Für bestimmte Einrichtungen der Digitalen Infrastruktur gibt es unter EU NIS2 nach Art. 23 einen EU Implementing Act , der definiert, wann Sicherheitsvorfälle erheblich sind. Diese EU-Durchführungsverordnung C(2024) 7151 ist seit 2024 in Kraft und betrifft viele Internet und IT-Provider. Für andere Sektoren und Einrichtungen sind diese Vorgaben nicht verbindlich, können aber als Orientierung für Kriterien von erheblichen Sicherheitsvorfällen dienen. Die Kriterien Art. 2-14 betreffen die Feststellung von erheblichen Sicherheitvorfällen , die mindestens meldepflichtig sind. * - 5% oder 1 Mio. Nutzer in der EU, je nachdem, welcher Wert kleiner ist Einrichtungen in der IT Erhebliche Sicherheitsvorfälle Vorfälle mit folgenden (möglichen) Konsequenzen: Alle Betreiber Art. 3 Finanzielle Verluste über 500 Tsd. EUR oder 5% vom Gesamtumsatz Maliziöser Zugriff auf Netz- und Informationssysteme, Verlust von Geschäftsgeheimnissen Tod, möglicher Tod oder schwere Gesundheitsschäden einer natürlichen Person Wiederkehrende Vorfälle (Art. 4) oder Betreiber-spezifische Vorfälle (Art. 5-14) Nicht : Geplante Wartungsfenster und Unterbrechungen Wiederkehrende Incidents Art. 4 Zweimal in den letzten sechs Monaten Anscheinend dieselbe Root-Cause Haben zusammen die Auswirkungen der o.h. finanziellen Verlusten DNS-Provider Art. 5 Namensauflösung nicht erreichbar, Schutzziele (C/I/A) verletzt TLD-Registries Art. 6 Namensauflösung nicht erreichbar, Schutzziele (C/I/A) verletzt Cloud-Provider Art. 7 Cloud Computing Service limitiert oder nicht verfügbar, Schutzziele (C/I/A) verletzt* Rechenzentren Art. 8 Rechenzentrumsdienst ausgefallen, nicht verfügbar, Schutzziele (C/I/A) verletzt* Physischer Zugang zum Rechenzentrum ist kompromittiert CDN-Betreiber Art. 9 Content Delivery Network eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt* MSP und MSSP Art. 10 Managed Service eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt* Marktplätze Art. 11 Marktplatz eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt* Suchmaschinen Art. 12 Suchmaschine eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt* Social Media Art. 13 Soziales Netzwerk eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt* Trust Services Art. 14 Trust Service eingeschränkt oder nicht verfügbar, Schutzziele (C/I/A) verletzt Physischer Zugang sensiblen Netz- und Informationssystemen kompromittiert