Das CSIRTs-Netzwerk und EU-CyCLONe nach Art. 15 und 16
NIS 2 schafft zwei grenzüberschreitende Kooperationsnetzwerke. Das CSIRTs-Netzwerk übernimmt die technische Vorfallbearbeitung zwischen den nationalen CSIRTs. EU-CyCLONe übernimmt die politische Koordination, wenn eine Cyberkrise über ein Land hinausgeht. Beide haben die ENISA als Sekretariat.
Die Kurzfassung
NIS 2 macht zwei Dinge gleichzeitig. Betroffene Einrichtungen melden Vorfälle an ihr nationales CSIRT oder die zuständige Behörde. Gleichzeitig sollen die Mitgliedstaaten untereinander reden, wenn ein Vorfall Grenzen überschreitet oder mehrere Länder betrifft. Diesen zweiten Teil regeln die Artikel 15 und 16.
Artikel 15 errichtet das CSIRTs-Netzwerk. Das ist die technisch-operative Ebene. Die nationalen CSIRTs (in Deutschland: das CERT-Bund beim BSI) sowie das CERT-EU sitzen darin. Sie tauschen Bedrohungsdaten aus, koordinieren grenzüberschreitende Vorfallbearbeitung und teilen Werkzeuge. Die ENISA führt das Sekretariat.
Artikel 16 errichtet EU-CyCLONe, das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen. Das ist die politische Ebene. Die nationalen Behörden für Cyberkrisenmanagement (in Deutschland: das Bundesministerium des Innern) sitzen darin. Sie koordinieren die politische Antwort auf grosse Vorfälle. Die ENISA führt auch hier das Sekretariat. Dieselbe Agentur, zwei Ebenen.
Art. 15(1) und Art. 16(1) NIS 2-Richtlinie (2022/2555)
Um zum Aufbau von Vertrauen zwischen den Mitgliedstaaten beizutragen und eine rasche und wirksame operative Zusammenarbeit zwischen ihnen zu fördern, wird ein Netzwerk nationaler CSIRTs errichtet. […] Zur Unterstützung des koordinierten Managements von Cybersicherheitsvorfällen großen Ausmaßes und Krisen auf operativer Ebene und zur Gewährleistung eines regelmäßigen Austauschs relevanter Informationen zwischen den Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der Union wird das Europäische Netzwerk der Verbindungsorganisationen für Cyberkrisen (European Cyber Crises Liaison Organisation Network, EU-CyCLONe) eingerichtet.
Zwei aufeinanderfolgende Artikel. Zwei Netzwerke. Artikel 15 steht auf der operativen Ebene. Artikel 16 steht auf der politischen Ebene. Die Richtlinie schafft beide Gremien direkt. Es ist kein weiteres EU-Recht nötig, damit sie existieren.
N/A: Institutionen auf Richtlinienebene
Es gibt keine Durchführungsverordnung, die das CSIRTs-Netzwerk oder EU-CyCLONe weiter ausgestaltet.
Anders als bei Artikel 21(2) (den die DVO konkretisiert) sind Artikel 15 und 16 selbstvollziehend. Die Netzwerke haben sich eigene Geschäftsordnungen gegeben, aber das sind interne Arbeitsdokumente, keine EU-Rechtsakte. Was für betroffene Einrichtungen zählt, sind die nationalen Ansprechpartner, nicht die interne Arbeitsweise der Netzwerke.
Nationale CSIRT-Benennung nach Art. 10 NIS 2 + nationale Cyberkrisen-Behörde
Deutschland: Das CERT-Bund (beim BSI) ist das benannte nationale CSIRT im Artikel-15-Netzwerk. Das Bundesministerium des Innern (BMI) vertritt Deutschland in EU-CyCLONe.
Jeder Mitgliedstaat benennt nach Artikel 10 NIS 2 ein nationales CSIRT und benennt die Behörde, die für das Cyberkrisenmanagement zuständig ist. Für Deutschland bestätigt das BSIG das BSI als nationale Behörde und das CERT-Bund als nationales CSIRT. Auf der politischen Ebene vertritt das BMI Deutschland in EU-CyCLONe.
