NIS2-Meldepflicht: 24h, 72h, 1 Monat — so funktioniert Incident Reporting
Eine der anspruchsvollsten NIS2-Pflichten ist die gestufte Meldepflicht bei Sicherheitsvorfaellen: 24 Stunden Erstmeldung, 72 Stunden Update, 1 Monat Abschlussbericht. Fuer die meisten Unternehmen ist das unter Krisenstress schwer zu halten. Dieser Artikel erklaert, was gemeldet werden muss, wann und wie — inklusive Playbook-Vorlagen.
Die drei Meldestufen
Nach Art. 23 NIS2 (und § 32 BSIG-neu in der deutschen Umsetzung) gilt:
| Stufe | Frist | Inhalt |
|---|---|---|
| Erstmeldung | Unverzueglich, spaetestens 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls | Vorlaeufige Einschaetzung, ob grenzueberschreitende Auswirkungen vorliegen |
| Folgemeldung | Spaetestens 72 Stunden nach Kenntnisnahme | Aktualisierung der Informationen, Einschaetzung Schweregrad, Art des Vorfalls, erste Massnahmen |
| Abschlussmeldung | Spaetestens 1 Monat nach Erstmeldung | Detaillierte Beschreibung, Ursachen, Massnahmen, Schaedigungsabwehr |
Zwischenmeldungen auf BSI-Anfrage koennen hinzukommen, falls der Vorfall laenger andauert.
Was gilt als "erheblicher Vorfall"?
NIS2 Art. 6 (14) + die geplante Durchfuehrungsverordnung (EU) definieren einen erheblichen Vorfall als einen, der:
- Schwere Betriebsstoerungen oder finanzielle Verluste verursacht hat oder verursachen kann, ODER
- Erhebliche Schaedigungen natuerlicher oder juristischer Personen durch direkte oder indirekte Auswirkungen verursacht hat oder verursachen kann
Konkrete Schwellenwerte werden in delegierten Rechtsakten pro Sektor festgelegt. Typische Indikatoren:
- Nicht-Verfuegbarkeit eines kritischen Dienstes > N Stunden
- Betroffene Nutzerzahl > N
- Finanzieller Schaden > N EUR
- Grenzueberschreitende Wirkung
- Politische oder gesellschaftliche Sensitivitaet
Praxistipp: Im Zweifel melden. Das Risiko einer unnoetigen Meldung ist niedrig, das Risiko einer unterlassenen Meldung ist hoch (Bussgeld + Reputationsschaden).
Wohin gemeldet wird
In Deutschland ist das BSI zustaendige Behoerde. Meldekanaele:
- BSI-Meldeportal (
meldung.bsi.bund.de— zentrale Eingabemaske) - E-Mail:
meldestelle@bsi.bund.de(verschluesselt PGP) - Telefon: BSI-Lagezentrum (24/7, Nummer in BSI-Registrierung enthalten)
- Eingetragene Kontaktperson nach § 31 BSIG-neu (muss vorab benannt werden)
Nicht an das BSI, sondern an andere Behoerden je nach Vorfall und Sektor:
- DSGVO-Verstoss mit personenbezogenen Daten → zustaendige Landesdatenschutzbehoerde (binnen 72h)
- Vorfall bei Finanzinstitut → BaFin (nach DORA-Vorgaben)
- Vorfall mit Strafrelevanz → BKA/Landeskriminalamt (ZAC)
- ICS/Kritis-Vorfall → BSI plus ggf. sektorale Behoerde
Merken: bei Vorfaellen mit personenbezogenen Daten haben Sie zwei parallele Meldepflichten (BSI und Datenschutzbehoerde) mit eigenen Fristen.
Inhalt der Meldungen
Erstmeldung (24h)
- Name und Kontaktdaten der meldenden Einrichtung
- Art des Vorfalls (so weit bekannt)
- Vorlaeufige Einschaetzung Schweregrad
- Zeitpunkt der Kenntnisnahme
- Betroffene Systeme (uebergeordnet)
- Grenzueberschreitende Auswirkungen (ja/nein/unklar)
- Bisher ergriffene Sofortmassnahmen
Folgemeldung (72h)
- Aktualisierte Einschaetzung des Schweregrads
- Detailliertere Beschreibung des Vorfalls
- Art der Beeintraechtigung
- Bisherige Eindaemmungsmassnahmen
- Auswirkungen auf Kunden, Lieferketten, Dritte
Abschlussmeldung (1 Monat)
- Detaillierte Beschreibung der Art des Vorfalls
- Ursachenanalyse (TTP, verwendeter Zugangsweg)
- Vollstaendige Auswirkungsbeschreibung
- Angewandte Eindaemmungs- und Abhilfemassnahmen
- Praeventive Massnahmen fuer die Zukunft
Internes Meldeverfahren (Playbook)
Damit 24h-Frist haltbar ist:
Phase 0: Schwellen-Check (sofort nach Kenntnis)
- Incident klassifizieren (P1/P2/P3)
- NIS2-Erheblichkeitskriterien pruefen
- DSGVO-Betroffenheitspruefung (personenbezogene Daten?)
