Die Verpflichtung, einen Cybersecurity-Vorfall innerhalb von 24 Stunden zu melden, gilt für Unternehmen, die gemäß dem Cybersecurity Act (CSA) als regulierte Unternehmen eingestuft sind. Die 24-Stunden-Frist stellt die vorläufige Meldung (Frühwarnung) nach der Entdeckung eines schweren Cybervorfalls dar. Anschließend wird innerhalb von 72 Stunden ein detaillierterer Bericht und innerhalb eines Monats ein abschließender Vorfallsbericht mit einer Analyse der Auswirkungen eingereicht.
Diese Verpflichtungen ergeben sich aus Gesetzesänderungen im Zusammenhang mit der Harmonisierung der Cybersicherheit innerhalb der Europäischen Union und der Umsetzung der NIS2-Richtlinie in nationales Recht.
Ereignis vs. Vorfall
Es ist wichtig, zwischen diesen beiden Konzepten zu unterscheiden:
- Ereignis: Dies ist die Entdeckung einer potenziellen Schwachstelle oder einer verdächtigen Aktivität. Zum Beispiel die Entdeckung einer Schwachstelle in einem System, ohne dass es zu einer böswilligen Aktion kommt.
- Vorfall: Ein Ereignis wird zu einem Vorfall, wenn eine tatsächliche Störung eintritt – z.B. wenn ein Angreifer unbefugten Zugang erhält, Daten durchsickern oder die Verfügbarkeit von Diensten beeinträchtigt wird.
Die Meldepflicht entsteht im Falle eines schwerwiegenden Cybervorfalls, nicht im Falle gewöhnlicher Vorfälle oder Schwachstellen.
Gesetzliche Pflichten und Notfallmanagement
Die ZoKB sieht vor, dass der gesetzliche Vertreter der Organisation rechtlich für die Einhaltung der Cybersicherheitsmaßnahmen verantwortlich ist. Es muss daher unbedingt sichergestellt werden, dass interne Prozesse vorhanden sind, die eine schnelle Erkennung, Bewertung und Meldung schwerwiegender Vorfälle an die zuständige Behörde ermöglichen.
Die Reaktion auf Vorfälle ist ebenfalls Teil des Sicherheitsmanagements. Wenn ein Mitarbeiter eine verdächtige E-Mail (z.B. Phishing) entdeckt, sollte er sie sofort zur weiteren Analyse an einen dafür vorgesehenen Sachbearbeiter, z.B. die IT-Abteilung, weiterleiten. Die Weiterleitung einer solchen Nachricht an Kollegen, die sie aus Neugierde öffnen und auf verdächtige Links klicken, erhöht nur die Wahrscheinlichkeit, dass der Angreifer Erfolg hat. Ebenso falsch ist es, wenn ein Mitarbeiter eine verdächtige E-Mail öffnet, auf die angehängten Links klickt und die Nachricht „vorsichtshalber“ löscht, um den Vorfall zu vertuschen, nachdem er die möglichen Folgen erkannt hat.
Die Organisation sollte über einen Cybersicherheitsmanager verfügen, der befugt ist, über technische Maßnahmen zu entscheiden, um die Ausbreitung eines Vorfalls zu verhindern – einschließlich der Abschaltung interner oder Kundensysteme, falls dies zur Schadensminimierung erforderlich ist. Diese Entscheidung kann zu diesem Zeitpunkt Vorrang vor geschäftlichen Interessen haben.
Bereitschaft und Dokumentation
Eine wirksame Reaktion auf Vorfälle erfordert:
- klare und aktuelle Verfahren zur Meldung von Vorfällen,
- festgelegte Verantwortlichkeiten und Eskalationspläne,
- Krisenkommunikationsmatrix,
- die Verfügbarkeit dieser Dokumente auch in Papierform, so dass sie auch bei einem Ausfall der digitalen Systeme nutzbar sind.
Eine gute Vorbereitung verkürzt die Zeitspanne zwischen der Entdeckung eines Vorfalls und der Meldung erheblich, was sowohl für die Einhaltung gesetzlicher Fristen als auch für die Schadensminimierung entscheidend ist.
