norppa.io
Leitfäden

NIS2-Leitfaden · 7 Min.

NIS2-Vorfallmeldung: die 24- und 72-Stunden-Fristen erklärt

Wenn ein erheblicher Vorfall eintritt, läuft die Uhr sofort — und NIS2 setzt eine Reihe harter Fristen, gemessen in Stunden, nicht Tagen. Dieser Leitfaden erklärt, was als erheblicher Vorfall gilt, den genauen Meldezeitplan nach Artikel 23 und die Situation, die Teams am häufigsten übersehen: wann der Vorfall eines Lieferanten zu Ihrer Meldepflicht wird.

Wichtigste Punkte

  • Ein erheblicher Vorfall löst eine gestufte Meldung aus: Frühwarnung binnen 24 Stunden, vollständige Meldung binnen 72 Stunden, Abschlussbericht binnen eines Monats (Art. 23).
  • "Erheblich" bedeutet schwere Betriebsstörung oder finanziellen Verlust oder erheblichen Schaden für andere — nicht jeder Vorfall erfüllt die Schwelle.
  • Ein Vorfall bei einem Lieferanten oder Dritten, der Ihren Dienst stört, kann Ihre 24-Stunden-Uhr starten — Sichtbarkeit auf sie gehört zur Bereitschaft.
  • Meldungen gehen an Ihr nationales CSIRT oder die zuständige Behörde; ggf. müssen Sie auch die Empfänger Ihrer Dienste informieren.

Was als "erheblicher" Vorfall gilt

Nicht jeder Vorfall ist meldepflichtig. Nach Artikel 23 ist ein Vorfall erheblich, wenn er eine schwere Betriebsstörung der Dienste oder finanzielle Verluste für die Einrichtung verursacht hat oder verursachen kann, oder wenn er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

Die Kommission hat für bestimmte digitale Anbieter in einer Durchführungsverordnung konkretere Schwellenwerte festgelegt, doch das Prinzip gilt branchenübergreifend: Beurteilen Sie nach Schwere und Reichweite der Auswirkung, nicht nach der technischen Neuartigkeit des Angriffs. Im Zweifel dokumentieren Sie Ihre Bewertung — die Entscheidung, nicht zu melden, sollte ebenso belastbar sein wie die Entscheidung zu melden.

Der Meldezeitplan (Artikel 23)

Die Meldung erfolgt gestuft: zuerst ein schnelles Signal, Details später. Die Fristen laufen ab dem Moment, in dem Sie vom erheblichen Vorfall Kenntnis erlangen.

Binnen 24 Stunden — Frühwarnung

Eine erste Meldung an Ihr CSIRT oder die zuständige Behörde mit dem Hinweis, ob der Vorfall vermutlich durch rechtswidrige oder böswillige Handlungen verursacht wurde oder grenzüberschreitende Auswirkungen haben könnte.

Binnen 72 Stunden — Vorfallmeldung

Ein Update mit erster Bewertung: Schwere und Auswirkung sowie nach Möglichkeit Kompromittierungsindikatoren.

Auf Anfrage — Zwischenbericht

Wenn das CSIRT oder die Behörde es verlangt, ein Statusupdate zur Bearbeitung des Vorfalls.

Binnen 1 Monat nach der Meldung — Abschlussbericht

Eine ausführliche Beschreibung: Ursache und Art der Bedrohung, angewandte und laufende Gegenmaßnahmen sowie etwaige grenzüberschreitende Auswirkungen.

Ist der Vorfall nach einem Monat noch nicht abgeschlossen, reichen Sie stattdessen einen Fortschrittsbericht ein und den Abschlussbericht binnen eines Monats nach Bearbeitung des Vorfalls.

Wenn der Vorfall eines anderen zu Ihrem wird

Die Meldepflicht nach NIS2 beschränkt sich nicht auf Vorfälle, die in Ihren eigenen Systemen entstehen. Erleidet ein Lieferant oder Dienstleister einen Vorfall, der Ihre erbrachten Dienste erheblich stört, kann die Meldepflicht auf Sie fallen — und die 24-Stunden-Uhr beginnt, sobald Sie Kenntnis erlangen, nicht wenn der Lieferant es Ihnen endlich mitteilt.

