Es ist 03:17 Uhr. Ein Verdacht auf einen Cybervorfall liegt im Raum — noch keine Gewissheit, aber genug, um unruhig zu werden. Und irgendwo in diesem Moment beginnt eine Uhr zu laufen, von der die meisten Leitungsteams erst sprechen, wenn es zu spät ist: die NIS2-Meldefrist.
Die NIS2-Richtlinie kennt keine einzelne Meldung, sondern eine gestufte Meldepflicht. Wer die Stufen nicht kennt, verpasst zwingend die erste — und damit den schärfsten Teil. Dieser Beitrag erklärt die drei Fristen, wann sie wirklich starten, warum die eigentliche Hürde organisatorisch ist und nicht technisch — und was die Geschäftsführung konkret dafür vorbereiten muss.
Die drei Stufen in einem Satz: 24 Stunden Frühwarnung, 72 Stunden Vorfallmeldung, 1 Monat Abschlussbericht — an die zuständige Behörde (in Deutschland das BSI).
Die drei Stufen der NIS2-Meldepflicht
Jede Stufe hat einen anderen Zweck, einen anderen Detailgrad und einen anderen Adressatenkreis. Wichtig: Die Stufen ersetzen einander nicht — sie ergänzen sich.
Frühwarnung — binnen 24 Stunden. Sobald ein Vorfall als „erheblich" einzustufen ist, geht eine erste, minimale Meldung an die Behörde: Verdacht, mutmaßlicher Auslöser, eine erste Einschätzung, ob eine grenzüberschreitende Wirkung vorliegt. Inhalt bewusst knapp — es geht um Geschwindigkeit, nicht um Vollständigkeit.
Vorfallmeldung — binnen 72 Stunden. Eine detailliertere Bewertung: Art des Vorfalls, betroffene Systeme, erste Indikatoren, vermutete Auswirkung und Schweregrad. Diese Meldung baut auf der Frühwarnung auf, ersetzt sie aber nicht.
Abschlussbericht — binnen 1 Monat. Die vollständige Analyse: Ursache, Auswirkung, ergriffene Maßnahmen und Lessons Learned. Dauert der Vorfall länger an, tritt zunächst ein Zwischenbericht an die Stelle des Abschlusses.
Das NIS-2-FAQ des BSI beschreibt die nationale Ausgestaltung dieser Meldewege für betroffene Unternehmen in Deutschland.
Die wichtigste Frage: Wann startet die Uhr?
Hier liegt der häufigste und teuerste Irrtum. Die 24-Stunden-Frist beginnt mit Kenntnis von einem erheblichen Vorfall — nicht mit dessen Bestätigung.
Der Reflex vieler Teams ist verständlich, aber gefährlich: „Wir wollen erst sicher sein, bevor wir die Behörde alarmieren." Genau dieser Reflex verbrennt das Zeitfenster. Wer am Sonntagabend einen substantiellen Verdacht hat und bis Montagmorgen wartet, hat die Hälfte der Frühwarnzeit verloren, bevor das Incident-Team überhaupt vollständig zusammen ist.
Merksatz. Die Frühwarnung ist kein Schuldeingeständnis und kein Abschlussbericht. Sie ist ein Signal: „Wir haben einen erheblichen Verdacht und kümmern uns." Eine spätere Entwarnung ist deutlich unproblematischer als eine versäumte Frist.
Was bedeutet „erheblich"?
Die Meldepflicht greift bei erheblichen Vorfällen. Vereinfacht ist ein Vorfall dann erheblich, wenn er eine schwerwiegende Betriebsstörung oder finanzielle Verluste verursachen kann — oder andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigen kann.
In der Krisennacht ist diese Definition selten eindeutig. Deshalb braucht es vorab definierte Schwellen und eine klare Zuständigkeit, statt im Moment der Unsicherheit zu diskutieren, ob „das jetzt schon erheblich ist". Wo Organisationen hier in der Praxis scheitern, zeigt der Beitrag NIS2 in der Praxis: Wo Compliance auf dem Papier versagt.
