Blog/Compliance & Regulierung

NIS2 Incident Response: Meldepflicht in 72 Stunden

Erfahre, wie du dein Unternehmen auf die neuen NIS2-Meldepflichten vorbereitest und einen funktionierenden Incident-Response-Plan aufbaust.

NIS2 Incident Response: Meldepflicht in 72 Stunden
|Lesezeit: 9 Minuten

Etwa 29.500 Unternehmen und Behörden fallen in Deutschland unter die neue NIS2-Richtlinie. Das ist mehr als sechsmal so viele wie bisher. Mit dieser Ausweitung kommt eine zentrale Verpflichtung, die du nicht ignorieren kannst: die Meldepflicht bei Cybervorfällen. Wer einen Sicherheitsvorfall nicht innerhalb von 24 Stunden meldet, riskiert Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Das ist keine theoretische Drohung mehr. Deutschlands NIS2-Gesetz (NIS2UmsuCG) trat am 6. Dezember 2025 in Kraft. Die BSI-Registrierungsplattform ist seit 6. Januar 2026 aktiv. Dein Unternehmen muss sich anmelden, wenn es unter die Regelungen fällt, und es muss einen funktionierenden Incident-Response-Plan haben.

Dieser Artikel zeigt dir, was NIS2 konkret fordert, wie du einen Vorfallmeldeprozess aufbaust und warum auch deine Lieferanten dich betreffen.

Was NIS2 für Vorfallmanagement konkret fordert

Die NIS2-Richtlinie zerlegt die Meldepflicht in drei Phasen mit strikten Zeitvorgaben.

Phase 1: Early Warning (24 Stunden)

Nach Erkenntnis eines Vorfalls musst du die zuständige nationale Behörde (in Deutschland das BSI oder ein CSIRT) innerhalb von 24 Stunden informieren. Das ist nur eine erste Warnung, keine vollständige Analyse. Du brauchst noch nicht alle Details, aber du musst berichten, dass ein Vorfall stattgefunden hat.

Für dein Unternehmen bedeutet das konkret: Du brauchst einen Prozess, um Vorfälle zu erkennen und sofort (oder spätestens innerhalb weniger Stunden) zu klassifizieren. Nicht jedes Sicherheitsereignis ist ein "signifikanter Vorfall". Ein signifikanter Vorfall liegt vor, wenn er starke operative Störungen verursacht hat oder verursachen kann, oder wenn er andere Personen oder Unternehmen mit erheblichem Schaden treffen könnte.

Phase 2: Incident Notification (72 Stunden)

Innerhalb von 72 Stunden reicht du eine detaillierte Meldung ein. Sie umfasst: eine erste Einschätzung des Schweregradus, den vermuteten Ursprung des Vorfalls und Indikatoren für Kompromittierungen (Indicators of Compromise, IoCs).

Das bedeutet, dass dein Team innerhalb von 72 Stunden eine grundsätzliche forensische Analyse durchführt haben muss. Das ist eine enge Deadline. Viele kleinere Unternehmen unterschätzen, wie viel Zeit so eine Analyse kostet.

Phase 3: Final Report (30 Tage)

Spätestens einen Monat nach der ersten Meldung folgt ein abschließender Bericht mit vollständiger Beschreibung des Vorfalls, der Wurzelursache und den Maßnahmen, die du getroffen hast.

Diese drei Phasen sind nicht optional. Sie sind in Artikel 23 der NIS2-Richtlinie verankert und gelten für alle "wesentlichen" und "wichtigen" Entitäten. Welcher Kategorie du angehörst, hängt von deinem Sektor und deiner Größe ab. Das BSI hat Orientierungshilfen veröffentlicht. Falls du dir unsicher bist, prüfe es jetzt.

Wer meldet, und zu wem?

Hier wird es verwirrt, wenn du es zum ersten Mal liest. Du meldest nicht der Polizei, nicht der Staatsanwaltschaft, sondern einer Cybersicherheitsbehörde.

In Deutschland ist das Ansprechpartner das Bundesamt für Sicherheit in der Informationstechnik (BSI). Für spezifische Sektoren kann es auch ein CSIRT (Computer Security Incident Response Team) sein. Die genaue Anlaufstelle hängt von deinem Sektor ab (Energie, Verkehr, Gesundheit, Finanzen, etc.).

