Live · DACH ops
03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents03:47 · QR-2 · Sektor B · 0 anomalies04:03 · QR-7 · Gate 4 · handover ack04:11 · QR-2 · Sektor B · patrol complete · 4.2 km04:14 · Filderstadt · ops ack · all green04:22 · QR-12 · Stuttgart-W · charge cycle 84%04:30 · QR-3 · Karlsruhe · perimeter sweep · pass 3/404:38 · QR-9 · Wien-N · weather check · IP65 nominal04:45 · QR-2 · Sektor B · thermal hit reviewed · benign04:52 · QR-15 · Zürich-O · escalation queue · empty05:00 · all units · shift turnover · zero incidents
← Alle Beiträge
KRITIS · Dachgesetz · NIS-2

NIS-2 Meldepflicht: 24-Stunden-Frist operativ umsetzen

NIS-2 Meldepflicht im Detail: 24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht. Meldekette, Sanktionen und 90-Tage-Plan für CISO.

Dr. Raphael Nagel (LL.M.) & Marcus Köhnlein
Investor & Autor · Founding Partner
Auf LinkedIn folgen

Die NIS-2 Meldepflicht hat in der Praxis drei Fristen, nicht eine. Wer 24 Stunden, 72 Stunden und einen Monat verwechselt, riskiert Bußgeld und persönliche Haftung. Dieser Beitrag trennt die Stufen und zeigt die Meldekette vom Sensor bis zum BSI-Portal.

NIS-2 Meldepflicht: Die drei Fristen im Überblick

Die Richtlinie (EU) 2022/2555 schreibt ein dreistufiges Meldeverfahren vor: Frühwarnung in 24 Stunden, Vorfallsmeldung in 72 Stunden, Abschlussbericht binnen eines Monats (EUR-Lex, Richtlinie 2022/2555).

Stufe 1, Frühwarnung. Innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls ist eine erste Meldung an das BSI zu übermitteln. Inhalt: Verdacht auf rechtswidriges Handeln, grenzüberschreitende Auswirkung, betroffener Dienst.

Stufe 2, Vorfallsmeldung. Innerhalb von 72 Stunden folgt die Bewertung mit Schweregrad, Auswirkungen, ersten Indikatoren (IOCs) und Status der Eindämmung.

Stufe 3, Abschlussbericht. Spätestens einen Monat nach der Vorfallsmeldung dokumentiert die Einrichtung Ursachenanalyse, Maßnahmen, grenzüberschreitende Effekte.

Das BSI kann jederzeit einen Zwischenbericht verlangen. Diese Anforderung ist unabhängig von den Standardfristen.

Kritischer Punkt: Der Fristbeginn ist der Zeitpunkt der Kenntnisnahme durch die Einrichtung, nicht der tatsächliche Eintritt des Vorfalls. Ein am Sonntag 23:50 Uhr detektierter Vorfall löst die Frühwarnung bis Montag 23:50 Uhr aus. Das gilt unabhängig vom Bereitschaftsmodell.

Nächster Schritt: Die NIS-2 Compliance-Übersicht bündelt alle Pflichten der Einrichtung in einer Matrix.

Was als erheblicher Sicherheitsvorfall gilt

Nicht jeder Alarm ist meldepflichtig. Erheblich ist ein Vorfall, wenn er eine schwere Betriebsstörung des Dienstes verursacht, finanzielle Verluste für die Einrichtung auslöst oder andere natürliche oder juristische Personen durch materiellen oder immateriellen Schaden beeinträchtigt.

Vier Beispielklassen aus der operativen Praxis:

  1. Ransomware mit Verschlüsselung produktiver Systeme: immer meldepflichtig.
  2. DDoS mit Dienstausfall über die Schwellwerte der KritisV: meldepflichtig (BSI-KritisV).
  3. Physische Vorfälle am Perimeter: meldepflichtig, sobald sie digitale Dienste beeinträchtigen. Ein Einbruch in einen Serverraum zählt, auch wenn keine Daten abgeflossen sind.
  4. Drohnenüberflüge mit Sensorik-Verdacht über KRITIS-Anlagen: dokumentations- und prüfpflichtig. Die Frühwarnung wird ausgelöst, sobald eine Auswirkung auf den Dienst nicht ausgeschlossen werden kann.

Verdachtsfälle ohne bestätigte Auswirkung lösen keine Frühwarnung gegenüber dem BSI aus. Sie unterliegen aber der internen Protokollpflicht und müssen im Audit nachvollziehbar sein. Wer zu früh meldet, erzeugt Rauschen. Wer zu spät meldet, verletzt §38 BSIG-neu (BSIG-E, Referentenentwurf BMI).

Nächster Schritt: Die Klassifikationskriterien sind in der KRITIS-Dachgesetz Checkliste 2026 sektoral aufgeschlüsselt.

