NIS2-Vorfallsmeldung: Der vollständige 24-72-1-Leitfaden

TL;DR

NIS2 Artikel 23 schreibt drei Meldephasen vor: eine Frühwarnung innerhalb von 24 Stunden, eine vollständige Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Die 24h-Frist beginnt, sobald Sie von einem erheblichen Vorfall wissen, nicht erst, wenn Sie die vollständigen Details kennen.

Die Meldepflichten nach NIS2 sind strenger als alles, was EU-Unternehmen bisher kannten. Die DSGVO gibt Ihnen 72 Stunden für eine Datenpannen-Meldung. NIS2 verkürzt das auf 24 Stunden für die erste Frühwarnung, auch wenn Sie zu diesem Zeitpunkt kaum Informationen haben.

Dieser Leitfaden erklärt, was einen 'erheblichen Vorfall' ausmacht, was in jede der drei Meldungen gehört, an wen Sie melden und welche Fehler die meisten Organisationen beim ersten Mal machen.

Wann ist ein Vorfall 'erheblich'?

NIS2 Artikel 23(3) definiert einen erheblichen Vorfall als einen Vorfall, der:

🔴

schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann, oder

🔴

andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden betroffen hat oder betreffen kann.

Die EU-Durchführungsverordnung 2024/2690 hat sektorspezifische Quantifizierungsschwellen eingeführt. Beispiele für konkrete Schwellenwerte:

Sektor	Beispielschwellenwert für 'erheblich'
DNS-Dienste	Ausfall von mehr als 30 Minuten oder Beeinträchtigung von mehr als 1 % der Nutzer
Cloud-Dienste (Kategorie Essential)	Ausfall von mehr als 60 Minuten oder Datenverlust
Energie (Strom)	Ausfall, der mehr als 50.000 Nutzer betrifft oder länger als 60 Minuten dauert
Gesundheit (Krankenhäuser)	Ausfall kritischer IT-Systeme, der die Patientenversorgung für mehr als 30 Minuten beeinträchtigt
Finanzinfrastruktur	Ausfall von Zahlungsdienstleistungen für mehr als 30 Minuten oder Verlust von Kundendaten

Quelle: EU Durchführungsverordnung 2024/2690. Die vollständigen Schwellenwerte variieren je nach Sektor und Einrichtungstyp.

Die drei Meldephasen im Detail

Phase 1FrühwarnungInnerhalb von 24 Stunden

Klare Angabe, dass ein erheblicher Vorfall aufgetreten ist oder vermutet wird
Art des Vorfalls (soweit bekannt): Ransomware, DDoS, Datenpanne, unbefugter Zugriff, etc.
Ob der Vorfall grenzüberschreitend ist oder sein könnte
Vorläufige Einschätzung, ob es sich um einen böswilligen Akt handelt
Kein vollständiger Bericht erforderlich: 'We are investigating, details to follow' ist zulässig

Phase 2Vollständige MeldungInnerhalb von 72 Stunden

Aktualisierung oder Bestätigung der Informationen aus der Frühwarnung
Erste Bewertung des Vorfalls: Schwere, Auswirkungen, Indikatoren für Kompromittierung (IoCs)
Art der Bedrohung oder Ursache, soweit ermittelt: externe Angreifer, interner Fehler, Lieferkettenproblem
Betroffene Systeme, Dienste und geografische Gebiete
Ergriffene oder geplante Abhilfemaßnahmen
Bei Bedarf: Anforderung von Unterstützung durch CSIRT oder Behörde

Phase 3AbschlussberichtInnerhalb von 1 Monat

Vollständige Beschreibung des Vorfalls: Zeitachse, betroffene Systeme, Angriffsvektoren
Root-Cause-Analyse: Wie konnte der Vorfall eintreten?
Bewertung der Schwere und grenzüberschreitenden Auswirkungen
Ergriffene Abhilfemaßnahmen und deren Wirksamkeit
Maßnahmen zur Verhinderung zukünftiger gleichartiger Vorfälle
Status: ob der Vorfall noch andauert oder abgeschlossen ist

Wer erhält die Meldung?

