Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
NIS2 MeldepflichtNIS2 24 StundenNIS2 VorfallmeldungNIS2 BSI Meldung

NIS2 Meldepflicht — 24-Stunden-Frist bei Cybervorfällen [2026]

NIS2 Meldepflicht: 24h Frühwarnung, 72h Vorfallmeldung, 30 Tage Abschlussbericht. Meldestufen, BSI-Meldewege und Muster-Vorlage.

Veröffentlicht: 23. März 2026Letzte Aktualisierung: 23. März 202611 Min. Lesezeit

NIS2 Meldepflicht — Die 24-Stunden-Frist bei Cybervorfällen

Letzte Aktualisierung: 23. März 2026

Die NIS2-Meldepflicht verpflichtet betroffene Unternehmen, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden als Frühwarnung, innerhalb von 72 Stunden als Vorfallmeldung und innerhalb von 1 Monat als Abschlussbericht an das BSI zu melden. Gemäß Art. 23 der Richtlinie (EU) 2022/2555 zählt dabei nicht perfekte Forensik, sondern eine frühe, belastbare Lageinformation für Behörde und CSIRT.

Für die Praxis ist das die zentrale Botschaft: Sobald Ihre Organisation Kenntnis von einem potenziell erheblichen Sicherheitsvorfall hat, läuft die Frist. Sie dürfen also nicht warten, bis ein externer Forensiker den Root Cause bestätigt, die Geschäftsleitung jedes Detail freigegeben hat oder alle betroffenen Systeme bereits wiederhergestellt sind. Die NIS2-Meldepflicht ist ausdrücklich als gestuftes Modell gebaut. Die 24-Stunden-Frist dient der Frühwarnung, die 72-Stunden-Frist der ersten belastbaren Bewertung und der Monatsbericht der vollständigen Aufarbeitung.

Gerade deshalb ist der Fristbeginn wichtiger als viele Unternehmen denken. Das BSI stellt in seinen Erläuterungen zur NIS-2-Meldepflicht darauf ab, wann die Einrichtung Kenntnis von einem erheblichen Sicherheitsvorfall erlangt. In der Realität ist das oft früher, als interne Teams annehmen. Ein SOC-Alert mit plausibler Ransomware-Lage, ein bestätigter unbefugter Zugriff auf privilegierte Konten oder ein Ausfall geschäftskritischer Dienste mit erkennbarer Angriffsvermutung reichen regelmäßig aus, um die Meldeprüfung sofort auszulösen.

Wer NIS2 erst mit vollständiger Beweissicherheit verbindet, baut das falsche Governance-Modell. Art. 23 will keine perfekte Schlussakte nach 24 Stunden, sondern einen schnellen Warnmechanismus für erhebliche Störungen. Das schützt nicht nur die Behörde, sondern auch das betroffene Unternehmen. Denn eine frühe Meldung dokumentiert, dass Krisenmanagement, Meldekette und Leitungsaufsicht grundsätzlich funktionieren. Wenn Sie die regulatorische Grundlage zuerst sauber einordnen möchten, lesen Sie ergänzend was die NIS2-Richtlinie ist, welche Maßnahmen Art. 21 NIS2 verlangt und welche Bußgelder bei NIS2-Verstößen drohen.

Die 3 Meldestufen im Detail

Die NIS2-Meldepflicht besteht aus drei klar getrennten Meldestufen. Gemäß Art. 23 Abs. 4 der Richtlinie (EU) 2022/2555 müssen Einrichtungen eine Frühwarnung binnen 24 Stunden, eine Vorfallmeldung binnen 72 Stunden und einen Abschlussbericht binnen eines Monats abgeben. Das Modell folgt einem einfachen Prinzip: zuerst Geschwindigkeit, dann Bewertung, zuletzt Vollständigkeit.