Die eigentliche Falle ist organisatorisch
Das Meldeformular liegt in den meisten Unternehmen bereit. Die technische Seite ist selten das Problem. Was fehlt, ist die Antwort auf eine einzige Frage:
„Wer entscheidet um 03:17 Uhr, ob jetzt gemeldet wird?“
Solange diese Frage nicht vorab beantwortet ist, meldet im Zweifel niemand — und die 24-Stunden-Frist verstreicht in Abstimmungsschleifen. Drei Dinge müssen deshalb vor dem Ernstfall geklärt sein:
Entscheidungsrecht. Eine benannte Rolle (mit Vertretung) darf die Meldung auslösen — auch nachts, auch ohne vollständige Faktenlage.
Erreichbarkeit. Eine echte Anrufkette, die außerhalb der Geschäftszeiten funktioniert — nicht eine Telefonliste aus der letzten Reorganisation.
Schwellen. Vorab definierte Kriterien, ab wann ein Vorfall als „erheblich" gilt, damit nicht im Moment der Unsicherheit grundsätzlich diskutiert wird.
Diese drei Punkte sind nicht teuer und brauchen kein neues Tool. Sie brauchen eine Entscheidung — und idealerweise eine Cyber-Krisensimulation, in der genau dieser 03:17-Uhr-Moment einmal geübt wurde, bevor er echt ist.
Die ersten 24 Stunden: ein realistischer Zeitstrahl
Theorie wird greifbar, wenn man die 24-Stunden-Frist einmal von hinten denkt. Angenommen, der erste substantielle Verdacht entsteht sonntags um 22:40 Uhr. Dann sieht ein realistischer — und gut vorbereiteter — Verlauf so aus:
Verdacht. Eine Anomalie wird gemeldet — ungewöhnliche Aktivität, ein ausgelöster Alarm. Die Uhr beginnt potenziell zu laufen, sobald der Verdacht substantiell ist.
Erste Einordnung. Die benannte Rolle prüft anhand der vorab definierten Schwellen: Könnte das „erheblich" sein? Im Zweifel: ja — lieber früh warnen als spät.
Krisenmodus. Die Anrufkette aktiviert den Krisenstab. Die entscheidende Frage — wer darf die Meldung auslösen? — ist bereits beantwortet, nicht erst zu klären.
Frühwarnung raus. Die vorbereitete Vorlage wird ausgefüllt und fristgerecht an die Behörde übermittelt — lange bevor das vollständige Lagebild steht.
Der Unterschied zwischen einem vorbereiteten und einem unvorbereiteten Unternehmen liegt nicht in der Technik, sondern in genau diesen Übergängen. Im unvorbereiteten Fall vergehen zwischen 22:40 und einer handlungsfähigen Linie schnell vier Stunden — nur um zu klären, wer überhaupt entscheiden darf. Diese vier Stunden fehlen am Ende des Zeitfensters.
Was die Geschäftsführung vorbereiten sollte
Meldewege benennen. Wer meldet, wer entscheidet, wer vertritt — schriftlich, mit Nachtfähigkeit.
Erheblichkeits-Schwellen definieren. Klare Kriterien, die eine schnelle Einordnung erlauben.
Frühwarnung vorbereiten. Eine Vorlage für die 24-Stunden-Meldung, die in Minuten ausgefüllt werden kann.
Den Ablauf üben. Mindestens einmal jährlich, idealerweise außerhalb der Geschäftszeiten mit echter Anrufkette.
Die Leitung schulen. Damit Vorstand und Geschäftsführung die Fristenlogik kennen — Teil der NIS2-Schulung für die Geschäftsleitung.
