NIS2-Meldepflichten: Das 24/72-Stunden-Runbook
Praxis-Runbook für die NIS2-Erstmeldung nach 24 Stunden und die Folgemeldung nach 72 Stunden — Schwellen, Trigger, Vorlagen und BSI-Spezifika.
Der schwierigste Teil der NIS2-Meldung ist nicht das Schreiben des Berichts. Es sind die ersten 24 Stunden — mit unvollständigen Informationen, einer lauten Alarmwarteschlange und einer juristischen Frist, die in dem Moment begann, in dem jemand den Vorfall als erheblich einstufte. Das deutsche NIS2UmsG gilt seit dem 6. Dezember 2025 ohne Übergangsfrist. Das ist damit operative Realität, kein Planungsthema mehr. Dieses Runbook geben wir den Security-Teams unserer Kunden an die Hand: Es übersetzt den Gesetzestext in Entscheidungen, die eine Rufbereitschaft um 02:00 Uhr treffen kann.
TL;DR / Die wichtigsten Punkte
- Die NIS2-Frist beginnt mit der Kenntnis, dass ein Vorfall erheblich ist — nicht mit seinem Beginn. Ihre schwierigste Kontrolle ist deshalb eine klare, vorab vereinbarte Erheblichkeitsschwelle.
- Drei Fristen, eine Zeitleiste: Erstmeldung nach 24 Stunden, Folgemeldung nach 72 Stunden, Abschlussbericht nach einem Monat — alle an das BSI nach dem NIS2UmsG.
- Die 24-Stunden-Erstmeldung ist bewusst schlank. Überfrachten Sie sie nicht; sanktioniert wird das Schweigen, nicht die unvollständige Frühinformation.
- Die Geschäftsleitung haftet persönlich für die Aufsicht über die Risikomanagementmaßnahmen — eine versäumte Meldung ist ein Governance-Versagen, nicht nur ein Ops-Problem.
- Bußgelder erreichen 10 Mio. EUR oder 2 % des weltweiten Umsatzes für besonders wichtige Einrichtungen. Bauen Sie das Runbook, bevor Sie es brauchen.
Warum das 24/72-Modell naive Prozesse zerlegt
Die meisten Unternehmen haben bereits einen Incident-Response-Prozess. Kaum einer ist auf eine regulatorische Frist ausgelegt, die mit der Kenntniserlangung beginnt. Ein klassischer SOC-Workflow optimiert auf eine saubere Grundursache vor der Eskalation. NIS2 dreht das um: Sie müssen melden, bevor Sie den Vorfall vollständig verstehen. Die Erstmeldung existiert genau deshalb, weil die Behörde früh informiert und später korrigiert werden möchte, statt von einem Vorfall mit nationaler Tragweite erst eine Woche später zu erfahren.
Deshalb ist das wertvollste Artefakt eine Erheblichkeits-Entscheidungsregel, die eine Rufbereitschaft anwenden kann, ohne die CISO zu wecken. NIS2 definiert einen erheblichen Vorfall qualitativ — schwere Betriebsstörung, finanzieller Verlust oder erhebliche Schäden bei Dritten. Eine qualitative Definition ist um 02:00 Uhr wertlos. Sie müssen sie in Zahlen übersetzen, die Ihr Team verantwortet.