Das BSI hat am 6. Januar 2026 ein Registrierungsportal freigeschaltet, über das auch Vorfallmeldungen laufen. Das Portal ist gleichzeitig Registrierungs- und Meldeplatform.

Du hast drei Monate Zeit, dich zu registrieren, wenn du unter NIS2 fällst. Wenn du das verpasst, drohen bereits Verwarnungen.

Warum auch deine Lieferanten betroffen sind

Hier passiert eine häufige Fehlinterpretation: Nicht alle deine Zulieferer werden NIS2-reguliert. Aber alle deine Zulieferer müssen gewisse Sicherheitsstandards erfüllen, weil du das verlangen musst.

Die NIS2-Richtlinie verpflichtet dich, deine "direkten Zulieferer und Dienstleister" zu überwachen und zu bewerten. Das sind Softwarehersteller, Cloud-Anbieter, Managed Service Provider, IT-Dienstleister und ähnliche. Du musst ihre Sicherheit einschätzen und Cybersicherheitsanforderungen in Verträge schreiben.

Praktisch bedeutet das: Wenn ein Lieferant gehackt wird und deine Systeme beeinträchtigt sind, sitzt auch du mit im Boot. Du hattest eine Sorgfaltspflicht, diesen Lieferanten zu prüfen.

Das NIST Framework nennt das "Supply Chain Risk Management". Es geht nicht nur um deine direkte IT-Sicherheit, sondern auch um deine Abhängigkeiten.

Für KMU heißt das konkret: Mach eine Liste deiner kritischen Lieferanten. Prüfe ihre Sicherheitszertifikate (ISO 27001, SOC 2, etc.). Schreib Sicherheitsanforderungen in Verträge. Aktualisiere diese Verträge regelmäßig. Das ist lästig, aber NIS2-konform.

Aufbau eines Incident-Response-Plans: Praxisnahe Schritte für KMU

Ein funktionierender IR-Plan besteht aus fünf Elementen.

1. Vorbereitung (Prepare)

Das ist der wichtigste Teil. Hier legst du fest, wer was macht, wenn es ernst wird.

Benenne einen Incident Response Manager (kann eine Person oder ein Team sein). Diese Person muss bei jedem Vorfall sofort informiert werden. Sie koordiniert die Reaktion und die Meldung.

Erstelle eine Liste aller kritischen Systeme und deren Abhängigkeiten. Welche Systeme würden, wenn sie ausfallen, operative Störungen verursachen?

Richte Monitoring und Alerting ein. Du brauchst Logs aus deinen wichtigsten Systemen, und du brauchst automatische Warnungen, wenn verdächtige Aktivitäten passieren. Das muss 24/7 funktionieren, auch nachts. Viele kleine Unternehmen haben hier eine Lücke.

Schreib ein Incident Response Playbook. Das ist eine Art Rezept: Wenn Zeichen X erkannt wird, dann folgen die Schritte A, B, C. Wer wird angerufen? Was wird dokumentiert? Wie wird isoliert? Das Playbook muss auf dein Unternehmen zugeschnitten sein, nicht allgemein.

Erstelle Kontaktlisten: IT-Team, Geschäftsführung, Datenschutzbeauftragte, eventuell Anwälte, eventuell Kunden. Alle müssen sofort erreichbar sein.

2. Erkennung (Detect)

Logs allein genügen nicht. Du brauchst jemanden oder etwas, das die Logs liest und Anomalien sieht.

Das kann ein SIEM-System sein (Security Information and Event Management), also Software, die Logs sammelt und Muster erkennt. Für KMU ist das oft teuer. Alternativ brauchst du jemanden, der regelmäßig Logs checkt, oder du kaufst einen Managed Service (SOC, Security Operations Center).

Bei diesem Schritt geht es auch darum, interne und externe Meldungen zu ernst zu nehmen. Wenn ein Mitarbeiter sagt, sein Passwort funktioniert nicht, könnte es sein, dass ein Angreifer es gerade ändert. Das ist ein Zeichen.

3. Analyse und Eindämmung (Analyze and Contain)

Wenn ein Vorfall erkannt wird, musst du schnell wissen: Wie gravierend ist er? Ist er signifikant?

