NIS2-Vorfallmeldung: Die Fristen von 24 Stunden, 72 Stunden und 1 Monat erklärt
Unter NIS2 ist die Vorfallmeldung weder optional noch flexibel. Bei einem erheblichen Vorfall haben Sie 24 Stunden für Ihre Erstmeldung — nicht 24 Geschäftsstunden. Vierundzwanzig Stunden ab dem Moment, in dem Sie Kenntnis erlangen.
Die drei Meldestufen
NIS2 Zeitplan für die Vorfallmeldung
24hFrühwarnung
Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).
Schritt 172hVorfallmeldung
Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.
Schritt 21moAbschlussbericht
Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.
Schritt 324hFrühwarnung
Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).
72hVorfallmeldung
Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.
1moAbschlussbericht
Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.
Stufe 1: Frühwarnung — innerhalb von 24 Stunden
- Ob der Vorfall vermutlich durch böswillige Handlungen verursacht wurde
- Ob grenzüberschreitende Auswirkungen möglich sind
- Sie benötigen noch keine vollständige Analyse
Stufe 2: Vorfallmeldung — innerhalb von 72 Stunden
- Erste Bewertung von Schwere und Auswirkung
- Kompromittierungsindikatoren (IoCs) soweit verfügbar
- Update der Frühwarnung
Stufe 3: Abschlussbericht — innerhalb von 1 Monat
- Detaillierte Beschreibung des Vorfalls
- Ursachenanalyse
- Angewendete und laufende Gegenmaßnahmen
Was ist ein "erheblicher Vorfall"?
Gilt NIS2 für Ihre Organisation?
1Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja▼Nein▼2Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
✗NIS2 gilt nicht unmittelbar für Ihre Organisation.
Ja▼Nein▼✓NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
3Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja▼!NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
1Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja ↓Nein →2Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
Ja ↓Nein →3Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja ↓Nein →✗NIS2 gilt nicht unmittelbar für Ihre Organisation.
✓NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
!NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
GiltGilt möglicherweiseGilt nicht
Beispiele erheblicher Vorfälle: Ransomware, Datenschutzverletzung, DDoS mit längerer Nichtverfügbarkeit, Lieferkettenkompromittierung.
Im Zweifelsfall: Melden. Übermeldung ist keine Verletzung. Untermeldung schon.
An wen melden Sie?
| Land | Aufsichtsbehörde | CSIRT |
|---|---|---|
| Deutschland | BSI | CERT-Bund |
| Belgien | CCB | CERT.be |
| Niederlande | RDI (erwartet) | NCSC-NL |
| Frankreich | ANSSI | CERT-FR |
| Italien | ACN | CSIRT Italia |
| Spanien | CCN-CERT / INCIBE | CCN-CERT / INCIBE-CERT |
| Polen | NASK (erwartet) | CERT Polska |
Ihren Meldeprozess aufbauen
Vorbereitung
- Behörden und CSIRT identifizieren, auf Meldeportalen registrieren
- Vorausgefüllte Meldevorlagen erstellen
- Rollen und Eskalationswege definieren
Während des Vorfalls
| Zeit | Aktion |
|---|---|
| T+0 | Vorfall erkannt — Frist läuft |
| T+1h | Erste Bewertung: potenziell erheblich? |
| T+4h | Geschäftsführung informieren |
| T+24h | FRIST: Frühwarnung einreichen |
| T+72h | FRIST: Vorfallmeldung einreichen |
| T+1 Monat | FRIST: Abschlussbericht einreichen |
Sanktionen
Nicht-Meldung innerhalb der Fristen ist eine eigenständige Verletzung mit eigenen Sanktionen — zusätzlich zu Strafen für den Sicherheitsvorfall selbst.
Häufige Fragen
"Was, wenn wir unsicher sind?"
Melden. Übermeldung ist keine Verletzung.
"Was ist mit DSGVO-Meldungen?"
Separate Verpflichtungen. NIS2-Meldung ersetzt nicht die DSGVO-Meldung und umgekehrt.
Starten Sie mit einem kostenlosen Quickscan
Unser kostenloser NIS2-Quickscan beinhaltet eine Bewertung Ihrer Vorfallmelde-Bereitschaft.