Management von Sicherheitsvorfällen großen Ausmaßes und Krisen unter NIS2

Verstehen Sie die Anforderungen der NIS2-Artikel 9 und 16 für Cybersicherheitsvorfälle großen Ausmaßes. Erfahren Sie mehr über nationale Krisenrahmen und EU-CyCLONe-Koordination.

Daniel Grigorovich
Daniel Grigorovich
Gründer · 5 Jun 2026 · 9 Min. Lesezeit
NIS2
Management von Sicherheitsvorfällen großen Ausmaßes und Krisen unter NIS2

Wer sollte das lesen: Krisenmanager, nationale Cybersicherheitsbeamte, Chief Risk Officers, Betreiber kritischer Infrastrukturen.

Die Cybersicherheitslandschaft umfasst nicht nur Routinevorfälle, die Organisationen erkennen und auf die sie reagieren müssen, sondern auch Krisen großen Ausmaßes, die einzelne Organisationen überschreiten und eine koordinierte Reaktion über ganze Sektoren und nationale Grenzen hinweg erfordern. NIS2 erkennt diese Realität an und etabliert umfassende Rahmen für das Management von Cybersicherheitsvorfällen großen Ausmaßes und Krisen. Die Artikel 9 und 16 schaffen institutionelle Strukturen (nationale Behörden für das Cyber-Krisenmanagement und das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen, EU-CyCLONe), die sicherstellen sollen, dass die Reaktion bei größeren Vorfällen koordiniert, wirksam und dem Ausmaß der Bedrohung angemessen ist.

Sicherheitsvorfälle großen Ausmaßes unterscheiden sich grundlegend von gewöhnlichen Sicherheitsereignissen. Ein gewöhnlicher Vorfall kann die Systeme oder Dienste einer einzelnen Organisation betreffen und durch die Vorfallsreaktionsverfahren dieser Organisation bewältigt werden. Ein Sicherheitsvorfall großen Ausmaßes betrifft mehrere wesentliche Einrichtungen, überschreitet Sektor- und Landesgrenzen und bedroht die Kontinuität kritischer Dienste in einem Ausmaß, das eine Koordination auf Regierungsebene erfordert. Wenn ein hochentwickelter Bedrohungsakteur die Operationsplanungssysteme mehrerer europäischer Krankenhäuser gleichzeitig kompromittieren würde, wäre dies ein Sicherheitsvorfall großen Ausmaßes. Wenn eine Schwachstelle in kritischer Telekommunikationsinfrastruktur Netzwerke in mehreren Mitgliedstaaten betreffen würde, wäre dies ein Sicherheitsvorfall großen Ausmaßes. Diese Szenarien erfordern Reaktionen, welche die Fähigkeiten einzelner Organisationen übersteigen.

Nationale Rahmen für das Cyber-Krisenmanagement

Artikel 9 verlangt von jedem Mitgliedstaat, einen nationalen Rahmen für das Cyber-Krisenmanagement zu etablieren. Dieser Rahmen ist das Fundament der Krisenreaktion. Er beginnt mit der Ernennung oder Etablierung einer oder mehrerer zuständiger Behörden, die für das Management von Cybersicherheitsvorfällen großen Ausmaßes und Krisen verantwortlich sind. Diese Cyber-Krisenmanagementbehörden haben mehrere zentrale Verantwortlichkeiten.

Erstens müssen sie über angemessene Ressourcen verfügen, um ihre Aufgaben wirksam und effizient zu erfüllen. Das ist keine vage Formulierung; es bedeutet Personal, Budget, technische Fähigkeit und Befugnisse, die der Mission des Managements von Cybersicherheitsvorfällen auf nationaler Ebene angemessen sind. Ein Mitgliedstaat kann Cybersicherheitskrisen großen Ausmaßes nicht angemessen mit einem kleinen Team und minimalem Budget bewältigen. Diese Verpflichtung erkennt an, dass Krisenmanagement eine anspruchsvolle Funktion ist, die anhaltende Investitionen erfordert.