Meldekette: Vom Sensor bis zum BSI-Portal

Die Meldekette ist ein Prozess mit Stoppuhr. Sechs Schritte:

  1. Detektion. Sensorik am Perimeter, im SIEM oder im EDR registriert ein Ereignis mit Zeitstempel im UTC-Format. UTC ist Pflicht, weil die Behördenkommunikation zeitzonenneutral erfolgt.
  2. Eskalation. Der Alarm wird innerhalb von 30 Minuten an das SOC oder den Sicherheitsleitstand übergeben. Diese Frist ist nicht gesetzlich vorgeschrieben, aber operativ notwendig. Nur so lässt sich die 24-Stunden-Frist halten.
  3. Bewertung. Das Incident Response Team prüft innerhalb von 4 Stunden gegen den NIS-2-Schwellwert: erhebliche Betriebsstörung, finanzieller Schaden, Drittwirkung.
  4. Freigabe. Der CISO oder ein namentlich benannter Stellvertreter gibt die Frühwarnung mit Signatur frei. Eine Vertretungsregelung für Wochenenden und Urlaub ist Pflicht.
  5. Übermittlung. Die Meldung geht über das BSI-Meldeportal raus. Das BSI ist zentrale Meldestelle für NIS-2-Vorfälle in Deutschland (BMI zur NIS-2-Umsetzung). Vorgangsnummer dokumentieren, Wiedervorlage für die 72-Stunden-Stufe setzen.
  6. Information der Geschäftsführung. Parallel, nicht nachgelagert. Die persönliche Haftung nach §38 BSIG-neu greift, sobald die Leitung den Vorfall kennt und nicht handelt (BSIG-E, Referentenentwurf BMI).

Die Trennung von Bewertung und Freigabe ist kein Formalismus. Sie verhindert, dass ein einzelner Analyst unter Zeitdruck eine Meldung auslöst oder unterlässt.

Physische Vorfälle und die NIS-2 Meldepflicht

NIS-2 ist keine reine Cyber-Richtlinie. Physische Vorfälle mit Dienstauswirkung sind meldepflichtig.

Vier Kategorien aus der Leitstellenpraxis:

  • Unbefugter Zutritt zu Rechenzentren, Netzverteilern oder Steuerständen. Meldepflicht entsteht, sobald eine Auswirkung auf den Dienst nicht ausgeschlossen werden kann.
  • Sabotage an Kühlung, Notstrom oder Glasfasertrassen. Die 24-Stunden-Frist beginnt mit der Detektion durch die Leitstelle.
  • Diebstahl von Hardware mit potenziell verwertbaren Daten oder Zugangsmitteln (Schlüssel, Token).
  • Drohnenüberflüge mit Sensorik-Verdacht. Ohne Beweissicherung bleibt nur die Verdachtsprotokollierung.

Patrouillenroboter QR-2 dokumentieren Zeitstempel, Geo-Koordinaten und Bildmaterial revisionssicher. Der QR-3 mit LiDAR und Drohnenerkennung liefert zusätzlich forensische Daten für den Abschlussbericht: 3D-Punktwolken des Tatorts, RF-Spektren bei Drohnendetektion, lückenloses Patrouillen-Log.

Was funktioniert: Das Audit-Log der Roboterpatrouille ersetzt manuelle Wachbuchführung. Es schließt Beweislücken, die in NIS-2-Audits regelmäßig moniert werden (lückenhafte Rondengang-Protokolle, fehlende Zeitstempel-Synchronisation).

Was nicht funktioniert: Robotik ohne Anbindung an SOC und Ticketing. Ein Roboter, der Vorfälle aufzeichnet aber nicht eskaliert, hilft beim Abschlussbericht, nicht bei der 24-Stunden-Frist.

Das Robotics-as-a-Service Modell integriert Sensorik, Eskalation und Audit-Log in einem Vertrag. Eine Kalkulation gegen klassische Bewachung findet sich im Kostenvergleich Wachschutz vs. Robotik.

Sanktionen bei verspäteter oder unterlassener Meldung

Die Bußgeldhöhen unterscheiden zwei Klassen:

  • Wesentliche Einrichtungen: bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Richtlinie 2022/2555, Art. 34).
  • Wichtige Einrichtungen: bis 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes (Richtlinie 2022/2555, Art. 34).

Persönliche Haftung der Geschäftsleitung nach §38 BSIG-neu. Vorstände und Geschäftsführer haften mit ihrem Privatvermögen für Pflichtverletzungen. Das betrifft das Risikomanagement ebenso wie die Meldepraxis. Eine D&O-Versicherung deckt grobe Fahrlässigkeit nur eingeschränkt.

Bei wiederholten oder schweren Verstößen kann das BSI eine temporäre Untersagung der Leitungsfunktion aussprechen. Diese Sanktion richtet sich gegen den verantwortlichen Geschäftsführer persönlich. Diese Sanktion ist neu im deutschen Aufsichtsrecht und folgt dem Vorbild der DSGVO-Aufsicht.

Reputationsschaden: Das BSI kann die öffentliche Bekanntmachung des Vorfalls anordnen. Das betrifft Aktionäre, Kunden und Versicherer gleichermaßen.

Details zur Haftungslage stehen in der Vorstandshaftung unter NIS-2.