StufeFristInhaltAn wen
Stufe 1: Frühwarnungbinnen 24 Stunden nach KenntnisKurzbeschreibung des erheblichen Vorfalls, Verdacht auf rechtswidrige oder böswillige Ursache, möglicher grenzüberschreitender Effekt, erste Betroffenheit, KontaktpersonIn Deutschland an das BSI, praktisch über das BSI-Portal
Stufe 2: Vorfallmeldungbinnen 72 Stunden nach KenntnisAktualisierte Lage, erste Bewertung von Schweregrad und Auswirkungen, betroffene Dienste, bekannte Kompromittierungsindikatoren, erste GegenmaßnahmenBSI bzw. zuständige Meldestelle
Stufe 3: Abschlussberichtbinnen 1 Monat nach der Vorfallmeldungvollständige Chronologie, bestätigte Ursache, tatsächliche Auswirkungen, Abhilfemaßnahmen, Lessons Learned; bei laufendem Vorfall zunächst FortschrittsberichtBSI bzw. zuständige Meldestelle

Die Frühwarnung nach 24 Stunden ist bewusst knapp gehalten. Sie ist keine technische Vollanalyse, sondern ein regulatorischer Alarm mit Mindestinhalt. Das Unternehmen muss mitteilen, dass ein erheblicher Sicherheitsvorfall vorliegt oder sehr wahrscheinlich vorliegt, ob eine böswillige oder rechtswidrige Ursache vermutet wird und ob eine grenzüberschreitende Wirkung in anderen EU-Mitgliedstaaten denkbar ist. Genau an dieser Stelle verlieren viele Organisationen wertvolle Zeit, weil sie auf eindeutige Attribution oder lückenlose Forensik warten. Für die 24-Stunden-Stufe ist das regelmäßig zu spät.

Die Vorfallmeldung nach 72 Stunden hebt das Niveau deutlich an. Jetzt erwartet das BSI nicht nur die Wiederholung der Frühwarnung, sondern eine erste belastbare Lagebeurteilung. Dazu gehören typischerweise die betroffenen Systeme, Dienste und Geschäftsprozesse, eine vorläufige Schweregradbewertung, die Zahl oder Reichweite der betroffenen Nutzer, erste Indikatoren für eine Kompromittierung und bereits eingeleitete Eindämmungsmaßnahmen. Die 72-Stunden-Meldung ist damit die Brücke zwischen Notfallkommunikation und geordneter Compliance-Dokumentation.

Der Abschlussbericht nach einem Monat dient schließlich der vollständigen Aufarbeitung. Er muss den Vorfall so dokumentieren, dass Aufsicht, interne Revision, Management und gegebenenfalls Versicherer nachvollziehen können, was passiert ist, wie sich der Schaden entwickelt hat und welche Abhilfemaßnahmen tatsächlich umgesetzt wurden. Wenn der Vorfall zu diesem Zeitpunkt noch andauert, verlangt Art. 23 keinen fiktiven Endbericht, sondern zunächst einen Fortschrittsbericht. Erst nach der Bewältigung folgt der finale Abschlussbericht.

Für die Organisation bedeutet das: Sie brauchen keine einzige „große Meldung“, sondern drei unterschiedliche Arbeitsstände. Ein gutes Incident-Response-Modell verknüpft deshalb die NIS2-Meldestufen mit festen internen Zeitpunkten, etwa T+4 Stunden für die erste Signifikanzbewertung, T+24 Stunden für die Frühwarnung, T+48 bis T+60 Stunden für das Consolidation-Update und T+30 Tage für die forensische und governancebezogene Nachbereitung. Wenn Sie diese Meldeketten operativ vorbereiten möchten, helfen unsere NIS2-Checkliste und der Beitrag zur NIS2-Implementierung im Fahrplan.

Was ist ein "erheblicher Sicherheitsvorfall"?

Ein erheblicher Sicherheitsvorfall ist unter NIS2 kein beliebiger IT-Zwischenfall, sondern ein Vorfall mit relevanter Auswirkung auf die Erbringung Ihrer Dienste, auf Ihre wirtschaftliche Lage oder auf Dritte. Art. 23 Abs. 3 der Richtlinie (EU) 2022/2555 knüpft die Meldepflicht daran, dass schwerwiegende Betriebsstörungen, erhebliche finanzielle Verluste oder erhebliche materielle oder immaterielle Schäden für andere natürliche oder juristische Personen eingetreten sind oder eintreten können.