72 Stunden und ein Monat: die unterschätzten Stufen
Die meiste Aufmerksamkeit gilt zu Recht der 24-Stunden-Frühwarnung — sie ist die schärfste Frist. Doch die beiden folgenden Stufen werden in der Praxis regelmäßig unterschätzt, mit eigenen Stolperfallen.
Die 72-Stunden-Vorfallmeldung verlangt eine belastbarere Einschätzung: Art des Vorfalls, betroffene Systeme, Indikatoren und Schweregrad. Das Problem ist, dass die Forensik in diesem Zeitraum oft noch läuft. Die Kunst besteht darin, einen ehrlichen Zwischenstand zu liefern, ohne sich auf voreilige Schlüsse festzulegen — und ohne die Meldung hinauszuzögern, bis „alles geklärt" ist. Auch hier gilt: Eine Meldung mit dokumentiertem Vorbehalt ist besser als eine verspätete.
Der Abschlussbericht nach einem Monat wirkt entspannt, weil die akute Krise dann meist vorbei ist. Genau das ist die Falle: In der Erleichterung nach dem Vorfall wird die saubere Aufarbeitung gern verschoben. Dabei ist dieser Bericht — mit Ursachenanalyse, Auswirkung, ergriffenen Maßnahmen und Lessons Learned — der Teil, der den größten Lernwert für die Organisation hat. Dauert ein Vorfall länger an, tritt ein Zwischenbericht an die Stelle des Abschlusses; vergessen werden darf er nicht.
Wer alle drei Stufen als zusammenhängenden Prozess versteht, statt als drei isolierte Formulare, behandelt die Meldepflicht als das, was sie sein soll: ein strukturierter Umgang mit dem Vorfall — nicht nur eine regulatorische Pflichtübung.
Häufige Fragen
Welche Frist gilt wirklich: 24 Stunden, 72 Stunden oder ein Monat?
Alle drei. Es ist eine gestufte Meldepflicht: 24 Stunden Frühwarnung, 72 Stunden detaillierte Vorfallmeldung, ein Monat Abschlussbericht. Die Stufen ersetzen einander nicht, sondern bauen aufeinander auf.
Ab wann läuft die 24-Stunden-Frist?
Mit der Kenntnis von einem erheblichen Vorfall, nicht mit dessen Bestätigung. Wer auf vollständige Gewissheit wartet, verliert das Zeitfenster. Eine spätere Entwarnung ist unproblematischer als eine versäumte Frühwarnung.
An wen wird in Deutschland gemeldet?
An die zuständige Behörde, in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die konkrete Ausgestaltung der Meldewege beschreibt das BSI in seinem NIS-2-FAQ.
Was passiert bei verspäteter Meldung?
Verspätete oder unvollständige Frühwarnungen werden nicht als Bagatelle behandelt — insbesondere dann nicht, wenn der Schaden in genau dem Zeitraum eingetreten ist, in dem nicht gemeldet wurde. Die Meldepflicht ist Teil der sanktionsbewehrten NIS2-Anforderungen.
Fazit: Die Frist beginnt vor der Gewissheit
Die NIS2-Meldepflicht scheitert in der Praxis selten am Formular. Sie scheitert daran, dass niemand vorab entschieden hat, wer um 03:17 Uhr meldet — und dass auf Gewissheit gewartet wird, die in der Frühphase einer Cyberkrise nicht existiert.
Wer Entscheidungsrecht, Erreichbarkeit und Schwellen vorab klärt und den Ablauf einmal übt, verwandelt die 24-Stunden-Frist von einem Risiko in eine Routine. Und genau diese Vorbereitung — nicht das Formular — ist der Teil der NIS2-Meldepflicht, der sich ausschließlich vorab erledigen lässt, niemals im Moment des Vorfalls selbst. Wer das verinnerlicht hat, behandelt die Meldepflicht nicht als bürokratische Hürde, sondern als festen Bestandteil seiner Krisenvorsorge.
Die Uhr startet mit dem Verdacht — nicht mit dem Beweis.