Fristen um den Faktor 60 beschleunigt!
Die genannten Fristen sind auf diesem System beschleunigt, um einen vereinfachten Test des Meldeablaufs zu ermöglichen. Sie erhalten somit auch Warnungen zu ausstehenden Folgeberichten in den verkürzten Zeiten.
Art der Meldung | Reale Frist | Frist am Testsystem |
---|---|---|
Frühwarnung | 24 Stunden | 24 Minuten |
Meldung | 72 Stunden | 72 Minuten |
Abschlussbericht / Fortschrittsbericht | 1 Monat | 12 Stunden |
1. Wann liegt ein erheblicher Cybersicherheitsvorfall vor?
Bei der Beurteilung, ob eine Störung erhebliche Auswirkungen hat und somit einen Sicherheitsvorfall darstellt, sind insbesondere die Anzahl der betroffenen Nutzer, die Dauer der Störung, die geografische Ausbreitung der Störung sowie die Auswirkung auf wirtschaftliche oder gesellschaftliche Tätigkeiten zu berücksichtigen.
2. Wann ist eine Frühwarnung erforderlich?
24 Stunden nach Kenntnisnahme des erheblichen Cybersicherheitsvorfalls.
3. Wann ist eine Meldung erforderlich?
Unverzüglich, in jedem Fall aber innerhalb von 72 Stunden nach Kenntnisnahme des erheblichen Cybersicherheitsvorfalls.
4. Wann ist ein Zwischenbericht erforderlich?
Auf Ersuchen eines CSIRT (Computer Security Incident Response Team) oder gegebenenfalls der Cybersicherheitsbehörde.
5. Wann ist ein Abschlussbericht erforderlich?
Spätestens einen Monat nach Übermittlung der Meldung des Cybersicherheitsvorfalls.
6. Wann ist ein Fortschrittsbericht erforderlich?
Im Falle eines andauernden Cybersicherheitsvorfalls zum Zeitpunkt der Vorlage des Abschlussberichts haben die betreffenden Einrichtungen zu diesem Zeitpunkt einen Fortschrittsbericht und einen Abschlussbericht innerhalb eines Monats nach Behandlung des Cybersicherheitsvorfalls zu übermitteln.
7. Wann ist ein Widerruf erforderlich?
Wenn der Verdacht aus der Frühwarnung sich NICHT bestätigt und/oder die Vorrausetzungen für einen erheblichen Cybersicherheitsvorfall NICHT gegeben sind.
8. Was sind Kompromittierungsindikatoren oder auch IOC - indicator of compromise?
Ein Kompromittierungsindikator (IOC) ist Beweis dafür, dass jemand möglicherweise das Netzwerk oder den Endpunkt einer Organisation verletzt hat. Diese Daten weisen nicht nur auf eine potenzielle Bedrohung hin, sondern signalisieren auch, dass ein Angriff, z. B. durch Schadsoftware, kompromittierte Anmeldedaten oder Datenexfiltration, bereits stattgefunden hat.
Beispiele wären: Anomalien des Netzwerkdatenverkehrs, Ungewöhnliche Anmeldeversuche, Änderungen an Systemkonfigurationen oder unerwartete Software-Installationen oder -Updates.
9. Kontaktstellen
Bei technischen Fragen: nis-reports@cert.at
Bei behördlichen Fragen: post@nis.gv.at