Zweitens müssen sie die Kohärenz mit bestehenden Rahmen für das allgemeine nationale Krisenmanagement sicherstellen. Cybersicherheitsvorfälle, insbesondere im großen Ausmaß, treten nicht isoliert von anderen Krisen auf. Ein Ransomware-Angriff auf Krankenhäuser kann während einer Pandemie auftreten. Eine Kompromittierung von Stromnetz-Managementsystemen kann während extremer Wetterereignisse auftreten. Der nationale Rahmen für das Cyber-Krisenmanagement muss sich mit bestehenden Mechanismen für das Management nationaler Notfälle und die Koordination der Regierungsantwort integrieren.

Artikel 9(2) verlangt, dass, wenn ein Mitgliedstaat mehr als eine Cyber-Krisenmanagementbehörde einrichtet (ein realistisches Szenario in größeren Mitgliedstaaten, in denen mehrere Behörden relevante Verantwortlichkeiten haben können), der Mitgliedstaat klar bestimmt, welche Behörde als Koordinator dient. Dies stellt sicher, dass es eine einzige identifizierte Leitung für die Krisenreaktion gibt, und verhindert Verwirrung oder Doppelarbeit während einer Krise, in der Koordination kritisch ist.

Artikel 9(3) verlangt von jedem Mitgliedstaat, Fähigkeiten, Ressourcen und Verfahren zu identifizieren, die in einer Krise eingesetzt werden können. Dies ist im Wesentlichen ein Fähigkeits-Audit und eine Planungsübung. Welche Regierungsbehörden verfügen über Cybersicherheitsexperten? Welche Betreiber kritischer Infrastrukturen verfügen über Reaktionsressourcen, die für eine regierungskoordinierte Reaktion mobilisiert werden könnten? Welche technische Infrastruktur existiert zur Unterstützung der Krisenkoordination? Diese Bestandsaufnahme muss vor dem Eintreten einer Krise vorhanden sein; während einer Krise gibt es keine Zeit, sie zu erstellen.

Artikel 9(4) verlangt die Annahme eines nationalen Plans zur Reaktion auf Cybersicherheitsvorfälle großen Ausmaßes und Krisen. Dieser Plan muss mehrere Elemente enthalten:

  • Ziele der nationalen Vorbereitung: Was versucht die Nation zu erreichen bei der Verhinderung und Vorbereitung auf Cybersicherheitskrisen großen Ausmaßes?
  • Aufgaben und Verantwortlichkeiten der Cyber-Krisenmanagementbehörden: Welche Behörde tut was, wer entscheidet über die Aktivierung von Krisenverfahren, und welche Befehlskette gilt während einer Krise?
  • Verfahren zum Management von Cybersicherheitskrisen, einschließlich, wie sie sich in das allgemeine nationale Krisenmanagement integrieren und welche Informationsaustauschkanäle für die Krisenkommunikation bestehen.
  • Nationale Vorbereitungsmaßnahmen, einschließlich Übungen und Schulungen. Sich auf eine Krise vorzubereiten bedeutet, die eigene Reaktion zu testen, bevor man einer echten gegenübersteht. Mitgliedstaaten müssen Übungen durchführen, um zu testen, ob ihre Krisenkoordinationsverfahren tatsächlich funktionieren, und Schulungen stellen sicher, dass das benannte Personal seine Rollen und Verantwortlichkeiten kennt, bevor eine Krise es zur Ausführung zwingt.
  • Beteiligte öffentliche und private Interessengruppen und Infrastruktur. Cybersicherheitskrisen großen Ausmaßes können nicht von der Regierung allein bewältigt werden. Betreiber kritischer Infrastrukturen, Telekommunikationsanbieter und Anbieter wesentlicher Dienste müssen koordiniert werden. Der Plan sollte diese Interessengruppen identifizieren und beschreiben, wie sie eingebunden werden.
  • Nationale Verfahren und Vereinbarungen, um die wirksame Teilnahme des Mitgliedstaats am koordinierten Management von Vorfällen großen Ausmaßes auf Unionsebene zu gewährleisten, koordiniert über EU-CyCLONe und das CSIRT-Netzwerk.