Schritt 0: "Erheblich" definieren, bevor der Vorfall eintritt
Wenn Sie während des Vorfalls noch über die Erheblichkeit diskutieren, sind bereits Stunden des 24-Stunden-Budgets verloren. Vereinbaren Sie quantitative Trigger vorab und prüfen Sie sie quartalsweise. Mit Kunden kodifizieren wir typischerweise etwas wie dies, kalibriert auf die Kritikalität der Dienste:
| Trigger-Dimension | Beispielschwelle (an Ihr Geschäft anpassen) | Standard-Einstufung |
|---|---|---|
| Ausfall eines Kerndienstes | > 1 Stunde, oder jeder Ausfall in Spitzenzeiten | Wahrscheinlich erheblich |
| Betroffene Kunden-/Bürgerdatensätze | > 1.000 Datensätze, oder besondere Datenkategorien | Wahrscheinlich erheblich |
| Finanzielle Auswirkung (direkt + Wiederherstellung) | > 100.000 EUR geschätzt | Wahrscheinlich erheblich |
| Vermutete böswillige/rechtswidrige Ursache | Jede bestätigte Kompromittierung oder Ransomware | Erheblich + als böswillig markieren |
| Grenzüberschreitende / Lieferketten-Ausbreitung | Ausbreitung in anderen Mitgliedstaat oder Schlüssellieferant | Erheblich + grenzüberschreitend markieren |
Es geht nicht um die exakten Zahlen — es geht darum, dass die Rufbereitschaft eine Tabelle liest, kein Gesetz. Was eine Zeile auslöst, startet automatisch den 24-Stunden-Prozess. Grenzfälle entscheiden Sie im Zweifel für die Meldung; Untermelden trägt weit höhere regulatorische und persönliche Haftungsrisiken als eine später herabgestufte Erstmeldung.
Eine Zeitleiste: drei Meldungen, ein Vorfall
NIS2-Meldung besteht nicht aus drei getrennten Ereignissen. Es ist ein Vorfall, betrachtet in drei Auflösungen. Dies zu verwechseln ist der häufigste Fehler, den wir sehen — Teams behandeln die 72-Stunden-Meldung als neues Dokument, das der Erstmeldung widerspricht, was der Behörde sofort einen unreifen Prozess signalisiert.
| Stufe | Frist (ab Kenntnis) | Zweck | Detailtiefe |
|---|---|---|---|
| Erstmeldung | 24 Stunden | Anzeige eines erheblichen Vorfalls; ob böswillig/rechtswidrig und grenzüberschreitend | Minimal — bisher bekannte Fakten |
| Folgemeldung | 72 Stunden | Erste Schwere- und Auswirkungsbewertung, betroffene Dienste, IoCs | Mittel — erste echte Bewertung |
| Abschlussbericht | 1 Monat | Grundursache, volle Auswirkung, umgesetzte/geplante Maßnahmen, grenzüberschreitende Effekte | Vollständig — der abschließende Nachweis |
Ist ein Vorfall nach einem Monat noch nicht abgeschlossen, sieht NIS2 zu diesem Zeitpunkt einen Fortschrittsbericht und einen Abschlussbericht nach Behebung vor. Behandeln Sie die Ein-Monats-Meldung als Kontrollpunkt, nicht zwingend als Ende.
Was die 24-Stunden-Erstmeldung enthalten muss — und was nicht
Die Erstmeldung ist bewusst dünn. Sie beantwortet drei Fragen: liegt ein erheblicher Vorfall vor, wird ein rechtswidriger oder böswilliger Akt vermutet, und sind grenzüberschreitende Auswirkungen möglich. Mehr nicht. Teams blockieren sich regelmäßig selbst, indem sie in 24 Stunden eine forensische Zusammenfassung erstellen wollen. Tun Sie das nicht. Aufgabe der Erstmeldung ist es, die Frist bei der Behörde zu starten — nicht, die Grundursache korrekt zu benennen.
Eine praktikable Erstmeldungs-Vorlage hat vier Felder: Einrichtung und Kontakt, Zeitpunkt der Kenntnis, eine Absatzbeschreibung der beobachteten Auswirkung sowie die beiden Ja/Nein/Unbekannt-Marker (böswillige Ursache, grenzüberschreitend). "Unbekannt" ist zu diesem frühen Zeitpunkt eine gültige und ehrliche Antwort.
Das Runbook: von der Erkennung zur Abschlussmeldung
- Vorfall erklären und Zeitpunkt erfassen. Sobald ein Alarm mit einem Erheblichkeits-Trigger korreliert, erklären Sie den Vorfall im Tracker und erfassen den Zeitpunkt der Kenntnis minutengenau. Dieser eine Zeitstempel verankert alle drei Fristen und muss im Nachhinein belastbar sein. Machen Sie die Erklärung zu einem bewussten, protokollierten Akt — nicht zur impliziten Nebenwirkung eines Dashboard-Blicks.
