Ein echter Vorfall respektiert selten die Grenze zwischen einer Verordnung und der nächsten. Eine aktiv ausgenutzte Schwachstelle in einem vernetzten Produkt kann am selben Nachmittag eine Frühwarnung nach dem Cyber Resilience Act, eine NIS2-Meldung über einen erheblichen Vorfall und eine DSGVO-Meldung über eine Verletzung des Schutzes personenbezogener Daten auslösen. Drei Uhren, drei Empfänger, drei Formate, alle durch ein einziges Ereignis gestartet.
Die Fristen sehen auf dem Papier ähnlich aus, und genau das ist die Falle. Die Werte von 24 und 72 Stunden wiederholen sich über die Regelwerke hinweg, aber der Moment, in dem die Uhr zu laufen beginnt, die Behörde, die die Meldung erhält, und der jeweils gewünschte Inhalt unterscheiden sich alle. Die Pflicht, die am ehesten verpasst wird, ist die 24-Stunden-Frühwarnung, weil sie in die ersten chaotischen Stunden fällt, in denen das Team noch herausfindet, was passiert ist.
Unsere neueste Analyse stellt die Meldepflichten von CRA, NIS2 und DSGVO einander gegenüber, zeigt, wo sie sich tatsächlich überschneiden, und legt einen Prozess dar, der sie als einen einzigen Arbeitsablauf mit drei Ergebnissen behandelt statt als drei getrennte Kraftakte.
Lesen Sie, wie sich die Meldefristen überschneiden und warum eine einzige Quelle der Wahrheit verhindert, dass Sie die 24-Stunden-Frühwarnung verpassen.
Analyse lesen