Damit ist die juristische Schwelle breiter als ein klassischer Komplettausfall. Meldepflichtig kann nicht nur eine vollständig stillstehende Plattform sein, sondern auch ein erfolgreicher Angriff, der kritische Geschäftsprozesse spürbar beeinträchtigt, Kunden erheblich trifft oder erhebliche Folgekosten auslöst. Entscheidend ist die Wirkung auf die Dienstleistung und die Betroffenen, nicht die mediale Sichtbarkeit des Vorfalls.

Typische Beispiele für erhebliche Sicherheitsvorfälle sind:

  • Ransomware mit Ausfall oder Degradierung geschäftskritischer Systeme
  • Datenexfiltration aus produktiven Systemen mit Auswirkungen auf Kunden, Patienten oder Partner
  • erfolgreicher unbefugter Zugriff auf privilegierte Konten oder kritische Infrastruktur
  • Ausfall zentraler Online-Dienste, Produktionssysteme oder Versorgungsprozesse
  • Lieferkettenvorfälle, die Ihre eigenen Leistungen erheblich stören

Ebenso wichtig ist die Abgrenzung zu bloßen Sicherheitsereignissen. Ein geblockter Phishing-Versuch ohne Betriebswirkung, ein erfolgloser Portscan oder ein isolierter Malware-Fund auf einem nicht kritischen Testsystem sind nicht automatisch meldepflichtig. Anders kann es aussehen, wenn derselbe Angriff Teil einer Serie ist, sich lateral ausbreitet oder erkennbar auf kritische Dienste übergreift. Genau deshalb sollte die Signifikanzbewertung immer anhand derselben Leitfragen erfolgen: Welche Dienste sind betroffen? Wie lange? Wie viele Nutzer oder Standorte? Welche finanziellen, betrieblichen oder rechtlichen Folgewirkungen drohen?

Für die Praxis ist eine Zweitabelle hilfreich:

VorfalltypRegelmäßig meldepflichtig?Begründung
Ransomware auf produktiven KernsystemenJaerhebliche Betriebsstörung und typischerweise böswillige Ursache
Datenexfiltration aus KundensystemenJamögliche erhebliche Schäden für Dritte und oft parallele DSGVO-Relevanz
kritischer Systemausfall durch Angriff oder SabotageJaAuswirkung auf die Erbringung von Diensten
erfolgloser Phishing-Versuch ohne AuswirkungenEher neinkein erheblicher Sicherheitsvorfall ohne relevante Wirkung
isolierter Malware-Fund auf Testsystem ohne DienstbezugEher neingeringe Betriebswirkung
wiederkehrende ähnliche Vorfälle mit wachsender AuswirkungHäufig jaGesamtlage kann die Erheblichkeitsschwelle überschreiten

Die häufigste Fehleinschätzung lautet deshalb: „Wir melden erst, wenn der Schaden endgültig beziffert ist.“ Genau das verlangt NIS2 nicht. Wer belastbar annehmen muss, dass ein erheblicher Sicherheitsvorfall vorliegt, sollte die Meldepflicht auslösen und unbekannte Punkte als vorläufig kennzeichnen. Das ist regulatorisch sauberer als Schweigen.

Wohin melden? — BSI-Meldewege in Deutschland

In Deutschland melden NIS2-betroffene Unternehmen erhebliche Sicherheitsvorfälle an das BSI. Nach den aktuellen Informationen des Bundesamts für Sicherheit in der Informationstechnik gilt seit dem 6. Dezember 2025 das NIS-2-Umsetzungsgesetz; für Registrierung und Meldung stellt das BSI das BSI-Portal unter portal.bsi.bund.de bereit. Operativ ist das BSI damit zugleich die zentrale Behördenadresse und der maßgebliche nationale CERT-Anlaufpunkt im NIS2-Kontext; bei technischen Rückfragen oder Vorfallkoordination ist CERT-Bund in die Lagebearbeitung eingebunden.