EU-CyCLONe: Koordination der Krisenreaktion in ganz Europa

Artikel 16 etabliert EU-CyCLONe, das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen. Dies ist kein operatives Krisenreaktionsteam; es ist ein Koordinationsmechanismus, durch den Mitgliedstaaten Vorfälle großen Ausmaßes bewältigen, die mehrere Länder betreffen.

EU-CyCLONe setzt sich aus Vertretern der Cyber-Krisenmanagementbehörden der Mitgliedstaaten zusammen und, wenn ein Sicherheitsvorfall großen Ausmaßes mit erheblichen potenziellen Auswirkungen auf wesentliche und wichtige Einrichtungen auftritt, aus Vertretern der Kommission. Wenn keine laufende Krise den Geltungsbereich der Richtlinie betrifft, nimmt die Kommission als Beobachter teil und nicht als Vollmitglied. Die ENISA (die EU-Agentur für Cybersicherheit) stellt das Sekretariat und unterstützt den sicheren Informationsaustausch.

Der operative Zweck von EU-CyCLONe ist die Unterstützung des koordinierten Managements von Cybersicherheitsvorfällen großen Ausmaßes und Krisen auf operativer Ebene und die Sicherstellung des regelmäßigen Austauschs relevanter Informationen zwischen Mitgliedstaaten und Unionsinstitutionen. Dies ist anspruchsvolle Arbeit. Wenn ein Vorfall mehrere Mitgliedstaaten betrifft, bietet EU-CyCLONe das Forum, durch das Mitgliedstaaten Informationen teilen, die Reaktion koordinieren und sicherstellen, dass die von einem Mitgliedstaat ergriffenen Maßnahmen die Maßnahmen eines anderen nicht untergraben.

Artikel 16(3) legt die spezifischen Aufgaben von EU-CyCLONe fest:

  • Koordination der Reaktion auf Cybersicherheitsvorfälle großen Ausmaßes und Krisen, einschließlich der Bestimmung der zur Bewältigung des Vorfalls erforderlichen Maßnahmen und der Aufteilung der Reaktionsbemühungen zwischen den Mitgliedstaaten.
  • Informationsaustausch zwischen Mitgliedstaaten und mit relevanten EU-Institutionen über Vorfälle großen Ausmaßes, einschließlich Bewertungen des Umfangs und der Auswirkungen des Vorfalls.
  • Erleichterung der Unterstützung und Hilfe für von Vorfällen betroffene Mitgliedstaaten. Wenn ein Mitgliedstaat besonders schwer betroffen ist, können andere über den EU-CyCLONe-Koordinationsprozess technische Expertise, Werkzeuge oder andere Ressourcen anbieten.
  • Koordination mit dem CSIRT-Netzwerk (dem Netzwerk nationaler Computer-Sicherheitsvorfallsreaktionsteams, die Routinevorfälle nach Artikel 15 bearbeiten). Während einer Krise großen Ausmaßes sind sowohl das CSIRT-Netzwerk als auch EU-CyCLONe aktiv. CSIRTs bearbeiten die technischen Details des Vorfalls; EU-CyCLONe verwaltet die strategische, operative und politische Koordination.
  • Bereitstellung strategischer Leitlinien für das CSIRT-Netzwerk zu aufkommenden Fragen, die Vorfälle großen Ausmaßes betreffen.
  • Austausch von Sichtweisen zu politischen Antworten auf Vorfälle großen Ausmaßes, wobei Lehren aus Vorfällen gezogen werden, um die zukünftige Vorbereitung zu verbessern.
  • Erörterung nationaler Reaktionspläne für Vorfälle großen Ausmaßes und deren Überprüfung, um die Kohärenz in der gesamten Union sicherzustellen.

Die Rolle des CSIRT-Netzwerks in der Krisenreaktion

Das CSIRT-Netzwerk (das Netzwerk nationaler Computer-Sicherheitsvorfallsreaktionsteams, die nach den Artikeln 10 und 11 eingerichtet und überwacht werden) spielt eine kritische unterstützende Rolle für EU-CyCLONe während Vorfällen großen Ausmaßes. Artikel 15(4) verlangt, dass das CSIRT-Netzwerk mit EU-CyCLONe auf der Grundlage vereinbarter Verfahrensregelungen zusammenarbeitet.