- Incident-Struktur aufstellen. Bestimmen Sie einen Incident Commander, der die Meldezeitleiste verantwortet, getrennt vom technischen Lead, der die Behebung verantwortet. Beide Rollen konkurrieren unter Druck um dieselben Personen; ihre Trennung verhindert, dass die 24-Stunden-Frist verrutscht, während alle löschen.
- 24-Stunden-Erstmeldung an das BSI abgeben. Nutzen Sie die vorbereitete Vorlage. Senden Sie sie auch, wenn Sie eine spätere Herabstufung erwarten.
- Eindämmung und 72-Stunden-Bewertung parallel fahren. Nach 72 Stunden schulden Sie eine erste Schwere- und Auswirkungsbewertung. Hier zahlen sich SIEM, EDR und Asset-Inventar aus — Sie können keine Auswirkung auf Assets bewerten, die Sie nicht inventarisiert haben.
- Durchgängig Beweise und Entscheidungsprotokoll sichern. Jede Eindämmungsmaßnahme, jede Einstufungsentscheidung, jede Meldung wird mit Zeitstempel versehen. Das Entscheidungsprotokoll schützt die Geschäftsleitung, wenn die Aufsicht später hinterfragt wird.
- Abschluss- bzw. Fortschrittsbericht nach einem Monat abgeben. Grundursache, volle Auswirkung, umgesetzte und geplante Maßnahmen. Danach eine Retrospektive durchführen und konkrete Änderungen ins Runbook zurückspeisen.
Konsequenzen für das Tooling
Eine 24-Stunden-Pflicht ist mit rein manueller Triage unvereinbar. Sie brauchen Detektionen, die auf Ihre Erheblichkeits-Trigger gemappt sind, automatische Alarmierung von Compliance und Recht (nicht nur des SOC) und eine vorbereitete Meldevorlage an einem Ort, den die Rufbereitschaft sofort erreicht. Wir haben dies bei mehreren regulierten Kunden auf Microsoft Sentinel umgesetzt — Analytics-Regeln direkt an eine NIS2-Schwere-Taxonomie gekoppelt und eine automatisierte Logic-App-Übergabe, die im Moment eines ausgelösten Triggers sowohl den Incident Commander als auch die Rechtsabteilung alarmiert. Die Technik ist der einfache Teil; die Disziplin der Erheblichkeitstabelle und des Kenntnis-Zeitstempels hält Sie tatsächlich konform.
Häufige Fehlerbilder aus der Praxis
- Die Frist zu spät starten. "Kenntnis" als "nach der Analyse" zu verstehen, ist der teuerste Fehler. Kenntnis ist der Punkt, an dem ein verständiges Team den Vorfall als erheblich einstufen würde.
- Die Erstmeldung überfrachten. 20 der 24 Stunden mit Prosa zu verbringen. Die Erstmeldung hat vier Felder.
- Keine Trennung von Meldung und Behebung. Eine Person kann nicht die Brücke leiten und zugleich behördliche Meldungen verfassen.
- Die Lieferkette vergessen. Ein erheblicher Vorfall bei einem Schlüssellieferanten kann eigene Meldepflichten und den grenzüberschreitenden Marker auslösen.
- Meldung als reines IT-Thema behandeln. Billigung und Überwachung der Risikomanagementmaßnahmen durch die Geschäftsleitung ist eine gesetzliche Pflicht; die Leitung muss wissen, dass das Runbook existiert und funktioniert.
Wie dies mit dem übrigen NIS2-Programm zusammenhängt
Die Meldepflicht steht nicht allein. Zuerst müssen Sie Ihre Betroffenheit bestätigen — arbeiten Sie die Schwellen in unserem NIS2-Betroffenheitstest für Deutschland durch, denn die Meldepflicht greift erst, wenn Sie wichtige oder besonders wichtige Einrichtung sind. Dann müssen Sie beim BSI registriert sein; unsere Anleitung zur BSI-Registrierung behandelt das am 6. Januar 2026 geöffnete Portal und warum eine späte Registrierung weiterhin erforderlich ist. Und weil die Folgen von Fehlern Einzelpersonen treffen, lesen Sie unsere Analyse zur Geschäftsleiterhaftung unter dem NIS2UmsG — die persönliche Haftung macht dieses Runbook von einer Kür zu einer Kontrolle auf Leitungsebene.
