnahmen umzusetzen. Bei Nichteinhaltung drohen empfindliche Strafen.
Darum informieren Sie sich rechtzeitig und entgehen Sie empfindlichen Strafen. Das Team von solbytech steht ihnen gerne in allen Belangen rund um die NIS-2-Regelung mit Rat & Tat zur Seite!
Erstinfo
Was ist NIS-2 und warum wurde die Richtlinie eingeführt?
Betroffenheit
Fällt Ihr Unternehmen unter die neuen Regelungen? Machen Sie den Check!
Pakete
Welche Maßnahmen müssen umgesetzt werden?
Strafen & Kontrollen
Welche Mechanismen zur Aufsicht und Durchsetzung gelten?
Service
Wie wir Ihnen weiterhelfen können.