3.3. Meldung von Ereignissen
3.3.1. Die betreffenden Einrichtungen richten einen einfachen Mechanismus ein, über den ihre Mitarbeitenden, Anbieter und Kunden verdächtige Ereignisse melden können.
3.3.2. Die betreffenden Einrichtungen unterrichten – soweit angemessen – ihre Anbieter und Kunden über den Mechanismus für die Meldung von Ereignissen und schulen ihre Mitarbeitenden regelmäßig in Bezug auf dessen Nutzung.
redaktionelle Anmerkungen:
- Hier ist NICHT gemeint: die Meldung von Incidents gem. §32 BSIG an die Aufsichtsbehörde (BSI).
- Ein solches Meldesystem kennen wir bereits aus dem Hinweisgeberschutzgesetz (HinSchG), wobei hier allerdings nur eine Verpflichtung gegenüber solchen Personen besteht, die im Rahmen ihrer beruflichen Tätigkeit Rechtsverstöße beobachten. Es wäre aber dennoch fraglich, ob ein ggf. betriebenes Hinweisgebersystem auch nach außen dafür genutzt werden kann, diese Anforderung abzubilden.
Ein einfacher und klarer Mechanismus zur Meldung von Vorfällen sowie regelmäßige Schulungen stellen sicher, dass potenzielle Sicherheitsvorfälle frühzeitig gemeldet und schnell bearbeitet werden können. Dies ist ein wichtiger Bestandteil der NIS2-konformen Sicherheitsstrategie.
Vereinfachte Erklärung der Anforderungen aus 3.3: Meldung von Ereignissen
3.3.1 Einfache Meldewege
Organisationen müssen einen benutzerfreundlichen Mechanismus einrichten, über den Mitarbeitende, Anbieter und Kunden verdächtige Ereignisse oder Vorfälle melden können.
3.3.2 Information und Schulung
- Information: Anbieter und Kunden müssen über den Meldeweg informiert werden, sofern dies angemessen ist.
- Schulung: Mitarbeitende sollten regelmäßig geschult werden, um sicherzustellen, dass sie den Meldeweg korrekt nutzen können.
Fragenkatalog: Meldung von Ereignissen
1. Einrichtung eines Meldemechanismus
- Wurde ein einfacher und leicht zugänglicher Mechanismus eingerichtet, über den Mitarbeitende, Anbieter und Kunden verdächtige Ereignisse melden können? (Bezug zu 3.3.1)
- Ist der Meldemechanismus sowohl technisch als auch organisatorisch einsatzbereit und funktionsfähig? (Bezug zu 3.3.1)
2. Information und Schulung
- Werden Anbieter und Kunden über den vorhandenen Meldemechanismus informiert? (Bezug zu 3.3.2)
- Wird das Personal regelmäßig in der Nutzung des Meldemechanismus geschult? (Bezug zu 3.3.2)
- Gibt es eine dokumentierte Schulungsstrategie oder einen Zeitplan für die regelmäßige Unterweisung der Mitarbeitenden? (Bezug zu 3.3.2)
3. Nutzung und Effektivität
- Wird die Nutzung des Meldemechanismus überwacht, um dessen Effektivität und Nutzerfreundlichkeit sicherzustellen? (Bezug zu 3.3.1 und 3.3.2)
- Wurden Anpassungen am Mechanismus vorgenommen, basierend auf Feedback von Nutzern oder identifizierten Schwächen? (Bezug zu 3.3.2)
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!