Eine funktionierende Meldefähigkeit ist zudem ein natürliches Nebenprodukt einer Zero-Trust-Architektur: starke Identität, Segmentierung und Telemetrie liefern sowohl das Detektionssignal als auch die Auswirkungsnachweise, die die 72-Stunden-Meldung verlangt.
FAQ
Wann beginnt die 24-Stunden-Frist nach NIS2?
Die Frist beginnt in dem Moment, in dem Ihr Unternehmen Kenntnis davon erlangt, dass ein erheblicher Sicherheitsvorfall vorliegt — nicht mit dem Beginn des Vorfalls und nicht mit dem Abschluss der Analyse. Die Schwelle der Kenntniserlangung ist niedrig: ein belastbares Alarmsignal mit erkennbarer Auswirkung genügt meist. Nach dem NIS2UmsG löst dies die Pflicht zur Erstmeldung an das BSI binnen 24 Stunden aus.
Worin unterscheiden sich Erstmeldung (24h) und Folgemeldung (72h)?
Die Erstmeldung nach 24 Stunden ist eine kurze Meldung, die einen erheblichen Vorfall anzeigt und angibt, ob ein rechtswidriger oder böswilliger Akt vermutet wird und ob grenzüberschreitende Auswirkungen möglich sind. Die Folgemeldung nach 72 Stunden enthält eine erste Bewertung von Schwere, Auswirkung und Kompromittierungsindikatoren. Der Abschlussbericht folgt binnen eines Monats.
Welche Vorfälle sind nach NIS2 meldepflichtig?
Ein Vorfall ist erheblich, wenn er eine schwerwiegende Betriebsstörung der Dienste oder finanzielle Verluste verursacht oder verursachen kann oder andere Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt. Da die Schwelle teils qualitativ ist, sollten Sie quantitative Trigger (Ausfallzeit, betroffene Datensätze, finanzielle Auswirkung) vorab definieren, damit die Rufbereitschaft schnell entscheiden kann.
An wen melden deutsche Einrichtungen NIS2-Vorfälle?
Einrichtungen im Anwendungsbereich des NIS2UmsG melden an das Bundesamt für Sicherheit in der Informationstechnik (BSI) über dessen Meldeportal. Dasselbe Portal dient der Registrierung, die am 6. Januar 2026 geöffnet wurde. Sektorspezifische Pflichten (etwa für Telekommunikation oder Energie) können parallele Meldewege ergänzen.
Haftet die Geschäftsleitung persönlich für Meldeversäumnisse?
Ja. Nach dem NIS2UmsG muss die Geschäftsleitung die Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen und kann für Aufsichtsversäumnisse persönlich haften. Versäumte Meldefristen oder ein nicht funktionierender Meldeprozess sind ein Governance-Versagen, nicht nur ein operatives Problem.
Welche Bußgelder drohen bei Meldeversäumnissen nach NIS2?
Für besonders wichtige Einrichtungen drohen Bußgelder bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Meldeversäumnisse und unzureichendes Risikomanagement sind beide sanktionierbar. Neben Bußgeldern können Behörden verbindliche Anweisungen erteilen und in schweren Fällen Leitungsfunktionen einschränken.
Wenn Sie ein zweites Paar erfahrener Augen auf Ihr NIS2-Melde-Runbook werfen lassen möchten — Erheblichkeitsschwellen, BSI-Übergabe, Sentinel-Anbindung — baut und härtet unsere Zero-Trust- und Cybersecurity-Praxis genau das mit europäischen Unternehmen. Lieber üben Sie den Ernstfall mit uns als zum ersten Mal während eines echten Vorfalls.
Themen