- Entscheidungstraeger informieren (CISO, CTO, Legal)
Phase 1: 0-4 Stunden
- Incident Response Team aktivieren
- Geschaeftsleitung informieren
- Legal einbinden (auch fuer ggf. Strafanzeige)
- Erstmeldung-Draft beginnen
- Kommunikation mit Kunden vorbereiten (noch nicht senden)
Phase 2: 4-24 Stunden
- Erstmeldung an BSI abgesendet
- DSGVO-Meldung an Datenschutzbehoerde (falls personenbezogene Daten)
- Vorlaeufige Kundeninformation (falls relevant)
- Forensik-Provider eingebunden (falls noetig)
Phase 3: 24-72 Stunden
- Erste Eindaemmung erfolgt
- Folgemeldung an BSI mit aktualisierter Einschaetzung
- Interne Kommunikation an Mitarbeiter
- Dokumentation kontinuierlich fortgefuehrt
Phase 4: bis 30 Tage
- Ursachenanalyse abgeschlossen
- Abhilfemassnahmen implementiert
- Abschlussmeldung an BSI fristgerecht
- Post-Incident-Review intern durchgefuehrt
- Lessons Learned dokumentiert
Typische Fehler
1. Erkennungsluecke "Kenntnisnahme"
Die Fristen laufen ab dem Zeitpunkt, zu dem die Einrichtung Kenntnis erlangt. Das ist nicht "Incident passiert", sondern "Security-Team hat Alarm ausgeloest". Schlechte Logging/SIEM-Infrastruktur verlaengert die tatsaechliche Reaktionszeit, aber die Frist laeuft trotzdem ab Kenntnis.
2. Unklare interne Eskalation
Ein Helpdesk-Agent bemerkt den Vorfall um 14:00 Uhr. Bis CISO um 22:00 Uhr informiert ist, sind 8 Stunden der 24h-Frist vergeben. Loesung: klare Eskalationsregeln mit Schwellenkriterien.
3. "Wir melden, wenn wir alles wissen"
Falsche Herangehensweise. Die 24h-Frist fordert KEINE vollstaendige Analyse, sondern eine vorlaeufige Einschaetzung. Lieber frueh unvollstaendig melden als spaet detailliert.
4. Parallelmeldungen vergessen
DSGVO-Meldung an Landesdatenschutzbehoerde (72h) wird ueber der NIS2-Meldung vergessen — oder umgekehrt. Playbook muss beide Pfade abdecken.
5. BSI-Registrierung fehlt
Ohne vorherige Registrierung beim BSI ist die Meldung technisch moeglich, aber der Bearbeitungsprozess verzoegert sich. Registrierung sollte laengst erfolgt sein.
6. Keine Out-of-Band-Kommunikation
Bei Ransomware oder laufender Infiltration: alle regulaeren Kommunikationskanaele koennten kompromittiert sein. Out-of-Band-Kanal (private Messaging, Telefon) muss im Playbook stehen.
Sanktionen bei Verstoessen gegen die Meldepflicht
Nach NIS2:
- Wesentliche Einrichtungen: bis zu EUR 10 Mio. oder 2% des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: bis zu EUR 7 Mio. oder 1,4% des weltweiten Jahresumsatzes
Das deutsche NIS2UmsuCG spezifiziert Bussgelder in vergleichbarer Hoehe. Zusaetzlich:
- Persoenliche Haftung der Geschaeftsleitung (Art. 20 NIS2 / § 38 BSIG-neu)
- Oeffentliche Bekanntmachung von Verstoessen moeglich
- Reputationsschaeden durch Berichterstattung
- Bei Datenpannen zusaetzlich DSGVO-Sanktionen (bis 4% des weltweiten Umsatzes)
Unterschiede zu DORA
Wenn Sie unter DORA fallen (Finanzinstitute): DORA hat eigene Meldepflichten (Art. 19, mit engeren Fristen und zusaetzlichen Empfaengern wie BaFin). DORA ist lex specialis — in Finanzinstituten gehen DORA-Regeln vor, NIS2 greift subsidiär fuer nicht von DORA erfasste Bereiche.
Wie Matproof die Meldepflicht unterstuetzt
- Incident-Response-Workflow mit automatischem Frist-Tracking (24h, 72h, 1 Monat)
- BSI-Meldevorlagen auf Knopfdruck befuellt
- Parallelmeldung an Datenschutzbehoerden fuer personenbezogene Faelle
- Audit-Trail aller Meldungen mit Zeitstempel fuer Aufsichtsbehoerden-Review
- Dashboard zeigt offene Fristen in Echtzeit
- Playbook-Bibliothek mit anpassbaren Templates
- Out-of-Band-Kommunikationskanal vorbereitet (Signal-Gruppen, etc.)
- EU-gehostet (Frankfurt), DSGVO-nativ
Demo anfordern • NIS2 Readiness