NIS-2-Meldepflicht: Fristen, Abläufe und praktische Anleitung für den Ernstfall
Alle Beiträge
NIS-2

NIS-2-Meldepflicht: Fristen, Abläufe und praktische Anleitung für den Ernstfall

Veröffentlicht am 19.03.2026·8 min. Lesedauer

Inhaltsverzeichnis

Die NIS-2-Richtlinie verschärft die Anforderungen an die Cybersicherheit in der EU erheblich – und mit ihr kommen strenge Meldepflichten auf Unternehmen zu. Wer einen Sicherheitsvorfall nicht rechtzeitig meldet, riskiert empfindliche Bußgelder und persönliche Haftung der Geschäftsführung. Doch welche Vorfälle sind überhaupt meldepflichtig? Welche Fristen gelten? Und an wen muss die Meldung erfolgen?

Dieser Artikel erklärt die NIS-2-Meldepflicht im Detail, zeigt die konkreten Fristen und Abläufe und gibt eine praxisnahe Anleitung, damit Ihr Unternehmen im Ernstfall vorbereitet ist.

Das Wichtigste in Kürze:

  • Die NIS-2-Richtlinie führt ein dreistufiges Meldesystem für Sicherheitsvorfälle ein: Frühwarnung (24h), ausführlicher Bericht (72h) und Abschlussbericht (1 Monat).
  • Meldepflichtig sind erhebliche Sicherheitsvorfälle, die den Betrieb wesentlicher oder wichtiger Einrichtungen beeinträchtigen.
  • Zuständige Behörde in Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).
  • Unternehmen benötigen klare interne Prozesse und Incident-Response-Pläne, um die Fristen einzuhalten.
  • Bei Verstößen gegen die Meldepflicht drohen Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.

 

NIS-2-Meldepflicht: Was ändert sich gegenüber NIS-1?

Die ursprüngliche NIS-Richtlinie (NIS-1) von 2016 enthielt bereits Meldepflichten für Betreiber wesentlicher Dienste und Anbieter digitaler Dienste. Allerdings waren die Anforderungen uneinheitlich und ließen den Mitgliedstaaten erheblichen Spielraum bei der Umsetzung.

NIS-2 schafft hier klare Verhältnisse:

  • Erweiterter Anwendungsbereich: Deutlich mehr Sektoren und Unternehmen fallen unter die Richtlinie – darunter erstmals auch mittlere Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz.
  • Einheitliche Meldefristen: Statt unterschiedlicher nationaler Regelungen gelten nun EU-weit verbindliche Zeitfenster.
  • Dreistufiges Meldesystem: Frühwarnung, ausführlicher Bericht und Abschlussbericht bilden ein strukturiertes Verfahren.
  • Verschärfte Sanktionen: Bei Verstößen drohen deutlich höhere Bußgelder als unter NIS-1.

Die NIS-2-Meldung eines Sicherheitsvorfalls wird damit zu einer der kritischsten Compliance-Pflichten für betroffene Unternehmen.

 

Welche Sicherheitsvorfälle sind meldepflichtig?

Nicht jeder IT-Vorfall löst eine Meldepflicht aus. NIS-2 definiert den Begriff des erheblichen Sicherheitsvorfalls anhand konkreter Kriterien:

Definition: Erheblicher Sicherheitsvorfall

Ein Sicherheitsvorfall gilt als erheblich, wenn er:

  • eine schwerwiegende Betriebsstörung der Dienste verursacht oder verursachen kann,
  • finanzielle Verluste für die betroffene Einrichtung nach sich zieht,
  • andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt.

Beispiele für meldepflichtige Vorfälle

Vorfalltyp Meldepflichtig? Begründung
Ransomware-Angriff mit Betriebsunterbrechung Ja Schwerwiegende Betriebsstörung
Datenexfiltration personenbezogener Daten Ja Erheblicher Schaden für Betroffene
DDoS-Angriff mit Serviceausfall > 1 Stunde Ja Störung wesentlicher Dienste
Kompromittierung eines Administrationszugangs Ja Potenzielle schwerwiegende Auswirkungen
Fehlgeschlagener Phishing-Versuch (erkannt, blockiert) Nein Keine Auswirkung auf Betrieb
Geplante Wartungsunterbrechung Nein Kein Sicherheitsvorfall

Abgrenzung zur DSGVO-Meldepflicht

Wichtig: Die NIS-2-Meldepflicht besteht zusätzlich zur Meldepflicht nach Art. 33 DSGVO. Betrifft ein Vorfall sowohl die IT-Sicherheit als auch personenbezogene Daten, müssen beide Meldewege bedient werden – an das BSI (NIS-2) und an die zuständige Datenschutzaufsichtsbehörde (DSGVO).