Das ist für die Praxis wichtig, weil viele Teams noch mit älteren KRITIS-Meldewegen arbeiten. Das BSI weist ausdrücklich darauf hin, dass die Registrierung gemäß NIS2 ausschließlich über das BSI-Portal erfolgt. Gleichzeitig nutzt ein Teil der bereits regulierten Landschaft das MIP2 übergangsweise weiter. Nach aktuellem BSI-Stand können KRITIS-Betreiber und Bundesbehörden MIP2 mindestens bis 31. Juli 2026, voraussichtlich sogar bis 31. Dezember 2026 weiterverwenden. Eine doppelte Meldung über beide Systeme ist nicht erforderlich.

Operativ sollten Sie drei Punkte fest hinterlegen: erstens den primären Meldeweg über das BSI-Portal, zweitens erreichbare Ansprechpartner im Incident Playbook und drittens die Parallelprüfung anderer Meldepflichten. Gerade DSGVO-Meldungen laufen nicht automatisch mit. Wenn ein NIS2-Vorfall zugleich eine Verletzung des Schutzes personenbezogener Daten ist, müssen Sie zusätzlich die zuständige Datenschutzaufsichtsbehörde informieren. NIS2 an das BSI und DSGVO an die Aufsicht sind zwei getrennte Regime mit eigener Fristenlogik.

Wer die Zuständigkeiten vorab sauber dokumentiert, verhindert im Ernstfall die typische Eskalationslücke zwischen IT, Recht und Datenschutz. Genau dafür lohnt sich der Abgleich mit unserem Beitrag zur NIS2-Checkliste und zur NIS2-Implementierung im Fahrplan.

Muster-Meldung — Was Sie im Ernstfall angeben müssen

Eine gute NIS2-Meldung ist knapp, präzise und eindeutig als vorläufig oder bestätigt gekennzeichnet. Für die 24-Stunden-Frühwarnung brauchen Sie kein Gutachten, sondern die Mindestangaben, mit denen das BSI die Lage einordnen und Rückfragen stellen kann. Die Kernfrage lautet nicht „Was wissen wir schon vollständig?“, sondern „Welche Informationen sind jetzt belastbar genug, um die Meldung fristgerecht abzugeben?“

Diese Felder sollten in Ihrer Vorlage zwingend enthalten sein:

  1. Zeitpunkt der Kenntnis: Wann hat Ihre Organisation den erheblichen Sicherheitsvorfall erkannt?
  2. Art des Vorfalls: Ransomware, Datenexfiltration, unbefugter Zugriff, DDoS, Lieferkettenvorfall oder noch unklar.
  3. Betroffene Systeme und Dienste: Welche Plattformen, Standorte oder Geschäftsprozesse sind betroffen?
  4. Schweregrad und Auswirkungen: Ausfall, Degradierung, Datenabfluss, Nutzerbetroffenheit, finanzielle oder operative Folgen.
  5. Verdacht auf Angreifer-Typ oder Ursache: böswillig, rechtswidrig, fahrlässig, Fehlkonfiguration oder derzeit unklar.
  6. Cross-Border-Risiko: Könnten andere EU-Mitgliedstaaten betroffen sein?
  7. Sofortmaßnahmen: Isolation, Passwort-Reset, Segmentierung, Wiederherstellung, externe Forensik.
  8. Kontaktperson: Name, Funktion, Telefonnummer, E-Mail, Vertretung.