Diese Zusammenarbeit nimmt mehrere Formen an. CSIRTs liefern Expertise in der technischen Vorfallsbearbeitung. Wenn EU-CyCLONe die Reaktion auf einen Vorfall koordiniert, leisten die technischen Teams der nationalen CSIRTs oft die eigentliche Ermittlungsarbeit, einschließlich der Identifizierung betroffener Systeme, der Bestimmung von Angriffsvektoren und der Entwicklung von Abhilfemaßnahmen. CSIRTs liefern regelmäßige operative Updates an EU-CyCLONe zum technischen Fortschritt der Vorfallsreaktion.

CSIRTs erleichtern auch den Informationsaustausch zwischen Mitgliedstaaten. Wenn eine Schwachstelle aktiv in mehreren Ländern ausgenutzt wird, tauschen CSIRTs Indikatoren der Kompromittierung und technische Details aus, die anderen Ländern helfen zu erkennen, ob ihre Organisationen betroffen sind. Dieser Informationsaustausch kann die Erkennung von Vorfällen und die Reaktion darauf beschleunigen.

CSIRTs koordinieren sich mit wesentlichen und wichtigen Einrichtungen innerhalb ihres Mitgliedstaats. Wenn ein Sicherheitsvorfall großen Ausmaßes mehrere Einrichtungen betrifft, stellt das nationale CSIRT sicher, dass alle betroffenen Einrichtungen konsistente Anleitung erhalten und dass ihre Vorfallsmeldungen koordiniert werden. Dies verhindert, dass Organisationen widersprüchliche Informationen oder unterschiedliche Abhilfeempfehlungen erhalten.

Aktivierung und Eskalation

Die Artikel 9 und 16 etablieren Rahmen, aber sie spezifizieren nicht genau, wann eine Krisenreaktion aktiviert werden sollte oder welche Kriterien bestimmen, ob ein Vorfall „großen Ausmaßes“ ist. Dies ist absichtlich flexibel, weil das Ausmaß und die Bedeutung von Vorfällen variieren. Mitgliedstaaten sollten jedoch klare Kriterien für die Aktivierung festlegen.

Ein Vorfall wird typischerweise zu einem Vorfall großen Ausmaßes, wenn er mehrere wesentliche Einrichtungen in verschiedenen Sektoren betrifft oder nationale Grenzen überschreitet. Ein Angriff, der ein Krankenhaus betrifft, ist ernst, aber nicht großen Ausmaßes; ein Angriff, der Krankenhäuser in drei verschiedenen Mitgliedstaaten betrifft, ist es. Eine Schwachstelle, die die Produkte eines bestimmten Anbieters betrifft, kann ernst sein, aber wenn sie kritische Infrastruktur in mehreren Ländern betrifft, wird sie zu einem Vorfall großen Ausmaßes.

Die Richtlinie geht davon aus, dass bei Vorfällen großen Ausmaßes die Eskalation dynamisch erfolgt. Ein Vorfall kann mit der routinemäßigen Bearbeitung durch ein nationales CSIRT beginnen und an EU-CyCLONe eskaliert werden, wenn sein Ausmaß deutlich wird. Alternativ kann EU-CyCLONe präventiv aktiviert werden, wenn die Aufklärung einen bevorstehenden Angriff von erheblichem Ausmaß nahelegt.

Vorbereitung und Übungen

Rahmen für das Management von Krisen großen Ausmaßes sind nur wirksam, wenn Organisationen und Teams ihre Rollen tatsächlich verstehen und die Verfahren in der Praxis funktionieren. Artikel 9(4)(d) verlangt, dass nationale Reaktionspläne für Vorfälle großen Ausmaßes Vorbereitungsmaßnahmen, einschließlich Übungen und Schulungen, umfassen.

Wirksame Krisenvorbereitung umfasst regelmäßige Übungen, in denen Mitgliedstaaten, wesentliche Einrichtungen und andere Interessengruppen die Reaktion auf realistische Vorfälle großen Ausmaßes üben. Diese Übungen testen, ob Kommunikationskanäle funktionieren, ob Entscheidungsprozesse unter Stress funktionieren, ob der Informationsaustausch wirksam ist und ob die Koordination zwischen Sektoren und Ländern tatsächlich stattfindet. Übungen offenbaren Lücken in Planung oder Fähigkeit, die vor einer echten Krise behoben werden können.