 

Die drei Meldestufen im Detail: 24h, 72h und Abschlussbericht

Das dreistufige Meldesystem der NIS-2-Richtlinie folgt einer klaren zeitlichen Logik. Jede Stufe hat einen definierten Inhalt und Zweck.

Stufe 1: Frühwarnung – innerhalb von 24 Stunden

Die Frühwarnung muss innerhalb von 24 Stunden nach Kenntnisnahme des erheblichen Sicherheitsvorfalls erfolgen. Sie dient der schnellen Alarmierung der Behörden.

Pflichtinhalte der Frühwarnung:

  • Erste Einschätzung, ob der Vorfall auf eine rechtswidrige oder böswillige Handlung zurückzuführen ist
  • Angabe, ob grenzüberschreitende Auswirkungen möglich sind
  • Kurze Beschreibung des Vorfalls

Die Frühwarnung muss keine vollständige Analyse enthalten – es geht um Schnelligkeit, nicht um Perfektion.

Stufe 2: Ausführlicher Bericht – innerhalb von 72 Stunden

Innerhalb von 72 Stunden nach Kenntnisnahme muss ein detaillierter Bericht folgen. Dieser aktualisiert und ergänzt die Frühwarnung um:

  • Eine erste Bewertung des Sicherheitsvorfalls (Schwere, Auswirkungen)
  • Angaben zu den Kompromittierungsindikatoren (Indicators of Compromise, IoC)
  • Bereits ergriffene und geplante Gegenmaßnahmen

Stufe 3: Abschlussbericht – innerhalb von einem Monat

Spätestens einen Monat nach dem ausführlichen Bericht ist ein Abschlussbericht einzureichen. Dieser enthält:

  • Eine detaillierte Beschreibung des Vorfalls einschließlich Schweregrad und Auswirkungen
  • Die Art der Bedrohung oder Ursache, die den Vorfall ausgelöst hat
  • Ergriffene und laufende Abhilfemaßnahmen
  • Gegebenenfalls die grenzüberschreitenden Auswirkungen des Vorfalls

Sollte der Vorfall zum Zeitpunkt des Abschlussberichts noch andauern, ist stattdessen ein Zwischenbericht fällig – der Abschlussbericht wird dann nach Behebung nachgereicht.

 

TrustSpace Profi-Tipp: Bereiten Sie Vorlagen für alle drei Meldestufen im Voraus vor. Im Ernstfall bleibt keine Zeit, die richtigen Formulierungen und Inhalte zusammenzusuchen. TrustSpaceOS bietet vordefinierte Incident-Report-Templates, die sich im Ernstfall in Minuten ausfüllen und übermitteln lassen.

 

 

Zuständige Behörden: An wen muss gemeldet werden?

BSI als zentrale Meldestelle in Deutschland

In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die zuständige Behörde für NIS-2-Meldungen. Das BSI fungiert als:

  • Nationale zuständige Behörde im Sinne der NIS-2-Richtlinie
  • Computer Security Incident Response Team (CSIRT) für die Koordination der Vorfallbewältigung
  • Zentrale Anlaufstelle für grenzüberschreitende Zusammenarbeit

Meldewege

Das BSI stellt für die NIS-2-Meldung eines Sicherheitsvorfalls voraussichtlich folgende Kanäle bereit:

  • Online-Meldeportal des BSI (bevorzugter Weg)
  • E-Mail an die dedizierte Meldestelle
  • Telefonische Meldung für besonders dringende Fälle (24/7-Erreichbarkeit)

Sonderfall: Grenzüberschreitende Vorfälle

Bei Vorfällen mit Auswirkungen auf andere EU-Mitgliedstaaten koordiniert das BSI die Information der betroffenen nationalen Behörden über das EU-weite CSIRT-Netzwerk. Unternehmen müssen den grenzüberschreitenden Charakter bereits in der Frühwarnung angeben.

