NIS2-Vorfallmeldung: Die 24-Stunden-Pflicht im Detail
Artikel 23 der NIS2-Richtlinie führt eine der schärfsten Meldepflichten in der Geschichte der europäischen Cybersicherheitsregulierung ein. Betroffene Unternehmen müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständige Behörde melden — in Deutschland an das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Die dreistufige Melde-Timeline
NIS2 schreibt einen gestaffelten Meldeprozess vor:
Stufe 1: Frühwarnung (24 Stunden)
- Frist: Innerhalb von 24 Stunden nach Kenntnis des Vorfalls
- Inhalt: Erste Einschätzung, ob der Vorfall mutmaßlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist
- Zweck: Schnelle Reaktionsfähigkeit der Behörden, insbesondere bei grenzüberschreitenden Vorfällen
Stufe 2: Vorfallmeldung (72 Stunden)
- Frist: Innerhalb von 72 Stunden nach Kenntnis
- Inhalt: Aktualisierung der Frühwarnung mit erster Bewertung des Schweregrads, der Auswirkungen und der Kompromittierungsindikatoren (IoC)
- Zweck: Detaillierte Lagebeurteilung für koordinierte Gegenmaßnahmen
Stufe 3: Abschlussbericht (1 Monat)
- Frist: Spätestens einen Monat nach der Vorfallmeldung
- Inhalt: Detaillierte Beschreibung des Vorfalls, Ursachenanalyse, ergriffene Maßnahmen und grenzüberschreitende Auswirkungen
- Zweck: Langfristige Analyse und Prävention
Was ist ein „erheblicher Vorfall"?
Nicht jeder Sicherheitsvorfall löst die Meldepflicht aus. Ein Vorfall gilt als erheblich, wenn er:
| Kriterium | Beispiel | |---|---| | Schwere Betriebsstörung verursacht | Produktionsausfall > 4 Stunden | | Finanzielle Verluste über Bagatellgrenze | Direkter Schaden > 100.000 EUR | | Andere Personen/Einrichtungen betrifft | Kundendaten kompromittiert | | Erheblichen Sachschaden verursacht | Zerstörung von IT-Infrastruktur |
Beispiele für meldepflichtige Vorfälle
- Ransomware-Angriff mit Verschlüsselung produktiver Systeme
- Datenleck mit personenbezogenen Daten von Kunden
- DDoS-Angriff der den Geschäftsbetrieb unterbricht
- Supply-Chain-Kompromittierung über einen Softwarelieferanten
- Unbefugter Zugriff auf kritische Systeme
Nicht meldepflichtig
- Einzelner Phishing-Versuch ohne Erfolg
- Schwachstelle erkannt aber nicht ausgenutzt
- Geplante Wartungsfenster
An wen melden?
| Adressat | Rolle | |---|---| | BSI | Zentrale Meldestelle in Deutschland | | Zuständige Aufsichtsbehörde | Je nach Sektor (z.B. BaFin für Finanzsektor) | | CERT-Bund | Technische Unterstützung bei der Vorfallbewältigung | | Betroffene Empfänger | Bei Gefahr für Kunden: proaktive Information |
Hinweis: Das BSI wird eine zentrale Meldeplattform bereitstellen. Bis dahin gelten die bestehenden Meldekanäle.
