Cybervize - Cybersecurity Beratung

Meldepflichten nach Artikel 23: 24 Stunden, 72 Stunden, ein Monat

NIS-2CEOCISOISMS ManagerIncident-Response-Verantwortliche

Kernaussage

Artikel 23 der Richtlinie (EU) 2022/2555 (NIS2) verpflichtet betroffene Einrichtungen, einen erheblichen Sicherheitsvorfall gestuft an die zuständige Behörde beziehungsweise das CSIRT zu melden: Frühwarnung binnen 24 Stunden, Vorfallmeldung binnen 72 Stunden, Abschlussbericht binnen eines Monats. Die Fristen sind kurz und beginnen, sobald die Einrichtung Kenntnis vom Vorfall erlangt.

Meldefähigkeit lässt sich im Ernstfall nicht improvisieren. Sie ist ein vorab definierter, eingeübter Prozess mit klaren Rollen, Schwellen und Eskalationswegen. Wer erst im Vorfall klärt, was erheblich ist und wer melden darf, verliert die Stunden, die die Richtlinie als Frist setzt.

Problem in der Praxis

Vielerorts existiert ein Incident-Response-Prozess, der nicht an die NIS2-Meldelogik gekoppelt ist. Teams analysieren den Vorfall, während niemand verbindlich entscheidet, ob die 24-Stunden-Uhr läuft. So wird die Meldung verschoben, weil noch Informationen fehlen, obwohl die Frühwarnung keine vollständige Ursachenanalyse verlangt, sondern eine erste, knappe Information.

Hinzu kommt die Schwellenfrage: Ob ein Vorfall erheblich ist, sollte eine vorab definierte Bewertungslogik entscheiden, nicht das Bauchgefühl der Schicht. Ohne sie wird zu spät, gar nicht oder vorsorglich zu viel gemeldet.

CISO-Einordnung

Der erhebliche Vorfall ist der Auslöser. Nach NIS2 gilt ein Vorfall als erheblich, wenn er eine schwerwiegende Betriebsstörung oder finanzielle Verluste verursachen kann oder erhebliche Auswirkungen auf andere haben kann. Die konkreten Schwellen ergeben sich aus Richtlinie, nationaler Umsetzung und ergänzenden Durchführungsrechtsakten und sind am geltenden Recht zu prüfen.

Das dreistufige Verfahren ist eine Verdichtungslogik, keine drei getrennten Pflichten:

  • Frühwarnung binnen 24 Stunden nach Kenntnis: erste Meldung, die unter anderem angibt, ob der Vorfall mutmaßlich auf rechtswidrige oder böswillige Handlungen zurückgeht oder grenzüberschreitende Auswirkungen haben könnte.
  • Vorfallmeldung binnen 72 Stunden: Bewertung einschließlich Schwere und Auswirkungen sowie, soweit verfügbar, Kompromittierungsindikatoren.
  • Abschlussbericht binnen eines Monats nach der Vorfallmeldung: ausführliche Beschreibung von Vorfall, Ursachen, Maßnahmen und Auswirkungen; dauert der Vorfall zum Zeitpunkt des fälligen Abschlussberichts noch an, ist ein Fortschrittsbericht vorgesehen und der Abschlussbericht folgt binnen eines Monats nach Abschluss der Bearbeitung. Auf Ersuchen des CSIRT beziehungsweise der zuständigen Behörde kann zusätzlich ein Zwischenbericht angefordert werden.

Empfänger ist die zuständige Behörde beziehungsweise das CSIRT nach Maßgabe der nationalen Umsetzung. NIS2 schafft als EU-Recht den Rahmen; Meldekanäle, Formulare und Zuständigkeiten regelt das nationale Recht, in Deutschland das NIS2-Umsetzungsgesetz. Nationale Detailabweichungen sind nicht als unionsweit einheitlich zu behaupten.

Neben der gestuften Meldung an Behörde beziehungsweise CSIRT verlangt Artikel 23 unter Umständen auch, betroffene Empfänger der eigenen Dienste über erhebliche Vorfälle zu informieren, die die Diensterbringung beeinträchtigen könnten, sowie gegebenenfalls über erhebliche Cyberbedrohungen und mögliche Gegenmaßnahmen. Ob und in welcher Form diese Empfängerinformation greift, richtet sich nach Richtlinie (EU) 2022/2555 und nationaler Umsetzung.

Umsetzungsperspektive

Ein belastbarer Meldeprozess verbindet technische Vorfallbearbeitung und regulatorische Meldelogik. Es braucht wenige, aber stabile Bausteine:

  • Kenntniszeitpunkt: definiert und dokumentiert, ab wann Kenntnis vorliegt und die Uhr läuft; er begründet die Frist.
  • Erheblichkeits-Kriterien: eine mit Fachbereich, Recht und Leitung abgestimmte Logik, die technische Befunde in die Meldeentscheidung übersetzt.
  • Meldeverantwortung: eine benannte, auch außerhalb der Geschäftszeiten erreichbare Rolle mit geregelter Vertretung und Eskalation.
  • Vorbereitete Meldewege: Zugang zur Behörde beziehungsweise zum Meldeportal, Zugangsdaten, Ansprechpartner und Mustertexte liegen bereit.
  • Verdichtungsfähige Dokumentation: so erfasst, dass Frühwarnung, 72-Stunden-Meldung und Abschlussbericht stufenweise befüllbar sind.

