Zum Hauptinhalt springen
NIS2Certify
Zurück zur Übersicht

NIS2-Meldevorlagen sind jetzt offiziell: Was sich für Ihre Kunden ändert

Von NIS2Certify
nis2vorfallsmeldungartikel-23compliancemspsenisa
NIS2-Meldevorlagen sind jetzt offiziell: Was sich für Ihre Kunden ändert

NIS2-Meldevorlagen sind jetzt offiziell: Was sich für Ihre Kunden ändert

Am 26. Mai 2026 traf sich die NIS2-Kooperationsgruppe in Zypern zur 39. Plenarsitzung und einigte sich auf etwas, das seit Inkrafttreten der Richtlinie fehlte: gemeinsame Vorlagen für die Vorfallsmeldung. Jeder EU-Mitgliedstaat. Ein Format. Zum ersten Mal.

Das ist wichtiger, als es klingt. Vor dieser Entscheidung verlangte Artikel 23, dass Unternehmen erhebliche Vorfälle innerhalb von 24 Stunden, 72 Stunden und einem Monat melden — aber wie sie das tun sollten, hing davon ab, welche nationale Behörde für Ihren Kunden zuständig war. Ein niederländischer Hersteller und ein deutsches Logistikunternehmen konnten für denselben Vorfall völlig unterschiedliche Meldeverfahren befolgen. Diese Inkonsistenz wird nun behoben.

Die Kooperationsgruppe — bestehend aus Vertretern aller EU-Mitgliedstaaten, der Europäischen Kommission und ENISA — hat diese Vorlagen als ersten Schritt angenommen. Die Kommission wird mit einem Durchführungsrechtsakt nachfolgen, um sie in allen 27 Mitgliedstaaten verbindlich zu machen.

Was die Vorlagen tatsächlich standardisieren

Die Kernfunktion der neuen Vorlagen ist die Harmonisierung der Meldefelder. Anstatt dass jede nationale CSIRT ihr eigenes Aufnahmeformular definiert, füllen Organisationen dieselben strukturierten Datenpunkte aus, unabhängig davon, wo sie registriert sind.

Erwarten Sie, dass die Vorlagen Folgendes abdecken: Vorfallsklassifizierung, betroffene Systeme und Dienste, geschätzte Anzahl betroffener Nutzer, Ereigniszeitlinie, ergriffene erste Eindämmungsmaßnahmen und ob Drittanbieter beteiligt sind. Das ist kein vereinfachter Fragebogen — es ist ein strukturiertes Format, das Behörden schnell die Informationen liefert, die sie zur Schwerebewertung benötigen.

Für Ihre Kunden bedeutet das: Die 24-Stunden-Frühwarnung ist nicht mehr nur ein schneller Anruf oder eine E-Mail. Sie muss vom ersten Tag an spezifische strukturierte Felder enthalten. Wenn Ihr Kunde keinen Incident-Response-Prozess hat, der mit diesen Feldern verknüpft ist, werden sie unter Druck improvisieren müssen.

NIS2 Zeitplan für die Vorfallmeldung
24h
Frühwarnung
Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).
72h
Vorfallmeldung
Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.
1mo
Abschlussbericht
Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.

Warum die Ankündigung des "einheitlichen Meldepunkts" wichtig ist

Die Annahme der Vorlagen geschah nicht isoliert. Die Kooperationsgruppe hat diese Vorlagen explizit auf eine breitere Initiative abgestimmt: den Digital Omnibus, einen vorgeschlagenen EU-Rahmen, der einen einheitlichen Meldepunkt für die Meldung von Vorfällen unter mehreren Vorschriften schaffen würde — NIS2, DORA, die Richtlinie über die Resilienz kritischer Einrichtungen (CER) und andere.

Derzeit muss ein Finanzdienstleister, der sowohl eine NIS2-„wesentliche Einrichtung" als auch DORA-pflichtig ist, denselben Vorfall möglicherweise zweimal melden — an zwei verschiedene Behörden, in zwei verschiedenen Formaten. Der Digital Omnibus soll das beheben.

Für MSPs und IT-Berater, die regulierte Branchen bedienen — Bankwesen, Versicherungen, Fintech, Gesundheitswesen — ist diese Konvergenz bedeutsam. Ihre Incident-Response-Playbooks und Kundenkommunikations-Workflows sollten bereits mit mehrfacher Regulierungsüberlappung im Hinterkopf aufgebaut sein. Falls nicht, fangen Sie dort an.

Der Durchführungsrechtsakt ist entscheidend zu beobachten. Sobald er im Amtsblatt veröffentlicht wird, sind Behörden der Mitgliedstaaten verpflichtet, diese Vorlagen zu akzeptieren. Bis dahin operieren Ihre Kunden noch unter dem nationalen Verfahren ihrer Behörde.