Das ist kein akademisches Gedankenspiel. Die Antwort bestimmt, ob du die BSI in 24 Stunden informierst oder nicht.

Bei der Analyse fragst du: Welche Systeme sind betroffen? Welche Daten könnten exponiert sein? Wie ist der Angreifer eingedrungen? Die Antworten holst du aus Logs, Netzwerk-Traffic-Analysen und eventuell Forensik.

Die Eindämmung ist das, was die meisten als "was tun" verstehen. Isoliere infizierte Systeme vom Netz. Ändere kritische Passwörter. Sperr verdächtige Konten. Alles dokumentieren.

4. Eradikation und Recovery (Eradication and Recovery)

Nachdem die Ausbreitung gestoppt ist, musst du den Angreifer komplett entfernen (Eradikation). Das bedeutet oft: Malware löschen, Backdoors schließen, Patches einspielen.

Dann bringst du Systeme wieder online (Recovery). Das geht nicht einfach. Du musst sichergehen, dass der Angreifer wirklich weg ist, sonst kommst du in eine Endlosschleife: Infiziert, bereinigt, wieder infiziert.

5. Nachbereitung und Lessons Learned (Post-Incident)

Nach dem Vorfall gibt es eine formale Nachbereitung. Das ist nicht optional, das verlangt NIS2.

Du machst einen Post-Mortem-Bericht: Was ist schiefgelaufen? Wo hätte Monitoring greifen müssen? Warum war das Passwort so leicht zu knacken? Dann definierst du konkrete Verbesserungen und setzt sie um.

Diesen Bericht brauchst du auch für die finale Meldung an die Behörde (Phase 3, 30-Tage-Frist).

Konkrete Tools für KMU

Für Monitoring: ELK-Stack (kostenlos, aber komplex), Splunk (teuer, aber einsteigerfreundlich), oder ein Managed Service wie Managed Detection & Response (MDR).

Für Incident Tracking: ein Ticketing-System wie Jira oder ein Incident Management Tool wie Opsgenie.

Für Dokumentation: ein einfaches Confluence-Wiki oder Google Docs, in dem die Playbooks stehen.

Deine BSI-Meldung selbst machst du über das BSI-Meldeportal, das seit Januar 2026 online ist.

Überschneidungen mit ISO 27001 und anderen Frameworks

Falls dein Unternehmen bereits ISO 27001 zertifiziert ist: Das ist ein guter Start, aber keine vollständige NIS2-Erfüllung.

ISO 27001 verlangt Incident Management. Du brauchst eine "Information Security Incident Response"-Prozedur. Aber ISO verlangt keine externen Meldungsfristen wie "24 Stunden".

NIS2 und ISO 27001 überschneiden sich bei Dokumentation, Schulung, Lieferanten-Management und Incident Tracking. Du kannst ISO-Controls als Basis für NIS2 nutzen, musst aber NIS2-spezifische Anforderungen (besonders die Meldungsfristen) extra adressieren.

Das NIST Cybersecurity Framework 2.0, das im April 2025 aktualisiert wurde, hat sechs Funktionen: Govern, Identify, Protect, Detect, Respond, Recover. Das ist konzeptionell ähnlich wie NIS2-Anforderungen, nur dass NIST älter und etablierter ist. Viele Unternehmen nutzen NIST als Framework und überlagern dann NIS2-Anforderungen.

Der Punkt: ISO 27001 Zertifizierung macht dich nicht NIS2-konform. Aber es ist eine gute Grundlage, auf die du aufbaust.

Was bei Nichteinhaltung droht

Die Strafen sind hier nicht symbolic.

Für "wesentliche" Entitäten (das sind meist Infrastrukturbetreiber, Banken, große Telekommunikationsunternehmen) liegt die maximale Geldbuße bei zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist.

Für "wichtige" Entitäten (kleinere kritische Infrastruktur, Dienstleister) sind es sieben Millionen Euro oder 1,4 Prozent des Umsatzes.

Ein mittelständisches IT-Dienstleistungsunternehmen mit 50 Millionen Euro Jahresumsatz risikiert also bis zu 700.000 Euro Geldbuße, nur weil es einen Vorfall nicht innerhalb von 72 Stunden gemeldet hat.