Eine praxistaugliche Kurzvorlage für die Frühwarnung sieht so aus:

Unternehmen: [Name]
Vorfall-ID: [internes Aktenzeichen]
Zeitpunkt der Kenntnis: [Datum/Uhrzeit]
Art des Vorfalls: [z. B. Ransomware / unbefugter Zugriff / Datenexfiltration]
Betroffene Dienste: [kurze Beschreibung]
Aktuelle Auswirkung: [Ausfall / Degradierung / Datenabfluss / noch unklar]
Verdacht auf böswillige Handlung: [Ja / Nein / Unklar]
Mögliche grenzüberschreitende Wirkung: [Ja / Nein / Unklar]
Eingeleitete Sofortmaßnahmen: [1 bis 3 Stichpunkte]
Kontakt: [Name, Rolle, Telefon, E-Mail]

Wichtig ist die sprachliche Disziplin in der Meldung. Schreiben Sie nicht „alles behoben“, wenn die Forensik noch läuft. Schreiben Sie auch nicht „kein Datenabfluss“, wenn das lediglich noch nicht bestätigt ist. Sauberer sind Formulierungen wie „derzeit keine belastbaren Hinweise“, „erste forensische Auswertung läuft“ oder „Bewertung wird mit der 72-Stunden-Meldung aktualisiert“. Genau diese Trennung zwischen sicherem Wissen, belastbarem Verdacht und offenen Punkten macht Ihre Meldung glaubwürdig.

Sinnvoll ist außerdem ein interner Freigabefluss in vier Schritten: Incident Lead liefert die Lage, Legal oder Compliance prüft Regime und Formulierungen, die Fachverantwortung bestätigt die Dienstbetroffenheit und eine definierte Krisenrolle gibt die Meldung frei. Mehr Hierarchiestufen verlangsamen die 24-Stunden-Frist regelmäßig unnötig.

Die 5 häufigsten Fehler bei der NIS2-Meldung

Die meisten Verstöße gegen die NIS2-Meldepflicht entstehen nicht aus Unkenntnis des Gesetzes, sondern aus schwacher Vorbereitung. Unternehmen wissen oft abstrakt, dass es eine 24-Stunden-Frist gibt, haben aber keine belastbare Meldekette. Genau dort entstehen die typischen Fehler.

  1. Frist verpasst: Der gravierendste Fehler ist das Warten auf vollständige Forensik, Vorstandsbeschlüsse oder externe Kommunikationslinien. Art. 23 verlangt gerade die gestufte Meldung, weil Sie nach 24 Stunden regelmäßig noch nicht alles wissen können.

  2. Nur IT informiert: Wenn nur das Security-Team am Vorfall arbeitet, aber Recht, Datenschutz, Geschäftsleitung und Kommunikation erst spät eingebunden werden, fehlen in der Meldung oft Zuständigkeit, Freigabe und Parallelprüfung weiterer Regime. NIS2 ist kein reines IT-Thema.

  3. Zu wenig Informationen strukturiert erfasst: Viele Teams haben Logdaten, Tickets und Chatverläufe, aber keine klare Incident-Akte. Dann fehlen in der Frühwarnung Zeitpunkt der Kenntnis, betroffene Dienste, erste Auswirkungen und erreichbare Kontaktpersonen. Das Problem ist nicht der Erkenntnismangel, sondern die fehlende Struktur.

  4. DSGVO vergessen: Sobald personenbezogene Daten betroffen sein können, reicht die NIS2-Meldung an das BSI nicht aus. Die Datenschutzaufsicht muss separat geprüft und gegebenenfalls ebenfalls innerhalb der geltenden Fristen informiert werden. Wer das übersieht, produziert einen zweiten Compliance-Verstoß aus demselben Vorfall.

  5. Abschlussbericht fehlt: Manche Organisationen senden eine Erst- und Folgemeldung, dokumentieren den Vorfall aber nie sauber zu Ende. Genau das ist riskant, weil der Monatsbericht die Nachbereitung, Root Cause Analysis und Maßnahmenumsetzung nachvollziehbar machen muss. Ohne Abschlussbericht bleibt die Compliance-Kette offen.

Diese Fehler haben fast immer dieselbe Ursache: fehlende Vorbereitung im Normalbetrieb. Wenn weder Rollen, noch Vorlagen, noch Freigaben, noch Kontaktwege sauber definiert sind, wird die 24-Stunden-Frist zum organisatorischen Stresstest. Deshalb sollte jede Einrichtung die Meldepflicht als festen Bestandteil ihres Incident-Response-Systems behandeln und nicht als juristischen Sonderfall, der erst im Ernstfall improvisiert wird.

