NIS2-Meldefristen: Was gilt wann?
Die NIS2-Richtlinie (EU 2022/2555) verpflichtet betroffene Unternehmen, erhebliche Sicherheitsvorfälle in einem dreistufigen Verfahren an die zuständige Behörde (in Deutschland das BSI) zu melden. Wer die Fristen verpasst, riskiert empfindliche Bußgelder.
Die drei Meldefristen im Überblick
| Frist | Meldung | Inhalt |
|---|---|---|
| 24 Stunden | Frühwarnung | Erste Einschätzung: Verdacht auf rechtswidrige Handlung? Grenzüberschreitende Auswirkung? |
| 72 Stunden | Vorfallmeldung | Aktualisierte Bewertung, Schweregrad, Auswirkungen, Kompromittierungsindikatoren |
| 1 Monat | Abschlussbericht | Ausführliche Beschreibung, Ursache, Gegenmaßnahmen, ggf. grenzüberschreitende Folgen |
Was ist ein „erheblicher" Sicherheitsvorfall?
Erheblich ist ein Vorfall, der schwerwiegende Betriebsstörungen oder finanzielle Verluste verursachen kann oder andere natürliche bzw. juristische Personen durch materielle oder immaterielle Schäden beeinträchtigt. Im Zweifel gilt: lieber melden – die Frühwarnung nach 24 Stunden ist bewusst niederschwellig angelegt.
So bereiten Sie sich vor
Die Fristen sind nur einzuhalten, wenn Erkennung, Bewertung und Meldeweg vor dem Ernstfall geregelt sind: Incident-Response-Plan, klare Zuständigkeiten, Monitoring und geübte Abläufe. Welche Maßnahmen NIS2 insgesamt verlangt, zeigt unsere Übersicht der NIS2-Pflichten.