NIS2 Incident Response: Was Sie in den ersten 24 Stunden tun müssen
What you need to know: NIS2 Incident Response: Was Sie in den ersten 24 Stunden tun müssen
Die NIS2-Richtlinie verpflichtet zur Frühwarnung innerhalb von 24 Stunden bei erheblichen Vorfällen. Dieser Leitfaden behandelt den vollständigen Meldezeitplan, die Definition eines erheblichen Vorfalls, zuständige Behörden und eine Checkliste für Ihr Team.
Wenn ein erheblicher Cybersicherheitsvorfall eintritt, entscheiden die ersten 24 Stunden darüber, ob Ihre Organisation den Schaden begrenzt oder vergrößert. Gemäß der NIS2-Richtlinie (Richtlinie 2022/2555) besteht in den ersten 24 Stunden zudem eine gesetzliche Verpflichtung: die Frühwarnung an Ihr nationales CSIRT oder die zuständige Behörde.
Dieser Leitfaden behandelt den vollständigen NIS2-Meldezeitplan, die Definition eines erheblichen Vorfalls und die Erstellung einer Checkliste, der Ihr Team auch unter Druck folgen kann.
Der dreistufige Meldezeitplan (Artikel 23)
Die NIS2-Richtlinie legt ein dreistufiges Meldeverfahren mit festen Fristen fest:
| Stufe | Frist | Inhalt | |-------|-------|--------| | Frühwarnung | 24 Stunden | Meldung, dass ein erheblicher Vorfall eingetreten ist | | Vorfallsmeldung | 72 Stunden | Erstbewertung mit Schweregrad und Kompromittierungsindikatoren | | Abschlussbericht | 1 Monat | Vollständige technische und administrative Darstellung |
Diese Fristen beginnen ab dem Zeitpunkt, zu dem Ihre Organisation von dem Vorfall Kenntnis erlangt — nicht ab dem Zeitpunkt, zu dem Sie dessen Erheblichkeit feststellen. Wenn Sie einen erheblichen Vorfall vermuten, beginnt die 24-Stunden-Frist.
Was einen Vorfall „erheblich" macht
Nicht jedes Sicherheitsereignis löst die NIS2-Meldepflicht aus. Die Verpflichtung gilt für „erhebliche Vorfälle". Artikel 23 Absatz 3 definiert einen erheblichen Vorfall als einen Vorfall, der:
- eine schwerwiegende Betriebsstörung der Dienste oder erhebliche finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann; oder
- andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.
Erwägungsgrund 101 liefert zusätzliche Kriterien: die Anzahl der betroffenen Nutzer, die Dauer, die geografische Reichweite, die Art des betroffenen Dienstes und die systemische Bedeutung der Einrichtung.
In der Praxis sollten Sie fragen: Hat dieser Vorfall einen Dienst gestört, zu dessen Erbringung wir verpflichtet sind? Könnte er erhebliche finanzielle oder reputationsbezogene Schäden verursachen? Betrifft er Kunden, Lieferanten oder kritische Infrastruktur? Bei Bejahung einer dieser Fragen behandeln Sie den Vorfall als erheblich, bis Sie das Gegenteil festgestellt haben.
Wen Sie benachrichtigen müssen
Die NIS2-Richtlinie verpflichtet zur Meldung an Ihr nationales CSIRT (Computer Security Incident Response Team) oder die zuständige Behörde. Jeder EU-Mitgliedstaat benennt diese Stellen — sie sind nicht identisch mit der nationalen Datenschutzaufsichtsbehörde.
Wichtige nationale Anlaufstellen:
- Deutschland: BSI (Bundesamt für Sicherheit in der Informationstechnik)
- Frankreich: ANSSI (Agence nationale de la sécurité des systèmes d'information)
- Österreich: CERT.at
- Niederlande: NCSC-NL
- Irland: NCSC Ireland
Machen Sie sich mit dem Meldeportal Ihrer nationalen Behörde vertraut. Die meisten verfügen über Online-Meldeformulare. Registrieren Sie sich vor einem Vorfall — nicht während eines solchen.
Was die 24-Stunden-Frühwarnung enthalten muss
Die 24-Stunden-Frühwarnung erfordert keine vollständige technische Analyse. Artikel 23 Absatz 4 Buchstabe a legt drei Elemente fest:
- Dass ein erheblicher Vorfall eingetreten ist (oder vermutet wird).
- Ob vermutet wird, dass er durch eine rechtswidrige oder böswillige Handlung verursacht wurde — Gewissheit ist nicht erforderlich, ein begründeter Verdacht genügt.
- Ob der Vorfall potenzielle grenzüberschreitende Auswirkungen hat — Dienste oder Einrichtungen in anderen Mitgliedstaaten betrifft.
Keine Ursachenanalyse. Keine vollständigen Kompromittierungsindikatoren. Kein Sanierungsplan. Der Zweck der Frühwarnung ist es, die Behörden zu alarmieren, damit sie sich auf eine mögliche Unterstützung vorbereiten können. Geschwindigkeit geht hier vor Vollständigkeit.