Vorlage: Frühwarnung in 24 Stunden
Folgende Informationen sollte Ihre Frühwarnung enthalten:
FRÜHWARNUNG — NIS2 Artikel 23 Abs. 4a
Organisation: [Name, Registrierungsnummer]
Meldende Person: [Name, Funktion, Kontakt]
Zeitpunkt der Kenntnisnahme: [Datum, Uhrzeit]
Art des Vorfalls:
□ Ransomware □ DDoS □ Datenleck □ Unbefugter Zugriff
□ Supply-Chain □ Phishing (erfolgreich) □ Sonstiges
Erste Einschätzung:
- Betroffene Systeme: [Beschreibung]
- Mutmaßlich böswillig: □ Ja □ Nein □ Unklar
- Grenzüberschreitend: □ Ja □ Nein □ Unklar
- Geschätzte Auswirkung: □ Gering □ Mittel □ Hoch □ Kritisch
Ergriffene Sofortmaßnahmen: [Beschreibung]
Unterstützungsbedarf: □ Ja (welcher) □ Nein
Interner Incident-Response-Prozess
Die goldene Stunde (0–60 Minuten)
- Erkennung — SIEM-Alert, Mitarbeitermeldung oder externer Hinweis
- Erstbewertung — Ist es ein erheblicher Vorfall?
- Eskalation — Incident-Response-Team aktivieren
- Eindämmung — Sofortmaßnahmen zur Schadensbegrenzung
Stunde 1–24: Frühwarnung vorbereiten
- Dokumentation starten — Alles protokollieren, nichts löschen
- Forensische Sicherung — Beweise sichern vor Systembereinigung
- Frühwarnung ausfüllen — Template verwenden
- BSI-Meldung absenden — Frist einhalten!
Stunde 24–72: Detaillierte Analyse
- Technische Analyse vertiefen — IoC, Angriffsvektoren, betroffene Daten
- Auswirkungsanalyse — Finanzieller Schaden, betroffene Personen
- Vorfallmeldung erstellen und einreichen
Woche 1–4: Abschlussbericht
- Root Cause Analysis durchführen
- Lessons Learned dokumentieren
- Verbesserungsmaßnahmen definieren und umsetzen
- Abschlussbericht an das BSI übermitteln
Häufige Fehler bei der Vorfallmeldung
| Fehler | Konsequenz | Lösung | |---|---|---| | Verspätete Meldung | Bußgeld + verschärfte Aufsicht | Automatisierte Eskalationsprozesse | | Unvollständige Angaben | Rückfragen verzögern Bearbeitung | Standardisierte Vorlagen verwenden | | Keine Dokumentation | Forensik unmöglich | Ab Minute 1 protokollieren | | Systeme voreilig bereinigt | Beweisvernichtung | Erst sichern, dann bereinigen | | Nur IT informiert | Rechtliche Pflichten versäumt | Cross-funktionales Incident-Team |
Vorbereitung ist alles
Die 24-Stunden-Frist ist nur einhaltbar, wenn Ihr Unternehmen vorbereitet ist:
- Incident-Response-Plan dokumentiert und getestet
- Bereitschaftsdienst definiert (wer wird nachts um 3 Uhr angerufen?)
- Meldevorlagen vorbereitet und zugänglich
- Regelmäßige Übungen (Tabletop Exercises) durchgeführt
- Monitoring aktiv — Sie können nur melden, was Sie auch erkennen
Zusammenspiel mit der DSGVO
Bei Vorfällen mit personenbezogenen Daten gelten beide Meldepflichten parallel:
| | NIS2 | DSGVO (Art. 33) | |---|---|---| | Frist | 24h / 72h / 1 Monat | 72h an Aufsichtsbehörde | | Adressat | BSI | Landesdatenschutzbehörde | | Schwelle | Erheblicher Sicherheitsvorfall | Risiko für Betroffene |
Praxistipp: Nutzen Sie einen einheitlichen Meldeprozess für beide Pflichten. Die erste Stunde der Bewertung entscheidet, welche Meldewege aktiviert werden müssen.
Fazit
Die NIS2-Meldepflicht erfordert organisatorische Vorbereitung, nicht nur technische. Wer erst beim Vorfall anfängt, den Meldeprozess aufzubauen, wird die 24-Stunden-Frist nicht einhalten können. Investieren Sie jetzt in Prozesse, Vorlagen und Übungen.
Scannen Sie Ihre Website kostenlos mit WarDek — OWASP, NIS2, DSGVO, AI Act Compliance in einem Scan.