Belastbar ist der Prozess erst, wenn er geübt wurde, etwa in einer Tabletop-Übung der 24-Stunden-Entscheidung.

Typische Fehler

  1. Die 24-Stunden-Uhr wird nicht gestartet, weil unklar ist, wer den Kenntniszeitpunkt feststellt.
  2. Die Frühwarnung wird verschoben, bis die Analyse vermeintlich vollständig ist, und die Frist reißt.
  3. Die Erheblichkeit wird ad hoc beurteilt, ohne vorab definierte Kriterien.
  4. Meldeverantwortung ist nur in Geschäftszeiten besetzt, der Vorfall fällt aber auf das Wochenende.
  5. Es wird nur an die technische Behörde gedacht; weitere gesetzliche Meldepflichten parallel zu NIS2 werden übersehen.

Risiken und Trade-offs

Der zentrale Trade-off liegt zwischen Geschwindigkeit und Belastbarkeit: Eine zu früh und vage gemeldete Lage muss später womöglich korrigiert werden, eine zu späte verletzt die Frist. NIS2 löst dies bewusst zugunsten der Geschwindigkeit, da die Frühwarnung nur eine erste Einschätzung verlangt; diese Logik sollte der CISO intern verankern.

Ein zweiter Trade-off betrifft die Meldefreudigkeit: Wer im Zweifel jeden Vorfall meldet, riskiert Ressourcenbindung und Abstumpfung; wer zu restriktiv meldet, riskiert Sanktionen und Vertrauensverlust. Eine dokumentierte Schwellenlogik ist die Antwort. Zugleich ist zwischen Transparenz gegenüber der Behörde und dem Schutz laufender forensischer Arbeit abzuwägen; eine frühe Einbindung von Recht hilft.

Entscheidungspunkte

  • Wer stellt verbindlich fest, wann Kenntnis vorliegt und die Frist beginnt?
  • Welche Kriterien definieren einen erheblichen Vorfall in unserem Kontext, und wer pflegt sie?
  • Wer ist meldebefugt, und wie ist Erreichbarkeit rund um die Uhr sichergestellt?
  • Wie halten wir nationale Umsetzung und korrekten Meldekanal aktuell?
  • Wie koppeln wir den NIS2-Meldeprozess an bestehende Incident-Response- und Krisenprozesse, ohne Doppelstrukturen zu schaffen?

Praktische Empfehlungen

  1. Definieren und dokumentieren Sie einen eindeutigen Kenntniszeitpunkt als fristauslösendes Ereignis.
  2. Erstellen Sie eine kurze, abgestimmte Erheblichkeits-Bewertung für die Meldeentscheidung.
  3. Benennen Sie meldebefugte Rollen mit Vertretung und stellen Sie 24/7-Erreichbarkeit sicher.
  4. Halten Sie Meldewege, Zugänge und Mustertexte für alle drei Stufen bereit.
  5. Üben Sie die 24-Stunden-Entscheidung und messen Sie die Zeit bis zur Meldebereitschaft.
  6. Prüfen Sie die geltende nationale Umsetzung und passen Sie Kanäle und Formulare an.

Relevante Normreferenzen

  • Richtlinie (EU) 2022/2555 (NIS2), insbesondere Artikel 23 (Berichtspflichten), ergänzt durch Artikel 21 (Risikomanagement inklusive Incident Handling) und Artikel 20 (Leitungsverantwortung).
  • Nationale Umsetzung, in Deutschland das NIS2-Umsetzungsgesetz; maßgeblich für Meldekanäle, Zuständigkeiten und Detailfristen.
  • Ergänzend: ein ISMS nach ISO/IEC 27001 oder IT-Grundschutz als Rahmen für Incident Handling und Nachweisführung.

Häufige Fragen

Was löst die Meldepflicht nach Artikel 23 aus?+

Ein erheblicher Sicherheitsvorfall, also einer, der eine schwerwiegende Betriebsstörung oder finanzielle Verluste verursachen kann oder erhebliche Auswirkungen auf andere haben kann. Die genauen Schwellen ergeben sich aus Richtlinie und nationaler Umsetzung.

Wann beginnen die 24 Stunden zu laufen?+

Mit der Kenntnis der Einrichtung vom Vorfall. Deshalb sollte verbindlich geregelt sein, wer diesen Zeitpunkt feststellt und dokumentiert.

Muss die Frühwarnung schon vollständig sein?+

Nein. Sie ist eine erste, knappe Information, unter anderem zu einem möglichen böswilligen Hintergrund oder grenzüberschreitenden Auswirkungen. Details folgen in der 72-Stunden-Meldung und im Abschlussbericht; dauert der Vorfall zum Zeitpunkt des fälligen Abschlussberichts noch an, ist zunächst ein Fortschrittsbericht und der Abschlussbericht binnen eines Monats nach Abschluss der Bearbeitung vorgesehen.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen NIS-2 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: nis2-004.