Artikel 23: Eine kurze Auffrischung der Fristen

Die neuen Vorlagen passen in eine bestehende Artikel-23-Meldestruktur. Diese Struktur hat sich nicht geändert. Was sich ändert, ist, was Sie in jeder Phase bereithalten müssen.

24-Stunden-Frühwarnung: Benachrichtigung Ihrer nationalen CSIRT oder zuständigen Behörde, dass ein erheblicher Vorfall eingetreten ist. „Erheblich" bedeutet, dass der Vorfall eine schwere Betriebsstörung oder finanziellen Verlust verursacht oder verursachen könnte, oder anderen Personen erheblichen materiellen oder immateriellen Schaden zufügt.

72-Stunden-Vorfallsmeldung: Ein detaillierterer Bericht mit erster Bewertung des Vorfalls — Schweregrad, Kompromittierungsindikatoren und mögliche grenzüberschreitende Auswirkungen. Mit den nun angenommenen gemeinsamen Vorlagen muss dieser Bericht dem strukturierten Format entsprechen, sobald der Durchführungsrechtsakt in Kraft ist.

Abschlussbericht nach einem Monat: Vollständiger Bericht über den Vorfall einschließlich Ursachenanalyse, Reaktionsmaßnahmen und ergriffener oder geplanter Maßnahmen zur Verhinderung eines erneuten Auftretens.

Der häufigste Schwachpunkt für Organisationen ist der Übergang von 24h zu 72h. Die Frühwarnung geht oft mit minimalen Details raus. Dann kommen die 72 Stunden und es gibt keine Dokumentation, keine strukturierten Daten und der Vorfall ist noch im Gange. Ihre Aufgabe als Berater ist es, den Prozess vor einem Vorfall aufzubauen — nicht danach.

NIS2 Zeitplan für die Vorfallmeldung
24h
Frühwarnung
Melden Sie den erheblichen Vorfall innerhalb von 24 Stunden nach Bekanntwerden bei der zuständigen Behörde (CSIRT/NCA).
72h
Vorfallmeldung
Übermitteln Sie innerhalb von 72 Stunden eine detaillierte Meldung mit einer ersten Bewertung von Schwere, Auswirkungen und Kompromittierungsindikatoren.
1mo
Abschlussbericht
Liefern Sie innerhalb eines Monats einen umfassenden Abschlussbericht mit Ursachenanalyse, ergriffenen Maßnahmen und grenzüberschreitenden Auswirkungen.

Was MSPs und IT-Berater jetzt tun müssen

1. Meldeketten Ihrer Kunden kartieren

Jeder Kunde, der als wesentliche oder wichtige Einrichtung qualifiziert, braucht eine dokumentierte Vorfallsmeldekette: wer die Meldung auslöst, wer sie verfasst, wer sie einreicht und bei welcher Behörde. Das klingt selbstverständlich. Die meisten Organisationen haben es nicht schriftlich festgehalten.

2. Vorlagenfelder vorab in Ihren IR-Prozess einbauen

Auch wenn der Durchführungsrechtsakt noch nicht veröffentlicht ist, können die Vorlagenfelder aus Standard-CSIRT-Aufnahmeanforderungen antizipiert werden. Erstellen Sie jetzt eine Entwurfsvorlage für Vorfallsberichte mit den erwarteten strukturierten Feldern. Wenn die offiziellen Vorlagen veröffentlicht werden, müssen Sie nur kleinere Anpassungen vornehmen — nicht von vorne beginnen.

3. Vertragliche Verpflichtungen klären

Wenn Sie verwaltete SOC-, Incident-Response- oder Sicherheitsüberwachungsdienste für einen NIS2-abgedeckten Kunden erbringen, überprüfen Sie Ihren Vertrag. Sind Sie vertraglich dafür verantwortlich, Vorfallsmeldungen in deren Namen einzureichen? Falls ja, müssen Ihre SLA-Zeitpläne die 24-Stunden-Frühwarnung berücksichtigen — einschließlich Nächte und Wochenenden.

Viele MSP-Verträge wurden vor der vollständigen Durchsetzung von NIS2 geschlossen. Da die Durchsetzung in mehreren Mitgliedstaaten aktiv ist und der Regulierungsrahmen enger wird, müssen diese Verträge aktualisiert werden.

4. Meldungsbereitschaft in Ihre Gap-Analysen einbauen

Ein Kunde kann starke technische Kontrollen haben und trotzdem eine Regulierungsprüfung nicht bestehen, weil sein Vorfallsmeldeprozess die Artikel-23-Anforderungen nicht erfüllt. Die Incident-Response-Bereitschaft sollte ein eigenständiger Abschnitt in jeder NIS2-Gap-Analyse sein, die Sie durchführen.