Was die 72-Stunden-Meldung enthalten muss
Bis spätestens 72 Stunden verlangt Artikel 23 Absatz 4 Buchstabe b eine aktualisierte Meldung, die Folgendes umfasst:
- Erstbewertung des Vorfalls, einschließlich Schweregrad und Auswirkungen.
- Kompromittierungsindikatoren (IOCs), sofern verfügbar — Hashes, IP-Adressen, Domains, Malware-Signaturen.
- Angewandte Eindämmungsmaßnahmen — welche Containment-Maßnahmen umgesetzt wurden.
In dieser Phase können die Behörden Unterstützung anbieten oder Bedrohungsdaten austauschen. Wenn der Vorfall kritische Infrastruktur betrifft oder grenzüberschreitende Auswirkungen hat, kann die Koordination mit EU-CyCLONe (dem Cyber Crisis Liaison Organisation Network) beginnen.
Was der 1-monatige Abschlussbericht enthalten muss
Der Abschlussbericht, der innerhalb eines Monats nach Einreichung der Vorfallsmeldung fällig ist, stellt die vollständige Darstellung dar. Artikel 23 Absatz 4 Buchstabe c verlangt:
- Ausführliche Beschreibung des Vorfalls — Zeitplan, betroffene Systeme, Umfang.
- Art der Bedrohung und Ursache — soweit festgestellt.
- Angewandte und laufende Eindämmungsmaßnahmen — was bereits erledigt wurde und was noch in Bearbeitung ist.
- Grenzüberschreitende Auswirkungen, falls vorhanden — tatsächliche und potenzielle Auswirkungen auf andere Mitgliedstaaten oder Einrichtungen.
Wenn der Vorfall nach einem Monat noch andauert, reichen Sie nach einem Monat einen vorläufigen Zwischenbericht und den Abschlussbericht innerhalb eines Monats nach Lösung des Vorfalls ein.
Aufbau Ihrer Incident-Response-Checkliste für die ersten 24 Stunden
Unter Druck sind Checklisten zuverlässiger als das Gedächtnis. Integrieren Sie diese in Ihren Notfallreaktionsplan und testen Sie sie in Tischübungen (Tabletop Exercises), bevor Sie sie benötigen.
8-Punkte-Checkliste für die ersten 24 Stunden
- Erkennung und Protokollierung — Zeitpunkt und Mittel der Erkennung aufzeichnen; erste Beweise sichern.
- Erheblichkeit bewerten — NIS2-Erheblichkeitskriterien anwenden; bei Unklarheit als erheblich behandeln.
- IR-Team aktivieren — den Incident-Response-Verantwortlichen benachrichtigen; Kernteam zusammenstellen.
- CSIRT benachrichtigen — 24-Stunden-Frühwarnung an Ihr nationales CSIRT einreichen; Einreichungszeitpunkt und Bestätigungsreferenz protokollieren.
- Beweise sichern — betroffene Systeme so isolieren, dass Protokolle erhalten bleiben; vor der forensischen Sicherung nicht löschen oder neu aufsetzen.
- Vorfall eindämmen — sofortige Eindämmungsmaßnahmen umsetzen; jede ergriffene Maßnahme dokumentieren.
- Intern kommunizieren — Unternehmensführung, Rechtsabteilung und Kommunikation benachrichtigen; Krisenstab und Kommunikationsrhythmus einrichten.
- Alles dokumentieren — ab der Erkennung ein zeitgestempeltes Vorfallsprotokoll führen; dies bildet die Grundlage für Ihre 72-Stunden- und 1-Monats-Berichte.
Verhältnis zur DSGVO
Wenn der Vorfall eine Datenschutzverletzung umfasst — unbefugter Zugriff auf, Offenlegung von oder Verlust von personenbezogenen Daten — verpflichtet Artikel 33 der DSGVO zur Meldung an Ihre nationale Datenschutzaufsichtsbehörde innerhalb von 72 Stunden nach Kenntnisnahme.
Die NIS2-72-Stunden-Meldung und die DSGVO-72-Stunden-Meldung sind separate Verpflichtungen gegenüber verschiedenen Behörden. Ein erheblicher NIS2-Vorfall mit Personenbezug löst beide gleichzeitig aus. Koordinieren Sie Ihr IR-Team, um beide Stränge parallel zu bearbeiten: eine Spur für das CSIRT, eine für die Datenschutzaufsichtsbehörde.
Die DSGVO-Meldung muss enthalten: die Art der Verletzung; Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze; Name und Kontaktdaten des Datenschutzbeauftragten (DSB); voraussichtliche Folgen; sowie getroffene oder vorgeschlagene Maßnahmen. Beginnen Sie mit der Vorbereitung dieser Meldung sofort parallel zur NIS2-Meldung.
Zuletzt aktualisiert: April 2026. Nur zu Informationszwecken — keine Rechtsberatung.