 

NIS-2 Incident Reporting: Praktische Anleitung in 7 Schritten

Damit Ihr Unternehmen im Ernstfall handlungsfähig ist, empfiehlt sich folgendes strukturiertes Vorgehen für das NIS-2 Incident Reporting:

Schritt 1: Vorfall erkennen und klassifizieren

  • Automatisierte Monitoring-Systeme (SIEM, IDS/IPS) zur Früherkennung einsetzen
  • Klar definierte Kriterien, wann ein Vorfall als erheblich einzustufen ist
  • Sofortige Eskalation an das Incident-Response-Team

Schritt 2: Interne Alarmkette auslösen

  • Benachrichtigung der Geschäftsführung (Haftungsrelevanz)
  • Information des IT-Sicherheitsbeauftragten / CISO
  • Einberufung des Incident-Response-Teams

Schritt 3: Frühwarnung absenden (24h-Frist)

  • Nutzung des vorbereiteten Templates
  • Übermittlung über das BSI-Meldeportal
  • Dokumentation von Zeitpunkt und Inhalt der Meldung

Schritt 4: Forensische Analyse starten

  • Beweissicherung (Logs, Systemabbilder, Netzwerkverkehr)
  • Identifikation von Kompromittierungsindikatoren (IoC)
  • Ermittlung des Angriffswegs und der betroffenen Systeme

Schritt 5: Ausführlichen Bericht erstellen (72h-Frist)

  • Zusammenfassung der bisherigen Erkenntnisse
  • Dokumentation der IoC und ergriffenen Gegenmaßnahmen
  • Übermittlung an das BSI

Schritt 6: Gegenmaßnahmen umsetzen und dokumentieren

  • Eindämmung des Vorfalls (Containment)
  • Bereinigung betroffener Systeme
  • Wiederherstellung des Normalbetriebs
  • Lückenlose Dokumentation aller Maßnahmen

Schritt 7: Abschlussbericht einreichen (1-Monat-Frist)

  • Vollständige Vorfallanalyse mit Root-Cause-Analyse
  • Bewertung der Wirksamkeit der Gegenmaßnahmen
  • Ableitung von Verbesserungsmaßnahmen (Lessons Learned)

 

Häufige Fehler bei der NIS-2-Meldepflicht

In der Praxis scheitern Unternehmen häufig an vermeidbaren Fehlern. Diese sollten Sie kennen:

1. Fehlende Vorfallerkennung:
Ohne funktionierendes Monitoring-System werden Vorfälle oft erst nach Tagen oder Wochen erkannt – die 24-Stunden-Frist für die Frühwarnung beginnt aber mit der Kenntnisnahme, und Behörden können hinterfragen, warum ein Vorfall nicht früher bemerkt wurde.

2. Unklare interne Zuständigkeiten:
Wenn im Ernstfall erst geklärt werden muss, wer die Meldung verantwortet, geht wertvolle Zeit verloren. Definieren Sie Rollen und Verantwortlichkeiten im Voraus.

3. Überperfektionismus bei der Frühwarnung:
Die 24-Stunden-Meldung soll eine erste Einschätzung liefern, keine vollständige forensische Analyse. Viele Unternehmen verlieren Zeit, weil sie die Frühwarnung zu detailliert gestalten wollen.

4. Fehlende Dokumentation:
Jede Entscheidung, jede Maßnahme und jede Kommunikation muss dokumentiert werden. Im Zweifel dient die Dokumentation als Nachweis gegenüber Behörden und Auditoren.

5. DSGVO-Meldung vergessen:
Bei Vorfällen mit personenbezogenen Daten muss parallel die Datenschutzaufsichtsbehörde informiert werden – die NIS-2-Meldung ersetzt die DSGVO-Meldung nicht.

 

TrustSpace Profi-Tipp: Führen Sie mindestens einmal jährlich eine Incident-Response-Übung durch, bei der Sie einen Sicherheitsvorfall simulieren und den gesamten Meldeprozess durchspielen. So identifizieren Sie Schwachstellen in Ihrem Prozess, bevor der Ernstfall eintritt. TrustSpace unterstützt Sie bei der Planung und Durchführung solcher Übungen.