Relevante Folgefragen schließen direkt an andere NIS2-Themen an. Wer Meldefehler vermeiden will, muss nicht nur die Fristen kennen, sondern auch die Anforderungen an Maßnahmen aus Art. 21 NIS2, die praktische Umsetzung über die NIS2-Checkliste und das Sanktionsrisiko aus NIS2-Bußgeldern und Strafen verstehen.

So bereiten Sie sich auf den Ernstfall vor

Die beste Absicherung gegen Fristversäumnisse ist ein vorbereitetes Melde-Playbook. Wenn Ihre Organisation schon vor dem Vorfall festgelegt hat, wer Signifikanz bewertet, wer das BSI informiert, wer DSGVO parallel prüft und wer die Abschlussdokumentation führt, wird aus der NIS2-Meldepflicht ein beherrschbarer Prozess statt eines Ad-hoc-Krisenexperiments.

Ein belastbares Minimal-Setup besteht aus vier Bausteinen: einem Incident-Response-Playbook mit T+24/T+72/T+30-Logik, klaren Verantwortlichkeiten inklusive Stellvertretung, vorbereiteten Melde- und Kommunikationsvorlagen sowie regelmäßigen Übungen. Besonders wirksam sind Tabletop-Übungen, in denen genau die ersten 24 Stunden durchgespielt werden. Dort zeigt sich sofort, ob Kontaktlisten, Freigaben und Bewertungsmaßstäbe wirklich funktionieren.

Ebenso wichtig ist die organisatorische Verzahnung. IT, Compliance, Datenschutz, Management und Kommunikation müssen im selben Prozessbild arbeiten. Wenn Sie diese Meldekette nicht erst im Ernstfall aufbauen möchten, ist jetzt der richtige Zeitpunkt für ein gemeinsames Trainingsformat. Jetzt NIS2-Schulung starten.

FAQ (Schema-relevant)

Innerhalb welcher Frist muss ich einen NIS2-Vorfall melden?

Gemäß Art. 23 Abs. 4 der Richtlinie (EU) 2022/2555 ist bei einem erheblichen Sicherheitsvorfall zunächst innerhalb von 24 Stunden eine Frühwarnung fällig. Innerhalb von 72 Stunden folgt die Vorfallmeldung mit erster Bewertung, und spätestens einen Monat danach der Abschlussbericht oder ein Fortschrittsbericht, falls der Vorfall noch andauert.

Was ist ein erheblicher Sicherheitsvorfall nach NIS2?

Ein erheblicher Sicherheitsvorfall liegt vor, wenn die Erbringung Ihrer Dienste schwerwiegend beeinträchtigt wird, erhebliche finanzielle Verluste entstehen oder Dritte erhebliche materielle oder immaterielle Schäden erleiden können. Maßgeblich ist also die Wirkung auf Betrieb, Nutzer und Dritte, nicht nur das technische Einzelereignis.

An welche Behörde muss ich NIS2-Vorfälle in Deutschland melden?

In Deutschland ist das BSI die zentrale Meldestelle. Nach den aktuellen BSI-Informationen erfolgen Registrierung und Meldungen grundsätzlich über das BSI-Portal; für bestimmte bereits regulierte Gruppen läuft MIP2 übergangsweise weiter.

Muss ich NIS2- und DSGVO-Meldungen separat abgeben?

Ja. Die NIS2-Meldung an das BSI ersetzt keine DSGVO-Meldung an die zuständige Datenschutzaufsicht. Beide Regime können parallel ausgelöst werden und müssen getrennt geprüft und dokumentiert werden.

Was passiert wenn ich die 24-Stunden-Frist verpasse?

Eine versäumte Frist erhöht das Risiko aufsichtsrechtlicher Maßnahmen und erschwert die Argumentation, dass Ihr Unternehmen seine Incident-Response- und Governance-Pflichten angemessen organisiert hat. Praktisch ist eine verspätete Meldung häufig ein Hinweis auf organisatorische Mängel.

Quellen

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →