Incident Response nach NIS-2: Die 24-72-Stunden-Meldefrist

24 Stunden. Das ist die Zeit, die Sie haben, um nach einem erheblichen Sicherheitsvorfall eine erste Meldung ans BSI zu schicken. Wenn Sie gerade mitten in der Krise stecken, Ihre Systeme verschlüsselt sind und die Telefone nicht aufhören zu klingeln, sind 24 Stunden verdammt wenig Zeit.

Deshalb ist Vorbereitung alles. Im Ernstfall möchten Sie nicht erst herausfinden, wie das Meldeportal funktioniert.

Das dreistufige System

NIS-2 hat ein abgestuftes Meldesystem eingeführt, und das macht durchaus Sinn. Die erste Meldung soll schnell gehen, nicht perfekt sein.

Die Frühwarnung muss innerhalb von 24 Stunden raus. Sie enthält nur das Nötigste: Liegt wahrscheinlich ein böswilliger Angriff vor? Könnte der Vorfall grenzüberschreitende Auswirkungen haben? Das wars. Keine detaillierte Analyse, keine vollständige Aufklärung. Nur: “Es ist etwas passiert, und hier sind die ersten Einschätzungen.”

Die ausführliche Meldung folgt innerhalb von 72 Stunden. Hier wird erwartet, dass Sie mehr wissen: Art des Angriffs, betroffene Systeme, geschätzte Auswirkungen, ergriffene Sofortmaßnahmen. Immer noch keine abschließende Analyse, aber eine fundierte erste Einschätzung.

Der Abschlussbericht kommt spätestens einen Monat später. Jetzt mit allem: Was genau ist passiert? Was war die Ursache? Was haben Sie getan? Welche Lehren ziehen Sie daraus?

Bei anhaltenden Vorfällen – wenn nach einem Monat immer noch nicht alles geklärt ist – reichen Sie einen Zwischenbericht ein und den Abschlussbericht dann, wenn die Sache wirklich abgeschlossen ist.

Was überhaupt gemeldet werden muss

Nicht jede Störung ist meldepflichtig. Es geht um “erhebliche” Sicherheitsvorfälle. Erheblich bedeutet: schwerwiegende Betriebsstörungen, finanzielle Verluste oder Schäden für Dritte.

Ransomware, die Ihre Produktivsysteme verschlüsselt? Meldepflichtig. Datenabfluss mit sensiblen Informationen? Meldepflichtig. Stundenlanger Ausfall kritischer Systeme? Meldepflichtig.

Ein Phishing-Versuch, den Ihr Mitarbeiter erkannt und gemeldet hat? Wahrscheinlich nicht. Eine kurzfristige technische Störung ohne Sicherheitsrelevanz? Nein.

Im Zweifelsfall melden Sie lieber einmal zu viel als einmal zu wenig. Eine Meldung, die sich später als unnötig herausstellt, ist kein Problem. Eine unterlassene Meldung bei einem echten Vorfall kann teuer werden.

Die 24 Stunden: Was das praktisch bedeutet

“Kenntnisnahme” ist der Startpunkt. Der Moment, in dem jemand Verantwortliches im Unternehmen von dem Vorfall erfährt. Nicht erst, wenn der IT-Leiter aus dem Urlaub zurück ist. Nicht erst, wenn die forensische Analyse abgeschlossen ist.

Das heißt konkret: Wenn am Freitagabend um 23 Uhr die Ransomware-Meldung aufploppt und der IT-Admin sie sieht, läuft die Uhr. Am Samstag um 23 Uhr muss die Frühwarnung beim BSI sein.

Haben Sie einen Prozess, der das ermöglicht? Wer hat Zugang zum BSI-Portal? Wer darf entscheiden, ob gemeldet wird? Funktioniert das auch am Wochenende?

Vorbereitung: Bevor der Ernstfall eintritt

Sie brauchen einen benannten Meldeverantwortlichen. Und einen Stellvertreter. Beide müssen wissen, wie das BSI-Portal funktioniert, und sie müssen die nötigen Zugänge haben.

Sie brauchen vorbereitete Formulare. Nicht für den endgültigen Text – der hängt vom Vorfall ab – aber für die Struktur. Was muss in die 24-Stunden-Meldung? Was in die 72-Stunden-Meldung? Wenn Sie das erst während des Vorfalls herausfinden müssen, verlieren Sie wertvolle Zeit.

