+49 155 609 62044contact@vamisec.com
Termin vereinbaren
NCCS Regulation EU 2024/1366 | Artikel 37(8)

Cyberangriff klassifizieren.
Korrekt melden.
Haftung vermeiden.

Die ENTSO-E Cyber-Attack Classification Scale (CACS) verpflichtet Energieversorger, Netzbetreiber und kritische Infrastruktur zur systematischen Klassifizierung und Meldung von Cyberangriffen. Die Methodik ist seit 13. Juni 2025 in Kraft.

Gravity-Level High und Critical sind meldepflichtig nach Art. 38(4) NCCS — persönliche Haftung der Geschäftsführung.
Kostenlose CACS-ErstberatungMethodik verstehen →
Valeri Milke – VamiSec
Valeri MilkeCEO & Founder, VamiSec GmbHISO 27001 Lead Auditor | NCCS-Experte
Termin buchen
5Schweregrade (Gravity Levels)
In KraftNCCS seit 13. Juni 2025 gültig
Art. 38(4)Meldepflicht: High & Critical
TSO & DSOBetroffene Energieakteure
Regulatorischer Rahmen

Vier Verordnungen. Eine Pflicht.

Die CACS-Methodik ist eingebettet in ein komplexes EU-Regulierungsumfeld. Wer als Energieakteur tätig ist, muss alle Ebenen verstehen.

Art. 37(8)

NCCS Reg. EU 2024/1366

Verpflichtet TSOs und DSOs zur Anwendung der CACS-Methodik. Die Methodik ist seit 13. Juni 2025 in Kraft.

Art. 23

NIS2 Richtlinie 2022/2555

Meldepflichten für signifikante Vorfälle innerhalb von 24 Stunden (Early Warning) und 72 Stunden (Notification).

Art. 3(14)

DORA Reg. EU 2022/2554

Definition des "Cyberangriffs" — CACS nutzt diese Definition als Grundlage für die Abgrenzung malicious / not malicious.

Art. 19

Electricity Reg. EU 2019/943

Union-wide Risk Assessment identifiziert High-Impact- und Critical-Impact-Prozesse als Basis der Asset-Klassifizierung.

Wer ist betroffen?

Übertragungsnetzbetreiber (TSO)
Verteilnetzbetreiber (DSO)
Strombörsen & Handelssysteme
Kritische IT/OT-Infrastruktur im Energiesektor
SCADA- und ICS-Systembetreiber
Cloud- und IT-Dienstleister für Energieversorger
Methodik | Art. 4–7 CACS

Von Event zur Meldepflicht

Jedes Security-Ereignis durchläuft diesen 4-stufigen Bewertungsprozess. Bei jeder Parameteränderung ist die Klassifizierung zu wiederholen (Art. 7.3).

01
Art. 4

Root Cause

Ursache bestimmen

Ist der Ursprung des Ereignisses vorsätzlich (malicious), nicht vorsätzlich oder unklar (uncertain)? Nur malicious oder uncertain gelten als Cyberangriff.

  • Malicious → Cyberangriff
  • Uncertain → Cyberangriff
  • Not Malicious → Kein Report
02
Art. 5

Potential Impact

Betroffene Perimeter

Welche Assets sind betroffen? Gehören sie zum High-Impact- oder Critical-Impact-Perimeter gemäß NCCS Art. 26(4)(c)?

  • Low PI: Kein High/Critical Asset
  • High PI: High-Impact-Asset betroffen
  • Critical PI: Critical-Impact-Asset betroffen
03
Art. 6

Severity

Angriffsschwere (MITRE)

Wie weit ist der Angreifer vorgedrungen? Basierend auf der Position im MITRE ATT&CK Kill Chain (Enterprise & ICS).

  • Low: Recon, Resource Dev, Initial Access
  • High: Execution bis Discovery
  • Critical: Lateral Movement bis Impact
04
Art. 7

Gravity

Gesamtbewertung

Kombination aus Potential Impact und Severity ergibt den finalen Schweregrad. High und Critical sind meldepflichtig nach Art. 38(4) NCCS.

