Welche Fristen gelten bei NIS2-Incident-Meldungen?

Stand: 2026-05-16 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.

Worum es geht

Art. 23 NIS2 löst die alte „unverzügliche Meldung" der NIS-1-Welt durch ein dreistufiges, fristen-getriebenes Verfahren ab. Die Logik dahinter: Behörden brauchen früh genug Signal, um Sektor-übergreifende Risiken zu erkennen — aber gleichzeitig genug Zeit, damit das gemeldete Unternehmen den Vorfall sauber analysieren kann.

Das BSI ist in Deutschland die zentrale Meldestelle. Es verteilt eingehende Meldungen intern an das nationale CSIRT (Computer Security Incident Response Team) sowie an sektor-spezifische Aufsichtsbehörden (BNetzA für Energie/TK, BaFin für Finanz, BfArM für Medizinprodukte). Die Einrichtung selbst muss nicht entscheiden, an wen genau zu melden ist — eine Meldung an das BSI-Meldeportal reicht in der Regel aus.

Stufe 1 — Frühwarnung (24 Stunden)

Sobald die Einrichtung Kenntnis von einem erheblichen Sicherheitsvorfall erlangt, muss binnen 24 Stunden eine Frühwarnung an das BSI gehen. Inhalte:

• Verdachts-Beschreibung in Stichworten.
• Hinweis, ob der Vorfall durch einen rechtswidrigen oder böswilligen Akt verursacht wurde — sofern bekannt.
• Hinweis auf grenzüberschreitende Auswirkungen.

„Erheblich" bedeutet nach Art. 23 Abs. 3: der Vorfall hat oder kann eine schwere Betriebsstörung verursachen, finanzielle Verluste auslösen oder andere natürliche/juristische Personen materiell oder immateriell schädigen.

Die Frühwarnung darf bewusst dünn sein. Das Gesetz fordert keine vollständige Analyse — es geht um das schnelle Signal an das CSIRT-Netzwerk, damit andere Sektoren gewarnt werden können, falls dieselbe Bedrohung weitere Einrichtungen trifft.

Frist-Beginn: Der Countdown läuft ab dem Zeitpunkt, ab dem die Einrichtung „Kenntnis erlangt". Die Kenntnis muss substantiiert sein — ein vager SOC-Alert ohne Triage-Bestätigung reicht in der Regel noch nicht. Sobald die Triage bestätigt, dass es sich plausibel um einen erheblichen Vorfall handelt, beginnt die Uhr zu laufen.

Stufe 2 — Vorfallmeldung (72 Stunden)

Innerhalb von 72 Stunden nach Kenntnis muss eine erweiterte Meldung folgen, die die Frühwarnung präzisiert. Inhalte:

• Aktualisierte Bewertung des Vorfalls.
• Schweregrad und Auswirkungen — soweit zu diesem Zeitpunkt bekannt.
• Indikatoren für eine Kompromittierung (Indicators of Compromise, IoC), wo sinnvoll abgrenzbar.
• Erste vorläufige Maßnahmen, die zur Eindämmung getroffen wurden.

Die 72-Stunden-Frist überlappt mit der 24-Stunden-Frist. In der Praxis arbeiten Unternehmen mit zwei getrennten Meldungen, die aufeinander aufbauen: zuerst die kurze Frühwarnung, dann der ausführlichere Bericht.

Falls der Vorfall personenbezogene Daten betrifft, läuft parallel die DSGVO-72h-Frist an die Datenschutz-Aufsichtsbehörde nach Art. 33 DSGVO. Die beiden Fristen sind eigenständig — eine BSI-Meldung ersetzt nicht die DSGVO-Meldung und umgekehrt.

Stufe 3 — Abschlussbericht (1 Monat)

Spätestens einen Monat nach der Vorfallmeldung muss der Abschlussbericht folgen. Inhalte gemäß Art. 23 Abs. 4 lit. d:

• Detaillierte Beschreibung des Vorfalls einschließlich Schweregrad und Auswirkungen.
• Art der Bedrohung und Ursachen, die den Vorfall wahrscheinlich ausgelöst haben.
• Angewandte und laufende Eindämmungs-Maßnahmen.
• Grenzüberschreitende Auswirkungen, falls zutreffend.

Sollte ein Vorfall zum Zeitpunkt des Monats-Berichts noch andauern, darf statt eines Abschlussberichts ein Fortschrittsbericht vorgelegt werden. Der eigentliche Abschluss erfolgt dann binnen eines Monats nach Behebung.

An wen die Meldung geht

In Deutschland fungiert das BSI als „Single Point of Contact" gegenüber den meldepflichtigen Einrichtungen. Konkret:

• BSI-Meldeportal: Die Meldestelle für IT-Sicherheitsvorfälle ist der zentrale Eingangskanal. Sie ist 24/7 erreichbar.
• Sektor-CSIRTs: Bei einigen Sektoren (z.B. Energie, Finanz) leiten zusätzliche Sektor-CSIRTs weiter. Die Einrichtung muss aber nur einmal melden.
• Information an Empfänger: Wenn der Vorfall die Bereitstellung von Diensten an Kunden erheblich beeinträchtigt, muss die Einrichtung auch ihre Dienste-Empfänger unverzüglich informieren — soweit diese den Vorfall mitbekommen könnten und das BSI dem nicht widerspricht.
• Öffentliche Information: Das BSI kann anordnen, dass die Einrichtung den Vorfall öffentlich kommuniziert, wenn ein erhebliches öffentliches Interesse besteht.

