Art. 15 + 16 NIS 2

Das CSIRTs-Netzwerk und EU-CyCLONe nach Art. 15 und 16

NIS 2 schafft zwei grenzüberschreitende Kooperationsnetzwerke. Das CSIRTs-Netzwerk übernimmt die technische Vorfallbearbeitung zwischen den nationalen CSIRTs. EU-CyCLONe übernimmt die politische Koordination, wenn eine Cyberkrise über ein Land hinausgeht. Beide haben die ENISA als Sekretariat.

Simon OrzelSimon Orzel·

Die Kurzfassung

NIS 2 macht zwei Dinge gleichzeitig. Betroffene Einrichtungen melden Vorfälle an ihr nationales CSIRT oder die zuständige Behörde. Gleichzeitig sollen die Mitgliedstaaten untereinander reden, wenn ein Vorfall Grenzen überschreitet oder mehrere Länder betrifft. Diesen zweiten Teil regeln die Artikel 15 und 16.

Artikel 15 errichtet das CSIRTs-Netzwerk. Das ist die technisch-operative Ebene. Die nationalen CSIRTs (in Deutschland: das CERT-Bund beim BSI) sowie das CERT-EU sitzen darin. Sie tauschen Bedrohungsdaten aus, koordinieren grenzüberschreitende Vorfallbearbeitung und teilen Werkzeuge. Die ENISA führt das Sekretariat.

Artikel 16 errichtet EU-CyCLONe, das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen. Das ist die politische Ebene. Die nationalen Behörden für Cyberkrisenmanagement (in Deutschland: das Bundesministerium des Innern) sitzen darin. Sie koordinieren die politische Antwort auf grosse Vorfälle. Die ENISA führt auch hier das Sekretariat. Dieselbe Agentur, zwei Ebenen.

Die Rechtsgrundlage
Beide Netzwerke entstehen unmittelbar aus der Richtlinie. Es gibt keine separate Durchführungsverordnung, die sie errichtet. Die nationale Umsetzung erfolgt über die CSIRT-Benennung nach Art. 10 und über die nationalen Cyberkrisen-Behörden.

Art. 15(1) und Art. 16(1) NIS 2-Richtlinie (2022/2555)

Um zum Aufbau von Vertrauen zwischen den Mitgliedstaaten beizutragen und eine rasche und wirksame operative Zusammenarbeit zwischen ihnen zu fördern, wird ein Netzwerk nationaler CSIRTs errichtet. […] Zur Unterstützung des koordinierten Managements von Cybersicherheitsvorfällen großen Ausmaßes und Krisen auf operativer Ebene und zur Gewährleistung eines regelmäßigen Austauschs relevanter Informationen zwischen den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der Union wird das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen (European Cyber Crises Liaison Organisation Network, EU-CyCLONe) eingerichtet.

Zwei aufeinanderfolgende Artikel. Zwei Netzwerke. Artikel 15 steht auf der operativen Ebene. Artikel 16 steht auf der politischen Ebene. Die Richtlinie schafft beide Gremien direkt. Es ist kein weiteres EU-Recht nötig, damit sie existieren.

N/A: Institutionen auf Richtlinienebene

Es gibt keine Durchführungsverordnung, die das CSIRTs-Netzwerk oder EU-CyCLONe weiter ausgestaltet.

Anders als bei Artikel 21(2) (den die DVO konkretisiert) sind Artikel 15 und 16 selbstvollziehend. Die Netzwerke haben sich eigene Geschäftsordnungen gegeben, aber das sind interne Arbeitsdokumente, keine EU-Rechtsakte. Was für betroffene Einrichtungen zählt, sind die nationalen Ansprechpartner, nicht die interne Arbeitsweise der Netzwerke.

Nationale CSIRT-Benennung nach Art. 10 NIS 2 + nationale Cyberkrisen-Behörde

Deutschland: Das CERT-Bund (beim BSI) ist das benannte nationale CSIRT im Artikel-15-Netzwerk. Das Bundesministerium des Innern (BMI) vertritt Deutschland in EU-CyCLONe.

Jeder Mitgliedstaat benennt nach Artikel 10 NIS 2 ein nationales CSIRT und benennt die Behörde, die für das Cyberkrisenmanagement zuständig ist. Für Deutschland bestätigt das BSIG das BSI als nationale Behörde und das CERT-Bund als nationales CSIRT. Auf der politischen Ebene vertritt das BMI Deutschland in EU-CyCLONe.

