NIS2-Richtlinie
NIS2-Berichtspflichten: Die 24-, 72- und 30-Tage-Kette in Klartext
Was drin steht
- NIS2 verlangt eine dreistufige Melde-Kette: Frühwarnung in 24 Stunden, vollständige Meldung in 72 Stunden, Abschluss-Bericht in 30 Tagen — wer betroffen ist, muss diese Kette schon kennen, bevor der Vorfall passiert.
- Meldepflichtig sind „erhebliche Sicherheitsvorfälle“ — die Schwelle ist niedrig: betriebliche Auswirkung, Datenintegrität, Dienst-Verfügbarkeit für Dritte. Das fängt schon beim 4-Stunden-Mailserver-Ausfall an.
- Empfänger ist das BSI über das Meldeportal MIRA. Wer keine BSI-Kennung hat, kann nicht melden — Registrierung muss vor dem Ernstfall erfolgen.
- Die Frühwarnung in 24 Stunden ist bewusst knapp gehalten: drei Sätze reichen (was passiert, wer betroffen, ob grenzüberschreitend). Wer auf vollständige Klarheit wartet, verstößt gegen die Frist.
- Strafen bei verspäteter oder unterlassener Meldung: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes — plus persönliche Haftung der Geschäftsleitung.
NIS2 ist seit Oktober 2024 EU-weit in Kraft. In Deutschland ist die Umsetzung über das NIS2-Umsetzungsgesetz 2025 nachgezogen worden. Wer als „wesentliche“ oder „wichtige“ Einrichtung eingestuft ist, hat eine Reihe von Pflichten — und die Berichtspflicht ist die, die im Ernstfall den Unterschied macht zwischen einer geordneten Reaktion und einem Aufsichts-Verfahren.
Hier kommt die dreistufige Melde-Kette in Klartext: was wann an wen gemeldet werden muss, wie das technisch funktioniert, und welche Vorbereitung jetzt — und nicht erst im Ernstfall — fällig ist.
Die drei Stufen der Meldekette
Stufe 1 — Frühwarnung in 24 Stunden
Spätestens 24 Stunden nach Kenntnisnahme eines „erheblichen Sicherheitsvorfalls“ muss eine erste Mitteilung an das BSI raus. Inhalte:
- Hinweis, dass ein Vorfall stattgefunden hat,
- Verdacht oder Feststellung, ob er rechtswidrig oder bösartig ist (also: Angriff vs. Defekt),
- Hinweis, ob er grenzüberschreitende Auswirkung haben könnte.
Mehr nicht. Diese Stufe ist ausdrücklich so kurz gehalten, weil 24 Stunden in der Praxis kaum für eine vollständige Analyse reichen. Wer auf vollständige Klarheit wartet, verstößt gegen die Frist. Das ist einer der häufigsten Fehler: „wir wollen erst genau wissen, was passiert ist, bevor wir melden“. Falsch.
Stufe 2 — Vollständige Meldung in 72 Stunden
Spätestens 72 Stunden nach Kenntnisnahme: die ausführliche Meldung. Inhalte:
- Bestätigung oder Korrektur der Frühwarnung,
- Erste Einschätzung der Schwere und der Auswirkungen,
- Indikatoren für Kompromittierung (IOCs), wenn vorhanden,
- Bisher ergriffene Gegenmaßnahmen.
Hier wird konkreter, aber immer noch nicht vollständig. Realistisch sind das 4–8 Seiten strukturierter Bericht, idealerweise nach BSI-Vorlage.
Stufe 3 — Abschluss-Bericht in einem Monat
Spätestens 30 Tage nach Kenntnisnahme: der Abschlussbericht. Inhalte:
- Detaillierte Beschreibung des Vorfalls,
- Wahrscheinliche Ursache, sofern ermittelbar,
- Angewandte Schutzmaßnahmen,
- Grenzüberschreitende Auswirkungen, sofern relevant.
Bei Vorfällen, die nach 30 Tagen noch nicht abgeschlossen sind: monatlicher Zwischenbericht und abschließender Bericht innerhalb eines Monats nach Abschluss der Reaktion.
Was als „erheblicher Sicherheitsvorfall“ gilt
Die Schwelle ist niedriger, als viele denken. Ein Vorfall ist erheblich, wenn er einen der drei Tests erfüllt:
Test 1 — Schwere betriebliche Störung
Der Vorfall verursacht oder kann eine schwere betriebliche Störung deines Dienstes verursachen. Beispiele aus dem Mittelstand: Mailserver mehrere Stunden offline, Buchhaltungssystem unzugänglich, Online-Shop nicht erreichbar während Geschäftszeiten.
Test 2 — Auswirkung auf andere natürliche oder juristische Personen
Der Vorfall betrifft oder kann andere Personen betreffen. Beispiele: Kundendaten unzugänglich oder kompromittiert, Lieferung an Geschäftskunden gestört, weitergeleitete Daten betroffen.