Was „Kenntnis" rechtlich bedeutet

Die 24-Stunden-Frist hängt am Begriff „Kenntnis erlangt". Das ist mehr als ein einzelner Log-Alarm, aber weniger als ein vollständig analysierter Vorfall.

In der Praxis: Sobald das Incident-Response-Team nach einer ersten Triage einen plausiblen Verdacht hat, dass ein erheblicher Vorfall vorliegt, gilt das als Kenntnis. Wer aus Vorsicht zu spät meldet, riskiert eine Fristverletzung. Wer panisch meldet, bevor der Vorfall verifiziert ist, riskiert Reputations-Schaden ohne Substanz.

Empfehlung aus BSI-Praxisleitfäden: Schwellenwerte für Meldepflicht-Auslösung im Incident-Response-Playbook vorab definieren. Dann ist der Auslöser objektivierbar, nicht situativ.

Was bei verspäteter Meldung droht

Verspätete oder unterlassene Meldungen sind ein eigenständiger Tatbestand im NIS2UmsuCG. Sie können — unabhängig vom eigentlichen Vorfall — bußgeldbewehrt sein.

Die Geschäftsleitung trägt nach Art. 20 NIS2 die persönliche Aufsichtspflicht für die Einhaltung der NIS2-Anforderungen, also auch der Meldewege. Mehr dazu im Artikel „Welche Haftung trägt die Geschäftsleitung bei NIS2?".

Praxis: was vor dem ersten Vorfall stehen muss

Damit die 24-Stunden-Frist einhaltbar ist, müssen drei Dinge vorab geklärt sein:

1. BSI-Meldeportal-Zugang vorab eingerichtet, Kontaktdaten hinterlegt, Login-Test durchgeführt. Im Vorfall ist keine Zeit für Account-Setup.
2. Eskalations-Matrix: Wer entscheidet, dass ein Vorfall „erheblich" ist? Wer löst die 24h-Frist aus? Wer schreibt die Meldung? Wer prüft sie?
3. Mustertexte für die drei Stufen vorab geschrieben. Im Ernstfall werden nur die Fakten eingefüllt — die Struktur steht.

Eine jährliche Tabletop-Übung, die genau die Meldekette durchspielt, ist nach Art. 21 Abs. 2 lit. b NIS2 ohnehin sinnvoll und Teil des Incident-Response-Konzepts.

FAQ

Ab welchem Moment beginnt die 24-Stunden-Frist?

Ab dem Zeitpunkt, ab dem die Einrichtung „Kenntnis" von einem erheblichen Sicherheitsvorfall erlangt — in der Praxis nach abgeschlossener Erst-Triage durch das Incident-Response-Team. Vager SOC-Alarm ohne Bestätigung reicht in der Regel nicht.

Reicht eine Meldung an das BSI oder müssen Sektor-Behörden parallel informiert werden?

Für NIS2-Meldungen reicht in Deutschland die Meldung an das BSI. Das BSI leitet intern an sektor-spezifische CSIRTs und Aufsichtsbehörden weiter. Parallele Pflichten aus anderen Gesetzen — etwa DSGVO-Datenschutzvorfälle nach Art. 33 DSGVO — bleiben davon unberührt und müssen eigenständig erfüllt werden.

Was passiert, wenn nach 72 Stunden noch keine vollständige Analyse vorliegt?

Die 72-Stunden-Meldung darf vorläufig sein. Sie muss den aktuellen Wissensstand widerspiegeln — nicht eine abgeschlossene Forensik. Wichtig ist, dass die Bewertung nachvollziehbar aktualisiert wird, sobald sich die Faktenlage ändert. Der finale Abschlussbericht folgt nach maximal einem Monat.

Wer trägt die persönliche Verantwortung für die fristgerechte Meldung?

Nach Art. 20 NIS2 ist die Geschäftsleitung für die Einhaltung der NIS2-Risikomanagement-Maßnahmen einschließlich der Meldewege verantwortlich. Sie kann die operative Durchführung delegieren, bleibt aber persönlich aufsichtspflichtig — Verstöße können bußgeldbewehrt und im Einzelfall haftungsrelevant sein.

Muss auch ein abgewehrter Angriffsversuch gemeldet werden?

Nein. Meldepflichtig sind nur „erhebliche Sicherheitsvorfälle" im Sinne von Art. 23 Abs. 3 — also solche, die tatsächlich eine schwere Betriebsstörung oder Schaden verursacht haben oder verursachen können. Reine Angriffs-Versuche ohne Auswirkung sind nicht meldepflichtig, sollten aber zur Bedrohungslage-Bewertung intern dokumentiert werden.