Erwägungsgrund 32: Kriterien für die Schwere von Sicherheitsvorfällen
Im Hinblick auf die Feststellung, ob ein Sicherheitsvorfall erheblich ist, sollten die betreffenden Einrichtungen – soweit zutreffend – die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer ermitteln, wobei sie Geschäfts- und Endkunden, mit denen die betreffenden Einrichtungen eine Vertragsbeziehung unterhalten, sowie natürliche und juristische Personen, die mit den Geschäftskunden in Verbindung stehen, berücksichtigen sollten.
Ist eine betreffende Einrichtung nicht imstande, die Zahl der betroffenen Nutzer zu berechnen, sollte sie bei der Bestimmung der Gesamtzahl der von dem Sicherheitsvorfall betroffenen Nutzer ihre Schätzung der möglichen Höchstzahl betroffener Nutzer zugrunde legen.
Die Bedeutung eines Sicherheitsvorfalls, an dem ein Vertrauensdienst beteiligt ist, sollte nicht nur anhand der Zahl der Nutzer, sondern auch der Zahl der vertrauenden Beteiligten bestimmt werden, da diese im Hinblick auf Betriebsstörungen und materielle oder immaterielle Schäden gleichermaßen von einem erheblichen Vorfall, an dem ein Vertrauensdienst beteiligt ist, beeinträchtigt werden können.
Deshalb sollten Vertrauensdiensteanbieter bei ihrer Feststellung, ob ein Sicherheitsvorfall erheblich ist, – soweit anwendbar – auch die Zahl der vertrauenden Beteiligten berücksichtigen.
Zu diesem Zweck sollten vertrauende Beteiligte als natürliche oder juristische Personen verstanden werden, die einen Vertrauensdienst in Anspruch nehmen.
Navigieren Sie sicher durch die NIS2-Richtlinie!
Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!