NIS2 legt den primären Empfänger von Vorfallsmeldungen als das nationale CSIRT fest. Wenn der Mitgliedsstaat kein CSIRT als primären Empfänger bestimmt hat, geht die Meldung direkt an die zuständige nationale Behörde. In einigen Ländern sind beide zu benachrichtigen.

Land	Meldestelle	Portal / Kontakt
🇩🇪 Germany	BSI (Bundesamt für Sicherheit in der Informationstechnik)	bsi.bund.de/meldung
🇧🇪 Belgium	CCB (Centre for Cybersecurity Belgium) / CERT.be	cert.be / report.ccb.belgium.be
🇫🇷 France	ANSSI (Agence nationale de la sécurité des systèmes d'information)	cyber.gouv.fr/declaration-d-incident
🇳🇱 Netherlands	NCSC-NL (via sector regulators)	ncsc.nl
🇸🇪 Sweden	NCSC-SE (Nationellt cybersäkerhetscenter)	ncsc.se
🇪🇸 Spain	CCN-CERT / INCIBE-CERT	incibe.es / ccn-cert.cni.es

Überprüfen Sie immer die aktuellen Meldeportale direkt bei Ihrer nationalen Behörde, da sich Prozesse nach nationaler Umsetzung ändern können.

📊 Quick Test

Find out if your company is in scope

Does your organisation fall under Annex I (Essential) or Annex II (Important) entities?

Check NIS2 Scope →

Die häufigsten Fehler bei NIS2-Meldungen

⏰

Zu spät mit der Frühwarnung warten

Viele Organisationen warten, bis sie alle Details kennen, bevor sie die 24h-Frühwarnung abschicken. Das ist ein Fehler. Die Frühwarnung muss nur signalisieren, dass ein erheblicher Vorfall vorliegt oder vermutet wird. Mehr ist in dieser Phase nicht erforderlich.

📋

Falsche Behörde kontaktieren

In mehrsektorigen Organisationen kann es mehrere zuständige Behörden geben. Ein Energieversorger mit IT-Diensten muss unter Umständen sowohl an die Energiebehörde als auch an den IT-Sicherheitsregulator melden. Klären Sie das im Voraus.

📝

Keine Vorlage für Meldungen haben

Im Stress eines laufenden Incidents ist es keine gute Idee, die Meldevorlage erst zu erstellen. Bereiten Sie Templates für alle drei Phasen vor, die nur noch mit Incident-spezifischen Daten befüllt werden müssen.

🔄

72h-Meldung mit Frühwarnung verwechseln

Die Frühwarnung (24h) und die vollständige Meldung (72h) sind zwei separate Dokumente. Einige Organisationen schicken eine einzige Meldung nach 48 Stunden. Das verfehlt beide Fristen gleichzeitig.

🗂️

Keine Dokumentation des Meldeprozesses

Behörden können im Rahmen einer Prüfung verlangen, dass Sie nachweisen, wann Sie von einem Vorfall erfahren haben, wann Sie die Frühwarnung abgeschickt haben und wer in Ihrer Organisation die Meldungen autorisiert hat. Dokumentieren Sie jeden Schritt.

Freiwillige Meldungen und ihr Nutzen

NIS2 erlaubt auch freiwillige Meldungen für Vorfälle, die die Schwelle für eine Pflichtmeldung nicht erreichen. Artikel 30 stellt klar, dass solche Meldungen der Organisation nicht zum Nachteil gereichen dürfen. Das ist ein bewusster Anreiz, um die Behörden über aufkommende Bedrohungslagen informiert zu halten.

Freiwillige Meldungen können strategisch sinnvoll sein: Sie bauen eine Beziehung zur Behörde auf, bevor Sie diese im Ernstfall brauchen, und zeigen eine kooperative Haltung, die bei späteren Bußgeldberechnungen positiv berücksichtigt werden kann.