CSIRTs-Netzwerk: operative Zusammenarbeit
Das Netzwerk tauscht Informationen über CSIRT-Kapazitäten aus, teilt Werkzeuge und Verfahren, gibt Vorfall- und Bedrohungsdaten weiter, koordiniert die Reaktion auf grenzüberschreitende Vorfälle, unterstützt einzelne Mitgliedstaaten bei Vorfällen, die sie betreffen, und speist in die koordinierte Schwachstellenoffenlegung nach Artikel 12 ein. Technische Arbeit zwischen technischen Teams.
EU-CyCLONe: politische Koordination
EU-CyCLONe baut die Vorbereitung auf das Management von Cybersicherheitsvorfällen grossen Ausmasses und Krisen aus, entwickelt ein gemeinsames Lagebild, bewertet Folgen und schlägt Abhilfemassnahmen vor, koordiniert die politische Antwort und bespricht auf Antrag eines Mitgliedstaats dessen nationalen Reaktionsplan für Grossvorfälle. Politische Arbeit zwischen politischen Vertretern.
Wann eskaliert die operative Ebene auf die politische?
Kleinere oder routinemässige grenzüberschreitende Vorfälle bleiben im CSIRTs-Netzwerk. Vorfälle grossen Ausmasses, die Entscheidungen auf Ministerebene erfordern (branchenübergreifende Wirkung, öffentliche Kommunikation, EU-weite Stellungnahmen), eskalieren zu EU-CyCLONe. Die zwei Netzwerke sind so gebaut, dass sie Arbeit ineinander übergeben können, mit der ENISA als verbindendem Sekretariat.
Technik und Politik sind unterschiedliche Aufgaben
Ein CSIRT-Analyst, der grenzüberschreitend Malware-Signaturen teilt, hat eine andere Aufgabe als ein ministerieller Berater, der ein Kabinett zur Attribution eines staatlichen Angreifers briefen muss. NIS 2 trennt beides bewusst in zwei Netzwerke. Die Vermischung der Ebenen würde die technische Reaktion bremsen und politische Entscheidungen verdrängen.
Die ENISA als Bindeglied
Die ENISA führt das Sekretariat für beide Netzwerke. Dieselbe Agentur, dasselbe Gebäude, dieselbe Lagewahrnehmung. Das ist die bewusste Konstruktionsentscheidung der EU: die zwei Kooperationsebenen strukturell trennen, aber sicherstellen, dass sie ein gemeinsames Lagebild teilen. Ohne diese Verbindung würde die politische Ebene auf veralteter Information reagieren.
CERT-Bund (BSI) + BMI
Das CERT-Bund beim BSI ist Deutschlands nationales CSIRT im Artikel-15-Netzwerk. Das Bundesministerium des Innern (BMI) vertritt Deutschland in EU-CyCLONe. Für eine betroffene Einrichtung ist der praktische Ansprechpartner das BSI. Die politische Ebene läuft über Ihrem Kopf, ihre Entscheidungen prägen aber das, was Ihnen das BSI sagt.
ENISA als Sekretariat für beide Netzwerke
Die ENISA, die EU-Agentur für Cybersicherheit, stellt das Sekretariat sowohl für das CSIRTs-Netzwerk als auch für EU-CyCLONe. Sie produziert die Veröffentlichungen, die aus beiden Netzwerken hervorgehen (Reaktionsplaybooks, Bedrohungsberichte, Übungsauswertungen). Diese fliessen zurück in nationale Leitfäden wie die BSI-Infopakete.
Nationale CSIRTs + nationale Cyberkrisen-Behörden
Jeder Mitgliedstaat benennt jeweils einen. Niederlande: NCSC-NL im CSIRTs-Netzwerk, das Justizministerium in EU-CyCLONe. Österreich: GovCERT Austria im Netzwerk, das Bundeskanzleramt auf der politischen Ebene. Die Struktur ist EU-weit identisch, die Behörden unterscheiden sich nach Land.