Nutzen Sie den NIS2Certify Quick Scan, um eine Baseline zu erhalten, wo Ihre Kunden bei allen Artikel-21-Maßnahmen stehen — einschließlich Incident Handling — vor ihrem ersten Regulierungskontakt.

Artikel 21 — 10 NIS2 Cybersicherheitsmaßnahmen
Artikel 21
10 Cybersicherheitsmaßnahmen
Governance & Strategie
1Risikoanalyse & Informationssicherheitsrichtlinien
6Bewertung der Wirksamkeit von Sicherheitsmaßnahmen
Vorfälle & Kontinuität
2Vorfallsbehandlung & Meldung
3Geschäftskontinuität & Notfallwiederherstellung
Lieferkette & Systeme
4Sicherheit der Lieferkette
5Sicherheit bei der Entwicklung von Netz- und Informationssystemen
Technische Kontrollen
8Kryptografie & Verschlüsselung
10Multi-Faktor-Authentifizierung & sichere Kommunikation
Personal & Ressourcen
7Cyber-Hygiene & Schulung
9Personalsicherheit & Zugangskontrolle

Das große Bild: Durchsetzung ist da

Die Annahme der Vorlagen geschah nicht im Vakuum. Sie ist Teil einer breiteren Verschärfung der NIS2-Durchsetzung in der EU im Jahr 2026.

Deutschlands BSI begann in Q1 2026 mit aktiver Durchsetzung. Belgien öffnete sein formelles Konformitätsbewertungsfenster am 18. April 2026 — der erste Mitgliedstaat, der eine harte Auditfrist setzte. Italiens ACN kategorisierte Einrichtungen und setzte eine Einreichungsfrist für Juni 2026. Die Niederlande veröffentlichten das Cybersicherheitsgesetz und führen nun ihre ersten Überprüfungszyklen durch.

Frankreich schließt noch seine Umsetzung ab, aber ANSSI veröffentlichte im März 2026 das ReCyF (Référentiel Cyber France) v2.5 — ein 152-Maßnahmen-Rahmenwerk, das auf NIS2 ausgerichtet ist und das französische Einrichtungen auch vor der formellen Verabschiedung des Gesetzes befolgen sollen.

Was das bedeutet: Ihre Kunden können NIS2 nicht länger als zukünftiges Problem behandeln. Behörden sind aktiv, Audits beginnen und Vorfallsmeldeprozesse werden in der ersten Welle der Bewertungen unter die Lupe genommen.

Für jeden Kunden, den Sie noch nicht bewertet haben: Die Zeit, diese Lücke zu schließen, ist jetzt — nicht nach ihrem ersten Vorfall.

Was als Nächstes zu beobachten ist

Zwei Dinge genau im Blick behalten:

Der Zeitplan des Durchführungsrechtsakts: Die Europäische Kommission hat noch keinen Entwurf eines Durchführungsrechtsakts veröffentlicht. Wenn er im Amtsblatt erscheint, beginnt die Uhr für die verbindliche Übernahme. Beobachten Sie den EUR-Lex-Feed auf alles, was auf Artikel 23 von NIS2 verweist.

Der Fortschritt des Digital Omnibus: Der Vorschlag für einen einheitlichen Vorfallsmeldepunkt ist noch ein Vorschlag. Aber wenn er voranschreitet, wird er erheblich verändern, wie mehrfach regulierte Einrichtungen die Meldung handhaben. MSPs im Finanzsektor sollten dies besonders genau verfolgen — es wird beeinflussen, wie DORA und NIS2 in der Praxis überlappen. Siehe auch unseren Beitrag zu NIS2 vs DORA für den aktuellen Stand dieser Überlappung.

Fazit

Die EU hat die Vorfallsmeldung auf dem Papier einfacher gemacht. In der Praxis erhöht es die Messlatte: Strukturierte Vorlagen bedeuten, dass Behörden Berichte jetzt länderübergreifend vergleichen und prüfen können, und inkonsistente oder unvollständige Einreichungen werden auffallen.

Wenn Ihre Kunden keinen dokumentierten, geübten Vorfallsmeldeprozess haben, sind sie exponiert. Nicht nur gegenüber Bußgeldern — sondern gegenüber der Art von regulatorischer Aufmerksamkeit, die auf schlechtes Incident Handling folgt.

Fangen Sie mit dem Prozess an. Bringen Sie die Dokumentation in Ordnung. Stellen Sie dann sicher, dass die NIS2-Compliance-Posture Ihrer Kunden dies widerspiegelt.

→ Führen Sie eine strukturierte NIS2-Bereitschaftsbewertung für Ihre Kunden durch unter nis2certify.org/quick-scan.

    NIS2-Meldevorlagen sind jetzt offiziell: Was sich für Ihre Kunden ändert — NIS2Certify