Test 3 — Materieller oder immaterieller Schaden
Der Vorfall verursacht oder kann erheblichen Schaden verursachen — finanziell, materiell, immateriell. Beispiele: Lösegeldforderung, Reputationsschaden bei öffentlicher Wirkung, Betriebsausfall mit messbarem Umsatzverlust.
Wichtig: Schon der begründete Verdacht reicht. Wer wartet, bis der Schaden bewiesen ist, riskiert die Frist. Im Zweifel: melden.
Wie die Meldung technisch funktioniert
Empfänger ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Kanal ist das Meldeportal MIRA — eine geschützte Webschnittstelle, die einen vorher registrierten Zugang braucht.
Vor dem Ernstfall: Registrierung
Wer betroffen ist und keinen MIRA-Zugang hat, kann im Ernstfall nicht melden. Die Registrierung dauert in der Praxis 5–15 Werktage — das ist im Krisenfall zu spät. Schritte:
- Auf bsi.bund.de das Meldeformular für Registrierung als NIS2-pflichtige Einrichtung anfordern,
- Kontaktperson + Stellvertreter benennen (rund um die Uhr erreichbar),
- Kategorisierung bestätigen (wesentlich vs. wichtig vs. nicht-betroffen),
- Zugangsdaten für MIRA bekommen, im Krisenhandbuch hinterlegen.
Im Ernstfall: Melden
Mit dem Zugang in MIRA einloggen, das passende Formular wählen (Frühwarnung / vollständige Meldung / Abschluss), Felder ausfüllen, absenden. Das System bestätigt den Eingang. Die Frist gilt ab dem Zeitpunkt, an dem du den Vorfall kanntest — nicht ab dem Zeitpunkt, an dem du ihn vollständig verstanden hast.
Was im Krisenhandbuch stehen muss
Damit die Meldekette im Ernstfall funktioniert, gehört eine Krisen-Doku in den Schreibtisch — nicht auf den Server, der im Vorfall vielleicht weg ist:
- MIRA-Zugangsdaten der Hauptperson und der Stellvertretung,
- Eskalations-Reihenfolge: wer informiert wen wann (intern + extern),
- Vorlage Frühwarnung (drei Sätze, leer zum Ausfüllen),
- Vorlage vollständige Meldung (Gliederung nach BSI-Muster),
- Liste der unterstützenden Dienstleister mit 24/7-Kontakt (IT-Dienstleister, externer Krisenberater, Rechtsanwalt für IT-Sicherheit),
- Liste der wichtigsten Geschäftspartner, die zeitnah informiert werden müssen.
Was bei verspäteter oder unterlassener Meldung passiert
Bußgeld-Rahmen bei wesentlichen Einrichtungen: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes — je nachdem, was höher ist. Bei wichtigen Einrichtungen: bis zu 7 Mio. Euro oder 1,4 %. Zusätzlich:
- Persönliche Haftung der Geschäftsleitung (§ 38 NIS2UmsG): kann zur Untersagung der Leitungstätigkeit führen,
- Veröffentlichung des Verstoßes durch die zuständige Behörde,
- Bei Folgeschäden (Datenlecks etc.) zusätzliche DSGVO-Verfahren parallel.
Wichtig: Auch wer unsicher ist, ob er meldepflichtig ist, sollte im Zweifel melden. Eine zu Unrecht erfolgte Meldung kostet nichts. Eine zu Unrecht unterlassene Meldung kostet Existenz.
Was Hannes daraus macht
Wir prüfen für Mandanten, ob sie NIS2-pflichtig sind (Sektor + Mitarbeiter + Umsatz + Lieferketten-Klausel), helfen bei der MIRA-Registrierung und liefern ein einsatzbereites Krisenhandbuch mit Melde-Vorlagen für alle drei Stufen. Im Ernstfall begleiten wir die ersten 72 Stunden — von der Frühwarnung über die vollständige Meldung bis zur Eskalations-Kommunikation an Geschäftspartner.
Wenn du wissen willst, ob deine Organisation NIS2-pflichtig ist: frag Hannes für einen ersten Befund. Wer schon weiß, dass er betroffen ist und ein Krisenhandbuch braucht, buch einen Termin — wir machen das in einem Tag fertig.
Häufige Fragen
Wer ist die zuständige Behörde — wirklich nur das BSI?
Was, wenn ich am Wochenende oder nachts einen Vorfall habe?
Wie unterscheidet sich NIS2-Meldung von DSGVO-Meldung an die Aufsichtsbehörde?
Müssen Geschäftspartner und Kunden informiert werden?
Was kostet uns die NIS2-Vorbereitung als 30-Personen-Mittelständler?
Reicht es, wenn wir die Vorfälle in einem internen Ticketsystem dokumentieren?
Das regeln wir — so sieht das bei uns aus.
Unsicher, wo deine Seite steht? Frag Hannes — er schaut sie sich an und sagt dir ehrlich, was zu holen ist.