Das CSIRTs-Netzwerk regelt alle Cyber-Themen auf EU-Ebene.
Nein. Das CSIRTs-Netzwerk ist die operative und technische Ebene. Vorfälle grossen Ausmasses, die politische Koordination erfordern (branchenübergreifende Kommunikation, Attribution, ministerielle Briefings), eskalieren zu EU-CyCLONe. Zwei Netzwerke, zwei Ebenen, bewusst getrennt.
EU-CyCLONe ist eine Aufsichtsbehörde, an die wir melden.
Ist es nicht. EU-CyCLONe ist ein Koordinationsgremium zwischen den nationalen Behörden der Mitgliedstaaten. Es reguliert keine betroffenen Einrichtungen. Es nimmt keine Vorfallmeldungen entgegen. Die Meldung nach Artikel 23 NIS 2 geht an Ihr nationales CSIRT oder die zuständige Behörde. EU-CyCLONe arbeitet eine Ebene darüber, zwischen Regierungen.
Wir reichen unsere Vorfallmeldungen beim CSIRTs-Netzwerk ein.
Tun Sie nicht. Artikel 23 NIS 2 sagt, dass Sie an Ihr nationales CSIRT oder die zuständige Behörde melden. In Deutschland: das BSI. Das nationale CSIRT teilt dann relevante Informationen mit dem CSIRTs-Netzwerk, wenn grenzüberschreitende Koordination nötig ist. Das Netzwerk ist der Ansprechpartner Ihres CSIRT, nicht Ihrer.
Für ein Stadtwerk oder einen mittelständischen IT-Betreiber ist der praktische Ansprechpartner das nationale CSIRT. In Deutschland: das CERT-Bund beim BSI. Sie melden Vorfälle nach Artikel 23 NIS 2 dorthin, Sie lesen deren Warnungen, Sie rufen dort an, wenn es brennt. Das CSIRTs-Netzwerk und EU-CyCLONe laufen hinter dieser Schnittstelle.
Warum diese Netzwerke trotzdem für Sie relevant sind: Wenn ein grenzüberschreitender Vorfall einschlägt (denken Sie an einen Lieferketten-Angriff, der fünfzehn Länder gleichzeitig trifft), sorgt die Koordination auf CSIRTs-Netzwerk-Ebene dafür, dass die Reaktion Ihres nationalen CSIRT mit dem Rest der EU zusammenpasst. Und die politische Koordination auf EU-CyCLONe-Ebene entscheidet, ob die Reaktion auf technische Eindämmung beschränkt bleibt oder zur öffentlichen Stellungnahme wird. Beides prägt am Ende den Rat, den Sie bekommen.
Das Vorfallmodul leitet Meldungen an Ihr nationales CSIRT nach Artikel 23 (in Deutschland: BSI). Sie haben keinen direkten Kontakt zum CSIRTs-Netzwerk oder zu EU-CyCLONe; das nationale CSIRT ist Ihr einziger Gegenpart für Vorfallmeldungen. Die Plattform übernimmt die Fristen (24 h Frühwarnung, 72 h Meldung, ein Monat Abschlussbericht).
Unsere Referenzebene macht die ENISA-Veröffentlichungen und Leitfäden sichtbar, die aus der Arbeit des CSIRTs-Netzwerks hervorgehen. Bedrohungswarnungen, gemeinsame Berichte, Übungsergebnisse: das fliesst in unsere Auslegung von 'geeignet und verhältnismässig' nach Artikel 21(1) ein. Sie müssen das nicht selbst verfolgen.
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 15 und 16: eur-lex.europa.eu/eli/dir/2022/2555/oj
- Richtlinie (EU) 2022/2555 (NIS 2), Artikel 10 (CSIRT-Benennung) und Artikel 23 (Vorfallmeldung)
- ENISA-Website zum CSIRTs-Netzwerk und EU-CyCLONe: enisa.europa.eu
- BSI-Gesetz (BSIG), CERT-Bund als nationales CSIRT nach §5 BSIG
- EU-CyCLONe Standard Operating Procedures (öffentliche Zusammenfassung durch ENISA)