Was jedes Netzwerk konkret tut
Artikel 15(3) listet sechzehn Aufgaben für das CSIRTs-Netzwerk. Artikel 16(3) listet fünf Aufgaben für EU-CyCLONe. Das dritte Feld zeigt, wo das eine endet und das andere beginnt.
Art. 15(3)

CSIRTs-Netzwerk: operative Zusammenarbeit

Das Netzwerk tauscht Informationen über CSIRT-Kapazitäten aus, teilt Werkzeuge und Verfahren, gibt Vorfall- und Bedrohungsdaten weiter, koordiniert die Reaktion auf grenzüberschreitende Vorfälle, unterstützt einzelne Mitgliedstaaten bei Vorfällen, die sie betreffen, und speist in die koordinierte Schwachstellenoffenlegung nach Artikel 12 ein. Technische Arbeit zwischen technischen Teams.

Art. 16(3)

EU-CyCLONe: politische Koordination

EU-CyCLONe baut die Vorbereitung auf das Management von Cybersicherheitsvorfällen grossen Ausmasses und Krisen aus, entwickelt ein gemeinsames Lagebild, bewertet Folgen und schlägt Abhilfemassnahmen vor, koordiniert die politische Antwort und bespricht auf Antrag eines Mitgliedstaats dessen nationalen Reaktionsplan für Grossvorfälle. Politische Arbeit zwischen politischen Vertretern.

Die Grenze

Wann eskaliert die operative Ebene auf die politische?

Kleinere oder routinemässige grenzüberschreitende Vorfälle bleiben im CSIRTs-Netzwerk. Vorfälle grossen Ausmasses, die Entscheidungen auf Ministerebene erfordern (branchenübergreifende Wirkung, öffentliche Kommunikation, EU-weite Stellungnahmen), eskalieren zu EU-CyCLONe. Die zwei Netzwerke sind so gebaut, dass sie Arbeit ineinander übergeben können, mit der ENISA als verbindendem Sekretariat.

Zwei Regeln, die die Kooperationsarchitektur prägen
Zwei Konstruktionsprinzipien stehen unter Art. 15 und Art. 16. Sie erklären, warum NIS 2 zwei Netzwerke statt einem brauchte.

Technik und Politik sind unterschiedliche Aufgaben

Ein CSIRT-Analyst, der grenzüberschreitend Malware-Signaturen teilt, hat eine andere Aufgabe als ein ministerieller Berater, der ein Kabinett zur Attribution eines staatlichen Angreifers briefen muss. NIS 2 trennt beides bewusst in zwei Netzwerke. Die Vermischung der Ebenen würde die technische Reaktion bremsen und politische Entscheidungen verdrängen.

Die ENISA als Bindeglied

Die ENISA führt das Sekretariat für beide Netzwerke. Dieselbe Agentur, dasselbe Gebäude, dieselbe Lagewahrnehmung. Das ist die bewusste Konstruktionsentscheidung der EU: die zwei Kooperationsebenen strukturell trennen, aber sicherstellen, dass sie ein gemeinsames Lagebild teilen. Ohne diese Verbindung würde die politische Ebene auf veralteter Information reagieren.

Wer sitzt in welchem Netzwerk
Jeder Mitgliedstaat hat ein CSIRT im Artikel-15-Netzwerk und einen politischen Vertreter in EU-CyCLONe. Die Liste ist öffentlich.
Deutschland

CERT-Bund (BSI) + BMI

Das CERT-Bund beim BSI ist Deutschlands nationales CSIRT im Artikel-15-Netzwerk. Das Bundesministerium des Innern (BMI) vertritt Deutschland in EU-CyCLONe. Für eine betroffene Einrichtung ist der praktische Ansprechpartner das BSI. Die politische Ebene läuft über Ihrem Kopf, ihre Entscheidungen prägen aber das, was Ihnen das BSI sagt.

EU-weit

ENISA als Sekretariat für beide Netzwerke

Die ENISA, die EU-Agentur für Cybersicherheit, stellt das Sekretariat sowohl für das CSIRTs-Netzwerk als auch für EU-CyCLONe. Sie produziert die Veröffentlichungen, die aus beiden Netzwerken hervorgehen (Reaktionsplaybooks, Bedrohungsberichte, Übungsauswertungen). Diese fliessen zurück in nationale Leitfäden wie die BSI-Infopakete.

Andere Mitgliedstaaten

Nationale CSIRTs + nationale Cyberkrisen-Behörden

Jeder Mitgliedstaat benennt jeweils einen. Niederlande: NCSC-NL im CSIRTs-Netzwerk, das Justizministerium in EU-CyCLONe. Österreich: GovCERT Austria im Netzwerk, das Bundeskanzleramt auf der politischen Ebene. Die Struktur ist EU-weit identisch, die Behörden unterscheiden sich nach Land.