Häufig gestellte Fragen
Was gilt als „erheblicher Vorfall" im Sinne von NIS2?
Artikel 23 Absatz 3 der NIS2-Richtlinie definiert einen erheblichen Vorfall als einen Vorfall, der eine schwerwiegende Betriebsstörung der Dienste der Einrichtung oder erhebliche finanzielle Verluste verursacht hat oder verursachen kann, oder der andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann. Die Bewertung ist zukunftsgerichtet — die Fähigkeit, Schaden zu verursachen, ist ausreichend; tatsächlich eingetretener Schaden muss nicht vorliegen. Erwägungsgrund 101 nennt weitere Faktoren: die Anzahl der betroffenen Nutzer, die Dauer der Störung, die geografische Reichweite, die Art und Kritikalität des betroffenen Dienstes sowie die systemische Bedeutung der Einrichtung für den Sektor oder die Infrastruktur, die sie unterstützt.
Wen müssen Sie innerhalb von 24 Stunden bei einem NIS2-Vorfall benachrichtigen?
Sie müssen Ihr nationales CSIRT (Computer Security Incident Response Team) oder die zuständige nationale NIS-Behörde gemäß der Umsetzung von NIS2 in Ihrem Mitgliedstaat benachrichtigen. Diese Stellen sind nicht identisch mit Ihrer nationalen Datenschutzaufsichtsbehörde — es handelt sich um separate Stellen, die sich auf Cybersicherheit und Netzwerksicherheit konzentrieren. Die 24-Stunden-Frühwarnung erfordert lediglich, dass Sie den eingetretenen Vorfall melden, ob Sie eine rechtswidrige oder böswillige Ursache vermuten und ob grenzüberschreitende Auswirkungen möglich sind. Sie sollten Ihre Organisation bei der zuständigen nationalen Behörde registrieren und deren Meldeportal vor einem Vorfall ausfindig machen — eine Erstmeldung unter Druck ohne vorherige Registrierung verursacht vermeidbare Verzögerungen.
Was passiert, wenn Sie die 24-Stunden-Frühwarnfrist der NIS2 versäumen?
Das Versäumen der 24-Stunden-Frühwarnung stellt einen Verstoß gegen Artikel 23 dar und kann Durchsetzungsmaßnahmen der nationalen NIS-Behörde nach sich ziehen. Sanktionen gemäß NIS2 können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für wichtige Einrichtungen erreichen. Über finanzielle Sanktionen hinaus können die Behörden Anordnungen erlassen, die spezifische Abhilfemaßnahmen vorschreiben, oder in schwerwiegenden Fällen ein vorübergehendes Verbot für leitende Manager aussprechen, Leitungsfunktionen auszuüben, bis die Konformität wiederhergestellt ist (Artikel 32 Absatz 4). Die nationalen Umsetzungen variieren im Durchsetzungsansatz, aber die Verpflichtung ist ab dem Datum der Umsetzung bindend und es gibt keine Schonfrist für verspätete Meldungen.
Quellen
- Richtlinie (EU) 2022/2555 — NIS2-Richtlinie, Artikel 23 (Meldepflichten bei Vorfällen) — Gesetzestext des dreistufigen Meldezeitplans: 24-Stunden-Frühwarnung, 72-Stunden-Vorfallsmeldung und 1-Monats-Abschlussbericht mit Inhaltsanforderungen für jede Stufe.
- ENISA — NIS2 Leitlinien zur Vorfallsmeldung — ENISA-Leitlinien dazu, was einen meldepflichtigen Vorfall ausmacht, Erheblichkeitsschwellen und empfohlene Meldeverfahren für betroffene Einrichtungen.
- Durchführungsverordnung (EU) 2024/2690 zur Vorfallsmeldung gemäß NIS2 — Durchführungsverordnung mit technischen und methodischen Anforderungen an die Vorfallsmeldung, einschließlich Vorlagen und Mindestinhalten für jede Meldephase.
- ENISA — Bedrohungslandschaftsbericht und Vorfallsklassifizierungstaxonomie — ENISA-Jahresbericht zur Bedrohungslandschaft mit Vorfallsklassifizierung und Kontext für die Anwendung der NIS2-Erheblichkeitskriterien auf reale Bedrohungsszenarien.
Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.
Key takeaways: NIS2 Incident Response: Was Sie in den ersten 24 Stunden tun müssen
This article covers: Der dreistufige Meldezeitplan (Artikel 23), Was einen Vorfall „erheblich" macht, Wen Sie benachrichtigen müssen.
- Der dreistufige Meldezeitplan (Artikel 23)
- Was einen Vorfall „erheblich" macht
- Wen Sie benachrichtigen müssen
- Was die 24-Stunden-Frühwarnung enthalten muss
- Was die 72-Stunden-Meldung enthalten muss
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing — 2 minutes, every Thursday.
Related Regulation
NIS2 Directive
Official EuroComply guide to NIS2 Directive