Sicherheitsvorfall ist ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder IT-gestützten Diensten beeinträchtigt. Für NIS2-betroffene Unternehmen bedeutet Sicherheitsvorfall, dass aus einer technischen Störung schnell ein meldepflichtiger Vorgang werden kann.
Was ist ein Sicherheitsvorfall?
Art. 6 Abs. 6 der Richtlinie (EU) 2022/2555 definiert einen Incident als Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder Diensten beeinträchtigt. Der Begriff erfasst damit Cyberangriffe, Ausfälle, Manipulationen, unbefugte Zugriffe und Datenabflüsse.
Für die deutsche Praxis ist die Abgrenzung wichtig. Der im NIS2-Kontext verwendete Begriff nähert sich dem Verständnis im BSIG-E § 2 Abs. 8 an, wonach ein Sicherheitsvorfall die Beeinträchtigung zentraler Schutzziele beschreibt. Nicht jede Störung ist deshalb automatisch ein Sicherheitsvorfall.
Abgrenzung: Sicherheitsvorfall vs. Störung
Eine Störung beschreibt zunächst nur, dass ein System oder Dienst nicht wie vorgesehen funktioniert. Ein Sicherheitsvorfall geht darüber hinaus, weil ein Schutzgut der Informationssicherheit betroffen ist. Wenn ein internes Tool wegen eines Fehlers kurz langsam reagiert, ist das meist nur eine Störung. Wenn ein DDoS-Angriff den Webshop mehrere Stunden unerreichbar macht oder Kundendaten exfiltriert werden, liegt ein Sicherheitsvorfall vor.
Für Unternehmen ist diese Abgrenzung praktisch entscheidend, weil daran Meldewege, Eskalationsstufen und die Einbindung von Incident Response hängen. Wer Vorfälle zu spät einordnet, verpasst oft die ersten kritischen Stunden für Eindämmung und Bewertung einer möglichen Meldepflicht.
Warum ist Sicherheitsvorfall für NIS2 wichtig?
Sicherheitsvorfälle sind unter NIS2 deshalb zentral, weil Art. 23 der Richtlinie die Meldepflicht an erhebliche Sicherheitsvorfälle knüpft. Art. 23 Abs. 3 legt fest, wann ein Vorfall als erheblich gilt. Maßgeblich ist erstens, ob er eine schwerwiegende Betriebsstörung der Dienste verursacht oder verursachen kann oder zu erheblichen finanziellen Verlusten führt. Maßgeblich ist zweitens, ob natürliche oder juristische Personen außerhalb der betroffenen Einrichtung beeinträchtigt werden und dadurch erhebliche materielle oder immaterielle Schäden entstehen können.
Für NIS2-betroffene Unternehmen heißt das: Nicht jeder Sicherheitsvorfall ist automatisch meldepflichtig, aber jeder Vorfall muss früh darauf geprüft werden, ob er die Schwelle zum erheblichen Sicherheitsvorfall überschreitet. Dann greifen die Fristen aus Art. 23 Abs. 4 NIS2: frühe Warnung innerhalb von 24 Stunden, Incident Notification innerhalb von 72 Stunden und Abschlussbericht innerhalb eines Monats.
Besonders relevant ist das für Unternehmen, die ihre Pflichten im Hub zur NIS2-Richtlinie in Deutschland einordnen. Vorfallmanagement ist dort nicht nur ein IT-Thema, sondern auch eine Führungs- und Compliance-Aufgabe.
Wann wird ein Sicherheitsvorfall erheblich?
Ein erheblicher Sicherheitsvorfall liegt unter NIS2 typischerweise dann vor, wenn mindestens eines von drei Kriterien erkennbar ist. Erstens: Der Vorfall führt zu einer schwerwiegenden Betriebsstörung. Zweitens: Der Vorfall verursacht erhebliche finanzielle Verluste. Drittens: Der Vorfall trifft Dritte spürbar, etwa Kunden, Patienten oder Lieferanten.
Ein kurzzeitiger lokaler Ausfall ohne Außenwirkung kann intern beherrschbar sein. Ein Ransomware-Befall mit Verschlüsselung von ERP- und Backup-Systemen ist dagegen regelmäßig ein Kandidat für einen erheblichen Sicherheitsvorfall. Dasselbe gilt für ein Datenleck mit Abfluss sensibler Kundendaten oder für einen DDoS-Angriff mit stundenlanger Ausfallzeit.
Praxisbeispiel für ein deutsches Unternehmen
Ein mittelständischer Logistikdienstleister in Deutschland wird Opfer eines Ransomware-Angriffs. Die Dispositionssoftware ist nicht mehr erreichbar, das Kundenportal ist offline und erste Hinweise sprechen für einen Abfluss von Auftragsdaten.
In diesem Fall liegt ein Sicherheitsvorfall vor, weil Verfügbarkeit und Vertraulichkeit betroffen sind. Fällt der operative Kernservice aus, entstehen erhebliche Wiederherstellungskosten und können Kunden ihre Lieferketten nicht mehr steuern, sprechen die Kriterien aus Art. 23 Abs. 3 NIS2 klar für einen erheblichen Sicherheitsvorfall. Das Unternehmen sollte deshalb früh eskalieren und seine Meldewege aktivieren.
Häufig gestellte Fragen (FAQ)
Was ist Sicherheitsvorfall?
Sicherheitsvorfall ist ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder Diensten beeinträchtigt. Unter NIS2 wird daraus ein erheblicher Sicherheitsvorfall, wenn zusätzlich schwere Betriebsstörungen, finanzielle Verluste oder erhebliche Auswirkungen auf Dritte vorliegen.
Warum ist Sicherheitsvorfall für NIS2 wichtig?
Sicherheitsvorfall ist für NIS2 wichtig, weil Art. 23 Abs. 3 der Richtlinie an diesen Begriff die Schwelle zur Meldepflicht knüpft. Unternehmen müssen deshalb früh unterscheiden, ob nur eine technische Störung vorliegt oder ein erheblicher Vorfall mit 24-Stunden-Warnung und weiteren Berichtspflichten.
CTA
Wenn Sie Sicherheitsvorfälle im Unternehmen nicht erst im Krisenmoment definieren wollen, verankern Sie Rollen, Meldewege und Entscheidungslogik frühzeitig. Unsere NIS2-Schulung unterstützt Sie dabei, Vorfallmanagement, Meldepflichten und Verantwortlichkeiten verständlich und praxisnah aufzubauen.