Daneben gibt es administrative Maßnahmen: das BSI kann Verwarnungen ausstellen, bindende Anweisungen geben, Monitoring Officer ernennen, oder es wird öffentlich gemacht, dass du nicht NIS2-konform bist. Das ist nicht nur teuer, sondern auch reputationsschädigend.

In Deutschland wurde das BSI offiziell beauftragt, diese Regeln durchzusetzen. Das Amt hat signalisiert, dass es vorerst keine aggressiven Enforcement-Maßnahmen starten wird, aber erwartet demonstrable Fortschritte bei der Umsetzung.

Das heißt: Jetzt ist der Moment, um proaktiv zu werden. In sechs Monaten wird es zu spät sein.

Es gibt auch eine persönliche Haftung: Führungskräfte können persönlich haftbar gemacht werden, wenn grobe Fahrlässigkeit nachgewiesen wird. Das bedeutet, dass der CEO sich nicht hinter "ich wusste nicht" verstecken kann.

Checkliste: Ist dein Unternehmen ready?

Beantworte diese Fragen ehrlich:

  1. Weiß ich, ob mein Unternehmen unter NIS2 fällt? (Vielleicht fragst du beim BSI nach, über die Registrierungsplattform.)

  2. Habe ich einen Incident Response Manager benannt?

  3. Habe ich ein Playbook geschrieben, das beschreibt, was im Ernstfall passiert?

  4. Habe ich Monitoring und Alerting für kritische Systeme?

  5. Kann ich Vorfälle innerhalb von Stunden erkennen?

  6. Weiß ich, ob ein Vorfall "signifikant" ist, bevor ich zur BSI meldet?

  7. Bin ich organisatorisch fähig, eine erste Meldung innerhalb von 24 Stunden zu schreiben?

  8. Habe ich eine Liste meiner kritischen Lieferanten und habe ich deren Sicherheit bewertet?

  9. Sind NIS2-Anforderungen in meine Lieferantenverträge aufgenommen?

  10. Habe ich einen Post-Mortem-Prozess, um aus Vorfällen zu lernen?

Wenn du bei mehr als zwei Fragen "Nein" antwortest, brauchst du einen Plan. Schnell.

Nächste Schritte

Der erste Schritt ist die Registrierung. Falls dein Unternehmen unter NIS2 fällt, musst du dich bis zum 6. März 2026 beim BSI registrieren (drei Monate nach Inkrafttreten des NIS2UmsuCG am 6. Dezember 2025). Das wird über die BSI-Registrierungsplattform gemacht.

Danach: Lasse einen IT-Sicherheitsprofi einen Assessment durchführen. Nicht um dich zu beruhigen, sondern um die Lücken zu identifizieren.

Dann: Priorisierung. Nicht alles kann man am ersten Tag machen. Aber Incident Response-Fähigkeit sollte im Top-3-Prioritäten-Plan sein.

Und: Schulung. Dein Team muss verstehen, dass der Vorfall nicht "irgendwann später" gemeldet wird, sondern innerhalb von 24 Stunden. Das ändert die Abläufe.

NIS2 ist nicht weg, auch wenn es gerade noch nicht jeder kennt. Es wird nur größer. Der erste Bußgeld-Fall wird als Präzedenz dienen, und dann wird der Druck größer. Jetzt zu handeln ist billiger als später zu reagieren.

Quellen

  1. NIS 2 Directive, Article 23: Reporting obligations
  2. NIS2 Directive Transposition Tracker - ECSO
  3. Germany's NIS2 Registration Portal Launch
  4. Dentons - NIS2 Implementation Act finally passed
  5. NIS2 Reporting Obligations Timeline
  6. NIS2 Fines and Penalties
  7. NIST Cybersecurity Framework 2.0 and SP 800-61r3
  8. NIS2 Requirements Mapped to ISO 27001:2022 Controls
  9. NIS2 Supply Chain Requirements
  10. House of Control - NIS2 24 Hour Rule
  11. DataGuard - NIS2 Requirements Complete Guide

Tags

#NIS2#Incident Response#Vorfallmanagement#Meldepflicht#KMU