 

 

Checkliste: Ist Ihr Unternehmen auf die Meldepflicht vorbereitet?

Nutzen Sie diese Checkliste zur Selbsteinschätzung:

  • Monitoring: Sind automatisierte Systeme zur Vorfallerkennung im Einsatz (SIEM, EDR)?
  • Klassifizierung: Gibt es klare Kriterien, wann ein Vorfall als „erheblich” gilt?
  • Incident-Response-Plan: Existiert ein dokumentierter und getesteter Notfallplan?
  • Alarmketten: Sind Eskalationswege und Zuständigkeiten definiert?
  • Meldevorlagen: Liegen Templates für Frühwarnung, ausführlichen Bericht und Abschlussbericht bereit?
  • BSI-Meldezugang: Ist der Zugang zum BSI-Meldeportal eingerichtet und getestet?
  • DSGVO-Schnittstelle: Ist der parallele Meldeprozess an die Datenschutzaufsicht definiert?
  • Übungen: Wird der Meldeprozess regelmäßig geübt?
  • Dokumentation: Ist ein System zur lückenlosen Vorfallsdokumentation vorhanden?
  • Geschäftsführung: Ist die Geschäftsleitung über ihre persönliche Haftung informiert?

 

NIS-2-Meldepflicht: Konsequenzen bei Verstößen

Die NIS-2-Richtlinie sieht empfindliche Sanktionen für Verstöße gegen die Meldepflicht vor:

  • Wesentliche Einrichtungen: Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
  • Wichtige Einrichtungen: Bußgelder bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes
  • Persönliche Haftung: Geschäftsführer können bei Pflichtverletzung persönlich haftbar gemacht werden

Besonders kritisch: Die Aufsichtsbehörden können bei wiederholten Verstößen auch Leitungspersonen vorübergehend untersagen, ihre Führungsfunktion auszuüben.

 

Fazit: Vorbereitung ist alles

Die NIS-2-Meldepflicht stellt Unternehmen vor organisatorische und technische Herausforderungen. Die kurzen Fristen – insbesondere die 24-Stunden-Frist für die Frühwarnung – erfordern klar definierte Prozesse, geschultes Personal und geeignete technische Werkzeuge.

Der Schlüssel liegt in der Vorbereitung: Unternehmen, die ihren Incident-Response-Prozess heute aufsetzen, testen und optimieren, werden im Ernstfall handlungsfähig sein. Wer erst beim ersten Vorfall beginnt, Prozesse zu definieren, wird die Fristen mit hoher Wahrscheinlichkeit reißen.

 

Sie möchten Ihr Unternehmen optimal auf die NIS-2-Meldepflichten vorbereiten? TrustSpace unterstützt Sie mit umfassender NIS2-Beratung und automatisiertem Incident-Reporting über TrustSpaceOS. Von der Gap-Analyse bis zum fertigen Meldeprozess – unsere InfoSec-Experten begleiten Sie auf dem Weg zur vollständigen NIS-2-Compliance.

Jetzt kostenlose Erstberatung vereinbaren →

Autor

Stefania Vetere
Stefania Vetere

Informationssicherheitsberaterin

Das könnte Sie auch interessieren...

Mit TrustSpace automatisieren Sie das Management Ihrer Informationssicherheit. Ihre All-in-One Lösung für IT Compliance.

ISO 27001 Lieferantenmanagement: Anforderungen, Bewertung und Praxis-Checkliste - Blog Artikel Bild
Informationssicherheit

ISO 27001 Lieferantenmanagement: Anforderungen, Bewertung und Praxis-Checkliste

Felix Mosler
ISO 27001 Zertifizierungsprozess: Ablauf & Dauer für den Mittelstand - Blog Artikel Bild
ISO 27001

ISO 27001 Zertifizierungsprozess: Ablauf & Dauer für den Mittelstand

Felix Mosler
Aufbau ISMS nach ISO 27001: Der Praxis-Guide für den Mittelstand - Blog Artikel Bild
Informationssicherheit

Aufbau ISMS nach ISO 27001: Der Praxis-Guide für den Mittelstand

Stefania Vetere

Ihre Sicherheit beginnt hier

Automatisieren Sie Ihre IT-Compliance