So bereiten Sie Ihren Meldeprozess vor

Behörde und CSIRT identifizieren

Ermitteln Sie die zuständige Behörde für Ihren Sektor in Ihrem Land und registrieren Sie sich für das entsprechende Meldeportal, bevor ein Incident eintritt.

Erheblichkeitsschwellen definieren

Übersetzen Sie die abstrakten NIS2-Kriterien in konkrete, messbare Auslöseregeln für Ihre Organisation. Beispiel: 'Jeder Ausfall unserer kritischen Kernbanksysteme von mehr als 30 Minuten gilt als erheblicher Vorfall'.

Melde-Templates erstellen

Entwickeln Sie ein Template für jede der drei Phasen. Lassen Sie diese intern genehmigen und speichern Sie sie an einem Ort, der auch bei einem Ransomware-Angriff zugänglich ist (z.B. in einem separaten Dokumentenmanagement-System oder gedruckt).

Verantwortlichkeiten festlegen

Definieren Sie, wer eine Meldung auslösen kann, wer sie genehmigen muss und wer sie tatsächlich einreicht. Dokumentieren Sie die Kontaktdaten der Behörde und der internen Ansprechpartner in einem Incident-Response-Plan.

Übungen durchführen

Führen Sie mindestens einmal jährlich eine Tabletop-Übung durch, die ein fiktives erhebliches Incident simuliert und die Meldepflichten nach NIS2 durchspielt. Protokollieren Sie die Ergebnisse.

Bereit für einen Incident Test?

Unser kostenloses Incident-Reporting-Tool hilft Ihnen, eine korrekte NIS2-Meldung zu strukturieren.

🚨 Incident-Tool öffnen 📊 Lückenanalyse starten

Häufige Fragen

Wann genau beginnt die 24-Stunden-Frist?

Die Frist beginnt, wenn Ihre Organisation von dem Vorfall 'Kenntnis erlangt'. Das bedeutet: sobald jemand in Ihrer Organisation das Incident intern dokumentiert oder eskalisiert. Eine informelle Erwähnung in einem Chat zählt möglicherweise bereits. Richten Sie deshalb einen klaren internen Meldeprozess ein, der den 'Awareness'-Zeitpunkt eindeutig definiert.

Was passiert, wenn wir die 24h-Frist verpassen?

Das Versäumnis einer Meldefrist ist ein eigenständiger Verstoß gegen NIS2 Artikel 23 und kann zu einem separaten Bußgeldverfahren führen, unabhängig vom ursprünglichen Incident. Behörden berücksichtigen in der Regel, ob das Versäumnis auf mangelnde Kenntnis oder auf bewusstes Ignorieren zurückzuführen ist.

Müssen wir auch dann melden, wenn der Incident sich als weniger schwerwiegend herausstellt?

Wenn Sie die 24h-Frühwarnung bereits abgeschickt haben und sich dann herausstellt, dass der Vorfall die Erheblichkeitsschwelle nicht erreicht, sollten Sie die Behörde darüber informieren. Es gibt keine Strafe dafür, eine Frühwarnung abgeschickt zu haben, die sich im Nachhinein als unnötig erwiesen hat.

Gilt die 72h-Frist auch für Vorfälle außerhalb der Geschäftszeiten?

Ja. Die Fristen laufen kontinuierlich, einschließlich Wochenenden und Feiertagen. Das erfordert, dass Sie eine Rufbereitschaft für Incident-Response und Meldungen einrichten. CSIRTs und Behörden haben in der Regel auch außerhalb der Bürozeiten Notfallkontakte.

Können wir eine einzelne Meldung für mehrere Incidents einreichen?

Nein. Jeder erhebliche Incident erfordert eine separate Meldung. Wenn Sie von mehreren Incidents gleichzeitig betroffen sind (zum Beispiel bei einer koordinierten Angriffskampagne), melden Sie jeden separat und weisen Sie auf den möglichen Zusammenhang hin.