  • To Follow / Medium / Important
  • High → Meldepflichtig
  • Critical → Meldepflichtig
Art. 4: Not MaliciousNicht meldepflichtig
Art. 5: Low Potential ImpactNicht meldepflichtig
Art. 7: To Follow / Medium / ImportantNicht meldepflichtig
Art. 7: High oder Critical GravityMeldepflichtig — Art. 38 NCCS
Annex I – CACS Methodik

Gravity-Matrix & MITRE Kill Chain

Potential Impact × Severity = Gravity Level. Felder mit ★ sind gemäß Art. 38(4) NCCS meldepflichtig.

Gravity-Matrix (Art. 7)

Low PI
High PI
Critical PI
Low Severity
To Follow
Medium
Important
High Severity
Medium
High★ Pflicht
High★ Pflicht
Critical Severity
Important
High★ Pflicht
Critical★ Pflicht
To Follow
Medium
Important
High ★
Critical ★

MITRE ATT&CK Kill Chain (Art. 6)

Low Severity

Angreifer versucht, Zugang zu einem oder mehreren Assets zu erlangen.

ReconnaissanceResource DevelopmentInitial Access
High Severity

Angreifer hat mindestens eingeschränkten Zugriff auf ein oder mehrere Assets.

ExecutionPersistencePrivilege EscalationDefense EvasionCredential AccessDiscovery
Critical Severity

Mehr als ein Asset ist durch Lateral Movement betroffen oder Angreifer kann Prozesse unterbrechen.

Lateral MovementCollectionCommand & ControlExfiltrationInhibit Response FunctionImpair Process ControlImpact
VamiSec CACS-Beratung

Wir machen Sie CACS-ready.

Von der Gap-Analyse bis zum vollständigen Meldeprozess — VamiSec begleitet Sie auf dem gesamten Weg zur NCCS Art. 37(8)-Compliance.

Asset-Klassifizierung

Identifikation und Zuordnung Ihrer Assets zu High-Impact- und Critical-Impact-Perimetern nach NCCS Art. 26(4)(c).

Root Cause Framework

Entwicklung interner Prozesse zur schnellen und rechtskonformen Ursachenbewertung von Security-Ereignissen.

MITRE ATT&CK Mapping

Integration des MITRE ATT&CK Enterprise und ICS Frameworks zur automatisierten Severity-Einschätzung.

CACS Gap Analysis

Bestandsaufnahme: Wo steht Ihre Organisation heute? Was fehlt für eine vollständige NCCS-Art. 37(8)-Compliance?

Meldeprozesse (Art. 38)

Aufbau rechtskonformer Meldeverfahren für High- und Critical-Gravity-Vorfälle an nationale Behörden und CSIRTs.

CACS-Schulung & Tabletop

Praxisnahe Schulungen und Incident-Simulation für Ihr SOC, IT und Management — inkl. CACS-Klassifikations-Übungen.

Direkt ansprechen

CACS-Compliance beginnt mit einem Gespräch.

Die CACS-Methodik ist seit dem 13. Juni 2025 verbindlich. Viele Energieversorger haben die Implementierung noch nicht vollständig abgeschlossen — besonders die Asset-Klassifizierung und MITRE-Integration.

Unser Team kennt die NCCS-Anforderungen aus der Praxis und hat bereits mehrere TSOs und DSOs durch die Implementierung begleitet. ISO 27001 zertifiziert.

  • ISO 27001 Lead Auditor & Lead Implementer
  • NCCS & NIS2 Compliance-Experten
  • MITRE ATT&CK Practitioner (Enterprise & ICS)
  • Erfahrung im Energiesektor (TSO/DSO-Projekte)
Erstberatung buchencontact@vamisec.com
Valeri Milke
Valeri MilkeCEO & Founder

Sind Ihre Prozesse CACS-ready?

Die CACS-Methodik ist in Kraft. Jetzt kostenlose Gap-Analyse anfragen und Compliance sicherstellen.

Kostenlose Erstberatung buchen