Sie brauchen einen Eskalationspfad. Wer informiert wen? Wer trifft die Entscheidung, dass gemeldet wird? Die Geschäftsleitung muss eingebunden sein – das ist keine reine IT-Entscheidung.

Und Sie brauchen eine Übung. Spielen Sie einmal durch, was passiert, wenn um 3 Uhr nachts ein Angriff entdeckt wird. Wer wird angerufen? Wie schnell können Sie die Meldekette aktivieren? Funktionieren die Kontaktdaten noch?

Die Koordination mit anderen Meldepflichten

NIS-2 ist nicht das einzige Regelwerk mit Meldepflichten. Wenn bei Ihrem Vorfall personenbezogene Daten betroffen sind, greift auch die DSGVO. Die verlangt eine Meldung an die Datenschutzaufsichtsbehörde – ebenfalls innerhalb von 72 Stunden.

Zwei Behörden, zwei Meldungen, ähnliche Fristen. Das muss koordiniert werden.

Im Finanzsektor kommt möglicherweise die BaFin hinzu. In der Telekommunikation die Bundesnetzagentur. Im Energiesektor ebenfalls. Prüfen Sie vorher, welche Meldepflichten für Sie gelten, und halten Sie die Kontaktdaten griffbereit.

Was passiert, wenn Sie nicht melden

Unterlassene oder verspätete Meldungen können sanktioniert werden. Das ist kein Kavaliersdelikt. Bei systematischen Verstößen kann das BSI zusätzliche Aufsichtsmaßnahmen anordnen.

Aber mal ehrlich: Die Bußgelder sind nicht der einzige Grund, warum Sie melden sollten. Wenn Sie einen erheblichen Vorfall haben und nicht melden, verzichten Sie auf Unterstützung. Das BSI hat Informationen über aktuelle Bedrohungen, über ähnliche Vorfälle bei anderen Unternehmen, über wirksame Gegenmaßnahmen. Dieses Wissen bekommen Sie nur, wenn Sie Teil des Systems sind.

Die Realität im Krisenfall

Ich will nicht beschönigen: Wenn Sie gerade angegriffen werden, ist die Meldung an das BSI wahrscheinlich nicht Ihre erste Priorität. Systeme isolieren, Schäden begrenzen, Backups prüfen – das steht erstmal im Vordergrund. Und das ist auch richtig so.

Aber die 24-Stunden-Meldung muss trotzdem passieren. Parallel. Deswegen brauchen Sie jemanden, der sich darum kümmert, während der Rest des Teams den Vorfall bearbeitet. Ein einzelner IT-Admin, der alles alleine macht, wird das nicht schaffen.

Definieren Sie die Rollen vorher. Wer koordiniert die technische Response? Wer kommuniziert intern? Wer kümmert sich um externe Kommunikation (Kunden, Presse)? Und wer macht die behördlichen Meldungen? Das sollten verschiedene Personen sein.

Der Abschlussbericht

Der Abschlussbericht ist mehr als Papierkram. Er zwingt Sie, den Vorfall aufzuarbeiten: Was ist passiert? Warum ist es passiert? Was haben wir getan? Was machen wir in Zukunft anders?

Das ist Wissen, das Sie brauchen. Nicht für das BSI, sondern für sich selbst. Jeder Vorfall ist eine (schmerzhafte) Lernchance. Der Abschlussbericht dokumentiert diese Learnings.

Nutzen Sie die Gelegenheit. Nicht nur um die Pflicht zu erfüllen, sondern um wirklich besser zu werden.

Das BSI-Portal

Das Meldeportal wurde am 6. Januar 2026 freigeschaltet. Um es zu nutzen, brauchen Sie einen Account bei “Mein Unternehmenskonto” und die abgeschlossene Registrierung Ihrer Einrichtung.

Wenn Sie das noch nicht haben: Machen Sie es jetzt. Nicht morgen, nicht nächste Woche. Im Ernstfall wollen Sie nicht erst einen Account anlegen müssen.

Testen Sie den Zugang. Schauen Sie sich an, wie die Meldeformulare aufgebaut sind. Machen Sie sich mit der Oberfläche vertraut. Diese zehn Minuten Vorbereitung können im Krisenfall entscheidend sein.