Werkzeuge und Vorlagen für die Meldekette

Eine Meldekette ohne vorbereitete Werkzeuge scheitert an der ersten Wochenend-Ronde. Fünf Bausteine:

Meldeformular mit Pflichtfeldern. Zeitstempel der Detektion (UTC), Sektor nach KritisV, betroffener Dienst, Indikatoren (Hashes, IPs, MAC-Adressen, physische Spuren), erste Bewertung. Das Formular liegt offline vor, weil der Ausfall der IT-Infrastruktur den Online-Zugang sperren kann.

Eskalationsmatrix. Namentliche Stellvertreter für 24/7-Erreichbarkeit. Mindestens drei Personen pro Rolle (CISO, Datenschutzbeauftragter, Geschäftsführung), getestet durch unangekündigte Anrufe.

Tabletop-Übung. Mindestens zweimal jährlich, dokumentiertes Ergebnis. Szenario: simulierter Vorfall am Freitagabend mit Stoppuhr-Validierung der 24-Stunden-Frist.

Schnittstelle physische Leitstelle und Cyber-SOC. Gemeinsame Ticketing-Logik. Ein Vorfall bekommt eine Vorgangsnummer, egal ob er an einem Drehkreuz oder im SIEM detektiert wurde.

Kommunikationsfreigaben. Vorab abgestimmte Sprachregelung mit Aufsichtsrat und Pressestelle. Wer im Vorfall erst die Freigabe für die Pressemitteilung sucht, verliert vier Stunden.

Zusammenspiel mit KRITIS-Dachgesetz und sektorspezifischen Pflichten

Das KRITIS-Dachgesetz ergänzt NIS-2 um die Meldepflicht physischer Sicherheitsvorfälle an das BBK (Bundestag-Drucksache 20/9262). Das BBK koordiniert diese Meldungen und führt das Register kritischer Anlagen (BBK Bundesamt für Bevölkerungsschutz).

Konsequenz für hybride Vorfälle: Doppelmeldung. Ein Einbruch in das Rechenzentrum mit anschließendem Datendiebstahl löst zwei Meldungen aus. Die Cyber-Komponente geht nach NIS-2 an das BSI, die physische Komponente nach KRITIS-Dachgesetz an das BBK. Beide Meldungen folgen unterschiedlichen Fristen und Formularen.

Sektorspezifische Verordnungen können kürzere Fristen vorsehen. Energie, Wasser, Gesundheit haben jeweils eigene Sektorverordnungen mit abweichenden Schwellwerten und Meldewegen. Vor der Vereinheitlichung interner Prozesse ist die sektorale Lage zu prüfen.

Konzernstruktur: Die Meldepflicht trifft die regulierte Einheit, nicht die Muttergesellschaft. Eine Holding meldet nicht für ihre Töchter. Wer eine Shared-Service-Struktur betreibt, klärt vertraglich, wer die Frühwarnung auslöst.

Grenzüberschreitende Vorfälle: Betrifft ein Vorfall andere EU-Mitgliedstaaten, informiert das BSI die zuständigen nationalen Behörden. Die Einrichtung muss das nicht selbst koordinieren, aber im Abschlussbericht dokumentieren.

Die BBK-Seite des Prozesses ist Schritt für Schritt in der BBK-Registrierung Schritt für Schritt beschrieben.

Operative Umsetzung in den ersten 90 Tagen

Ein Aufbauplan für Sicherheitsleiter ohne bestehende NIS-2-Meldekette:

Woche 1 bis 2: Bestandsaufnahme. Welche Meldewege existieren? Wer hat heute Freigabebefugnis? Lückenanalyse gegen die drei Fristen. Ergebnis: Lückenliste mit Verantwortlichen.

Woche 3 bis 6: Eskalationsmatrix und Schulung. Aufbau der namentlichen Vertretungsregelung. Schulung von Leitstand, SOC und Bereitschaftsdienst auf die Schwellwerte und Formulare. Drei Trockenübungen ohne Stoppuhr.

Woche 7 bis 10: Integration physischer Sensorik. Robotik, Zutrittskontrolle, Videoanalyse, Drohnendetektion werden an das Ticketing angebunden. Gemeinsame Vorgangsnummern für Cyber und physische Vorfälle.

Woche 11 bis 12: Tabletop-Übung mit Stoppuhr. Simulierter Vorfall am Freitag, 17:30 Uhr. Validierung der 24-Stunden-Frist unter realistischen Bedingungen, inklusive Abwesenheit des Erst-Verantwortlichen.

Ab Tag 90: Regelbetrieb. Quartalsweise Überprüfung der Meldekette durch die interne Revision. Jährliche Prüfung durch einen externen Auditor mit Erfahrung in NIS-2 und KRITIS-Dachgesetz. Ergebnisse fließen in den Bericht an Vorstand und Aufsichtsrat.

Wer die 90 Tage diszipliniert durchläuft, hat eine prüffähige Meldekette. Wer abkürzt, riskiert, dass die erste reale Krise die Schwächen sichtbar macht.

Die Vorlagen für Meldeformular, Eskalationsmatrix und Tabletop-Szenario stehen in der NIS-2 Compliance-Übersicht zum Download bereit.

Übersetzungen

Mehr aus diesem Cluster

Call now+49 711 656 267 63Free quote · 24 hCalculate price →