Zum Inhalt springen
MeldeKette24MeldeKette24
Meldepflicht

NIS2-Meldepflicht: Was in den ersten 24 Stunden zählt

Die 24-Stunden-Frist für die NIS2-Frühwarnung tickt ab dem Moment der Kenntnisnahme. Wir erklären, was Sie in dieser Zeit tun müssen — und was nicht.

15. Dezember 20252 Min. Lesezeit

Die Uhr läuft ab dem ersten Wissen

§32 Abs. 2 BSIG ist eindeutig: Die 24-Stunden-Frist für die Frühwarnung beginnt nicht mit dem Angriff, sondern mit dem Moment, in dem Ihr Unternehmen Kenntnis von dem Sicherheitsvorfall erlangt. Das ist der entscheidende Unterschied.

Wenn ein Mitarbeiter um 23:47 Uhr eine Ransomware-Infektionsmeldung auf seinem Bildschirm sieht, beginnt die Uhr in diesem Moment zu laufen — auch wenn das IT-Team erst am nächsten Morgen davon erfährt. Interne Kommunikationsverzögerungen verkürzen die Frist.

Was ist eine Frühwarnung?

Die Frühwarnung ist explizit keine vollständige Meldung. Das BSI akzeptiert ausdrücklich unvollständige Informationen. Pflichtinhalte nach §32 Abs. 3 BSIG:

  • Art des Vorfalls (soweit bekannt)
  • Datum und Uhrzeit der Kenntnisnahme
  • Betroffene Systeme oder Dienste
  • Ob es sich um einen grenzüberschreitenden Vorfall handeln könnte

Nicht erforderlich in der Frühwarnung: vollständige Ursachenanalyse, Schadensausmaß, Gegenmaßnahmen.

Die häufigsten Fehler in den ersten 24 Stunden

Fehler 1: Abwarten bis zur vollständigen Analyse

Der häufigste und gefährlichste Fehler. Viele IT-Teams wollen erst dann melden, wenn sie den Vorfall vollständig verstanden haben. Das BSI sieht das anders: Schnelligkeit vor Vollständigkeit.

Fehler 2: Falsche Zeitzählung

Die 24 Stunden gelten nicht ab Geschäftsbeginn des nächsten Werktages. Es sind 24 Stunden ab Kenntnisnahme — auch wenn das nachts oder am Wochenende ist.

Fehler 3: Unklare interne Meldekette

Wenn unklar ist, wer die BSI-Meldung übernimmt, verliert man wertvolle Zeit. Die Meldekette muss vor dem Ernstfall definiert sein.

Fehler 4: Falsche Ansprechpartner

BSI-Meldungen gehen an das BSI-Meldeportal (bsi.bund.de/meldeportal), nicht an Polizei, Staatsanwaltschaft oder die Datenschutzbehörde. Letztere gelten für DSGVO-Meldungen — eine separate Pflicht.

Was zählt als „erheblicher Vorfall"?

Nicht jeder Sicherheitsvorfall löst die Meldepflicht aus. Erheblich ist ein Vorfall nach EU-DVO 2024/2690, wenn er erhebliche Auswirkungen auf die Diensterbringung hat — gemessen an Kriterien wie Anzahl betroffener Nutzer, Ausfallzeit, finanzieller Schaden und Art der Daten.

Faustformel: Im Zweifel melden. Falschmeldungen werden milder behandelt als Nicht-Meldungen.

Der optimale Ablauf in den ersten 24 Stunden

  1. Minute 0: Kenntnisnahme → sofortige Eskalation an den NIS2-Beauftragten
  2. Stunde 1–2: Erstbewertung — ist der Vorfall erheblich?
  3. Stunde 2–4: BSI-Frühwarnung absenden (auch mit unvollständigen Infos)
  4. Stunde 4–8: Incident-Response-Team aktivieren
  5. Stunde 8–24: Vorbereitung der Vorfallsmeldung (Frist: 72h)

Fristrechner und Meldeprozess

Mit dem NIS2-Frist-Rechner berechnen Sie alle drei BSI-Fristen auf einen Blick. MeldeKette24 führt Ihr Team strukturiert durch die ersten 24 Stunden — mit Triage-Engine, Frist-Timer und BSI-PDF-Export.

Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für Ihre konkrete Situation empfehlen wir einen auf IT-Recht spezialisierten Anwalt.

MeldeKette24 — NIS2-Meldeprozess für KMU

Jetzt Meldeprozess strukturieren — kostenlos in der Beta

Zur Beta-Anmeldung

Verwandte Artikel

Alle Blog-Artikel