Übungen bauen auch Beziehungen auf. Krisenreaktion hängt von Vertrauen und informellen Beziehungen ab. Wenn Beamte verschiedener Behörden in Übungen zusammengearbeitet haben, kennen sie einander und haben Arbeitsbeziehungen aufgebaut. Während einer tatsächlichen Krise erleichtern diese Beziehungen eine schnellere, wirksamere Koordination.

Mitgliedstaaten sollten Übungen zur Reaktion auf Vorfälle großen Ausmaßes mindestens jährlich durchführen, unter Einbeziehung relevanter Regierungsbehörden, Betreiber kritischer Infrastrukturen und internationaler Partner. Die ENISA und die Kooperationsgruppe sollten Leitlinien für die Gestaltung von Übungen und die Koordination zwischen Mitgliedstaaten bereitstellen.

Berichterstattung und Transparenz

EU-CyCLONe muss über seine Arbeit berichten. Artikel 16(7) verlangt, dass EU-CyCLONe alle 18 Monate einen Bericht an das Europäische Parlament und den Rat vorlegt, der seine Arbeit bewertet, einschließlich Informationen über bewältigte Vorfälle großen Ausmaßes, gewonnene Erkenntnisse und Empfehlungen für ein verbessertes Krisenmanagement.

Diese Berichtspflicht schafft Verantwortlichkeit und Transparenz. Das Europäische Parlament und der Rat können bewerten, ob der Krisenmanagementrahmen funktioniert, ob die Ressourcen angemessen sind und ob Änderungen am Rahmen erforderlich sind.

Zentrale Erkenntnisse

  • Artikel 9 verlangt von jedem Mitgliedstaat, einen nationalen Rahmen für das Cyber-Krisenmanagement zu etablieren, einschließlich der Benennung zuständiger Behörden, der Identifizierung verfügbarer Fähigkeiten und der Annahme eines nationalen Krisenreaktionsplans mit klaren Zielen, Verantwortlichkeitszuweisungen, Verfahren und der Identifizierung von Interessengruppen.

  • EU-CyCLONe, eingerichtet nach Artikel 16, koordiniert die Reaktion auf Cybersicherheitsvorfälle großen Ausmaßes zwischen Mitgliedstaaten. Es bringt nationale Cyber-Krisenmanagementbehörden zusammen und erleichtert den Informationsaustausch, den Ressourcenaustausch und eine einheitliche Reaktionsstrategie.

  • Das CSIRT-Netzwerk unterstützt EU-CyCLONe, indem es Expertise in der technischen Vorfallsbearbeitung bereitstellt, den Informationsaustausch zwischen Mitgliedstaaten erleichtert und sich mit betroffenen Einrichtungen koordiniert. Technische Vorfallsreaktion und Koordination auf Krisenebene sind komplementäre Funktionen.

  • Nationale Krisenmanagementrahmen müssen sich in bestehende nationale Notfallmanagementstrukturen integrieren. Cybersicherheitskrisen treten nicht isoliert auf; sie müssen als Teil einer breiteren nationalen Resilienz bewältigt werden.

  • Vorbereitung erfordert regelmäßige Übungen und Schulungen. Mitgliedstaaten und Interessengruppen sollten jährliche oder häufigere Übungen zum Testen von Krisenverfahren durchführen, um Lücken zu identifizieren und Beziehungen aufzubauen, bevor eine tatsächliche Krise eintritt.

Daniel Grigorovich

Daniel Grigorovich · Gründer

Ich bin der Meinung, dass kein Unternehmen unter „Compliance-Checklisten“ oder der Auslegung vager gesetzlicher Vorschriften leiden sollte. Auch wenn ich nach wie vor an dem Grundsatz festhalte, dass alle Softwareprodukte zuverlässig und sicher sein sollten, möchte ich Unternehmen eine Möglichkeit bieten, die Herausforderungen zu meistern, die bei der Umsetzung dieser Anforderungen auftreten.