Drei Dinge, die häufig missverstanden werden
Drei Annahmen, die in Gesprächen immer wieder auftauchen. Alle drei führen zu einem falschen Bild davon, wie NIS-2-Kooperation funktioniert.
  • Das CSIRTs-Netzwerk regelt alle Cyber-Themen auf EU-Ebene.

    Nein. Das CSIRTs-Netzwerk ist die operative und technische Ebene. Vorfälle grossen Ausmasses, die politische Koordination erfordern (branchenübergreifende Kommunikation, Attribution, ministerielle Briefings), eskalieren zu EU-CyCLONe. Zwei Netzwerke, zwei Ebenen, bewusst getrennt.

  • EU-CyCLONe ist eine Aufsichtsbehörde, an die wir melden.

    Ist es nicht. EU-CyCLONe ist ein Koordinationsgremium zwischen den nationalen Behörden der Mitgliedstaaten. Es reguliert keine betroffenen Einrichtungen. Es nimmt keine Vorfallmeldungen entgegen. Die Meldung nach Artikel 23 NIS 2 geht an Ihr nationales CSIRT oder die zuständige Behörde. EU-CyCLONe arbeitet eine Ebene darüber, zwischen Regierungen.

  • Wir reichen unsere Vorfallmeldungen beim CSIRTs-Netzwerk ein.

    Tun Sie nicht. Artikel 23 NIS 2 sagt, dass Sie an Ihr nationales CSIRT oder die zuständige Behörde melden. In Deutschland: das BSI. Das nationale CSIRT teilt dann relevante Informationen mit dem CSIRTs-Netzwerk, wenn grenzüberschreitende Koordination nötig ist. Das Netzwerk ist der Ansprechpartner Ihres CSIRT, nicht Ihrer.

Was das für eine betroffene Einrichtung bedeutet

Für ein Stadtwerk oder einen mittelständischen IT-Betreiber ist der praktische Ansprechpartner das nationale CSIRT. In Deutschland: das CERT-Bund beim BSI. Sie melden Vorfälle nach Artikel 23 NIS 2 dorthin, Sie lesen deren Warnungen, Sie rufen dort an, wenn es brennt. Das CSIRTs-Netzwerk und EU-CyCLONe laufen hinter dieser Schnittstelle.

Warum diese Netzwerke trotzdem für Sie relevant sind: Wenn ein grenzüberschreitender Vorfall einschlägt (denken Sie an einen Lieferketten-Angriff, der fünfzehn Länder gleichzeitig trifft), sorgt die Koordination auf CSIRTs-Netzwerk-Ebene dafür, dass die Reaktion Ihres nationalen CSIRT mit dem Rest der EU zusammenpasst. Und die politische Koordination auf EU-CyCLONe-Ebene entscheidet, ob die Reaktion auf technische Eindämmung beschränkt bleibt oder zur öffentlichen Stellungnahme wird. Beides prägt am Ende den Rat, den Sie bekommen.

Wie wir das auf der Plattform abbilden

Das Vorfallmodul leitet Meldungen an Ihr nationales CSIRT nach Artikel 23 (in Deutschland: BSI). Sie haben keinen direkten Kontakt zum CSIRTs-Netzwerk oder zu EU-CyCLONe; das nationale CSIRT ist Ihr einziger Gegenpart für Vorfallmeldungen. Die Plattform übernimmt die Fristen (24 h Frühwarnung, 72 h Meldung, ein Monat Abschlussbericht).

Unsere Referenzebene macht die ENISA-Veröffentlichungen und Leitfäden sichtbar, die aus der Arbeit des CSIRTs-Netzwerks hervorgehen. Bedrohungswarnungen, gemeinsame Berichte, Übungsergebnisse: das fliesst in unsere Auslegung von 'geeignet und verhältnismässig' nach Artikel 21(1) ein. Sie müssen das nicht selbst verfolgen.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Artikel 15 und 16: eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Richtlinie (EU) 2022/2555 (NIS 2), Artikel 10 (CSIRT-Benennung) und Artikel 23 (Vorfallmeldung)
  • ENISA-Website zum CSIRTs-Netzwerk und EU-CyCLONe: enisa.europa.eu
  • BSI-Gesetz (BSIG), CERT-Bund als nationales CSIRT nach §5 BSIG
  • EU-CyCLONe Standard Operating Procedures (öffentliche Zusammenfassung durch ENISA)
Vorfallmeldungen automatisch über den richtigen Kanal abwickeln
Artikel-23-Fristen, BSI/CSIRT-Routing, Audit-Trail. Kostenlos, Open Source, kein Lock-in.