Das ist der schwierige Teil: Lieferanten legen Vorfälle nicht immer schnell offen, und eine Woche zu spät eintreffende Meldung hat Ihre Frist bereits verbraucht. Bereitschaft hängt daher von unabhängiger Sichtbarkeit ab — zu wissen, wann ein kritischer Lieferant auf einer Ransomware-Leak-Site auftaucht, Zugangsdaten geleakt werden oder er offline geht, ohne auf seine E-Mail zu warten.

Wie man bereit ist, bevor die Uhr läuft

Eine Frist von wenigen Stunden einzuhalten ist eine Frage der Vorbereitung, nicht des Heldentums. Stellen Sie vor einem Vorfall sicher, dass Sie beantworten können:

Wer entscheidet, ob ein Vorfall "erheblich" ist, und wer erreicht das CSIRT außerhalb der Bürozeiten?
Haben wir den CSIRT-/Behördenkontakt und den Meldekanal bereit — nicht erst in der Krise gesucht?
Sind Klauseln zur Vorfallmeldung der Lieferanten in unseren Verträgen, mit definiertem Meldefenster?
Haben wir eine unabhängige Überwachung kritischer Lieferanten, damit wir bei einem nicht offengelegten Vorfall nicht blind sind?
Können wir die Zeitleiste und Nachweise erstellen, die ein Abschlussbericht braucht — was geschah, wann und was wir taten?

Quelle: Richtlinie (EU) 2022/2555 (NIS2), Artikel 23 — sowie die Durchführungsverordnung der Kommission zu Schwellenwerten für erhebliche Vorfälle bestimmter digitaler Anbieter; prüfen Sie das Meldeportal Ihres nationalen CSIRT für den genauen Kanal.

Wie norppa.io hilft

Der schwierigste Teil des Zeitplans ist der, den Sie nicht kontrollieren: ein Lieferantenvorfall, von dem Sie zu spät erfahren. norppa.io überwacht Ihre Lieferanten kontinuierlich — Ransomware-Opferlistungen und Dark-Web-Zugangsdatenlecks werden etwa alle sechs Stunden geprüft, mit sofortiger Warnung — sodass ein Lieferantenereignis Sie rechtzeitig erreicht, um Ihre eigene Uhr zu starten.

Und weil jeder Befund mit Zeitstempel versehen und den NIS2-Artikeln zugeordnet ist, ist die für eine 72-Stunden-Meldung oder einen Abschlussbericht nach einem Monat nötige Historie — was gesehen wurde, wann und was getan wurde — bereits zusammengestellt statt unter Druck rekonstruiert.

Erfahren Sie nicht zu spät von einem Lieferantenvorfall

Sehen Sie im Musterbericht, wie kontinuierliche Lieferantenüberwachung Ransomware und Leaks binnen Stunden sichtbar macht.

Musterbericht ansehen

Verwandte Leitfäden

NIS2 und die Lieferkettenpflicht — was das in der Praxis bedeutet

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.

NIS2 Art. 21(2) — Sicherheits-Checkliste für Lieferanten

Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.

NIS2 und die Verantwortung der Leitung: Was Vorstand und Geschäftsführung wissen müssen

Was NIS2 vom Leitungsorgan erwartet: Genehmigungs- und Aufsichtspflichten, persönliche Haftung (Art. 20), Schulung, Vorstands-KPIs und die Sanktionen nach Art. 34.

ISO 27001 und NIS2: Was Ihr ISMS bereits abdeckt — und die Lücken, die bleiben

Wenn Sie ISO 27001 halten: was auf NIS2 übertragbar ist und was nicht — gesetzliche Vorfallmeldung, Haftung der Leitung, Registrierung und kontinuierliche Lieferkettensicherung — und wie Sie die Lücke schließen.