Zum Inhalt springen
7.36Fortgeschritten7 min

NIS-2 Meldepflichten: Die 24-Stunden-Frühwarnung in der Praxis

Blck Alpaca·
Definition

Die NIS-2-Meldepflichten verpflichten betroffene Einrichtungen, erhebliche Sicherheitsvorfälle in einer gestuften Frist-Kaskade zu melden: eine Frühwarnung binnen 24 Stunden, eine vollständige Meldung binnen 72 Stunden und einen Abschlussbericht binnen eines Monats — jeweils an die zuständige Behörde beziehungsweise das nationale CSIRT.

Auf einen Blick

  • Die NIS-2-Frist-Kaskade ist dreistufig: Frühwarnung binnen 24 Stunden, vollständige Meldung binnen 72 Stunden, Abschlussbericht binnen eines Monats nach der 72-Stunden-Meldung.
  • Empfänger ist die zuständige nationale Behörde bzw. das CSIRT — in Österreich das im NISG 2026 vorgesehene Bundesamt für Cybersicherheit im BMI, in Deutschland das BSI nach dem seit 6. Dezember 2025 geltenden NIS2UmsuCG.
  • Der Fristenlauf startet ab Kenntnis des Vorfalls (Awareness), nicht ab seinem Beginn — die operative Engstelle ist die zuverlässige, dokumentierte Erkennung.
  • Eine strukturell ähnliche, gestufte Meldelogik gilt auch im EU Cyber Resilience Act (Frühwarnung 24h, Vollmeldung 72h ab 11. September 2026) und in DORA — wobei DORA für als schwerwiegend klassifizierte IKT-Vorfälle mit einer deutlich knapperen Erstmeldung arbeitet; wer mehreren Regimen unterliegt, braucht einen einheitlichen Meldeprozess.
  • AI-gestützte SOC-Werkzeuge unterstützen vor allem bei Erkennung, lückenloser Dokumentation und Fristen-Tracking; die rechtliche Verantwortung und die finale Einreichung bleiben menschlich.
  • Dieser Beitrag ersetzt keine Rechtsberatung — konkrete Schwellenwerte und Verfahren sind mit qualifizierten Berater:innen in der jeweiligen Jurisdiktion zu klären.

Die NIS-2-Meldepflichten verpflichten betroffene Einrichtungen, erhebliche Sicherheitsvorfälle in einer gestuften Frist-Kaskade zu melden: eine Frühwarnung binnen 24 Stunden, eine vollständige Meldung binnen 72 Stunden und einen Abschlussbericht binnen eines Monats — jeweils an die zuständige Behörde beziehungsweise das nationale CSIRT. Diese Kaskade ist der operative Kern, an dem sich die Meldefähigkeit einer Organisation entscheidet.

  • Drei Fristen, ein Auslöser: 24 Stunden Frühwarnung, 72 Stunden vollständige Meldung, ein Monat Abschlussbericht — gerechnet ab Kenntnis des Vorfalls, nicht ab dessen Beginn.
  • Ein Empfänger-Kanal: die zuständige nationale Behörde bzw. das CSIRT (in Österreich das im NISG 2026 vorgesehene Bundesamt für Cybersicherheit im BMI; in Deutschland das BSI).
  • Die eigentliche Engstelle ist nicht das Formular, sondern die Erkennung: Wer den Vorfall spät bemerkt, hat die 24-Stunden-Uhr bereits verloren.

Warum die Frist-Kaskade existiert

NIS-2 ersetzt die alte NIS-Richtlinie und weitet den Anwendungsbereich erheblich aus. In Deutschland erhöht sich die Zahl betroffener Unternehmen nach Schätzung des BSI von rund 4.500 auf etwa 29.500; in Österreich sind rund 4.000 Unternehmen in 18 Sektoren erfasst. Mit der Breite des Anwendungsbereichs steigt auch die Bedeutung eines funktionierenden Meldewesens: Die Behörden bauen aus den eingehenden Meldungen ein Lagebild auf, warnen andere Einrichtungen und koordinieren bei grenzüberschreitenden Vorfällen.

Die gestufte Logik trägt einem realen Konflikt Rechnung. In den ersten Stunden eines Sicherheitsvorfalls ist die Faktenlage unklar — eine vollständige forensische Analyse liegt noch nicht vor. Gleichzeitig brauchen die Behörden früh ein Signal. Die Kaskade löst das, indem sie zuerst wenig, aber schnell verlangt (Frühwarnung) und die inhaltliche Tiefe über 72 Stunden und einen Monat nachzieht.

Der entscheidende und oft übersehene Punkt: Die Fristen laufen ab Kenntniserlangung (Awareness) des erheblichen Vorfalls, nicht ab dem Zeitpunkt, zu dem der Angriff tatsächlich begonnen hat. Das verlagert das Compliance-Risiko nach vorne — in die Detektion. Genau hier setzt die strukturelle Asymmetrie an, die Defender-Organisationen 2026 kennen: Angreifer arbeiten asynchron und retry-tolerant, während Verteidiger an die 24-Stunden-Frühwarnung gebunden sind.

Die drei Stufen im Detail: Frist, Inhalt, Empfänger

Die folgende Tabelle fasst die NIS-2-Kaskade zusammen. Sie ist als Orientierung gedacht; die exakte Ausgestaltung ergibt sich aus dem jeweiligen nationalen Umsetzungsgesetz.

Frist

Inhalt (Kern)

Empfänger

Binnen 24 Stunden (Frühwarnung)

Erste Anzeige, dass ein erheblicher Vorfall vorliegt: Verdacht auf rechtswidriges/böswilliges Handeln, mögliche grenzüberschreitende Auswirkungen. Keine vollständige Analyse nötig.

Zuständige Behörde / nationales CSIRT

Binnen 72 Stunden (Meldung)

Aktualisierte Bewertung: Schweregrad, Auswirkungen, soweit verfügbar Kompromittierungsindikatoren; Bestätigung oder Korrektur der Erstanzeige.

Zuständige Behörde / nationales CSIRT

Auf Anforderung (Zwischenbericht)

Statusaktualisierung zu relevanten Entwicklungen, wenn die Behörde es verlangt.

Zuständige Behörde / nationales CSIRT

Binnen 1 Monat nach der 72-h-Meldung (Abschlussbericht)

Ausführliche Beschreibung: Ursachenanalyse, ergriffene und laufende Abhilfemaßnahmen, ggf. grenzüberschreitende Auswirkungen.

Zuständige Behörde / nationales CSIRT

Wichtig: Dauert der Vorfall zum Zeitpunkt des Monatsberichts noch an, tritt an die Stelle des Abschlussberichts zunächst ein Fortschrittsbericht; der endgültige Bericht folgt nach Abschluss der Bearbeitung.

Wer ist der Empfänger — und was ändert sich in DACH?

NIS-2 ist eine EU-Richtlinie und entfaltet ihre konkrete Wirkung erst über die nationalen Umsetzungsgesetze. Für die Praxis in der DACH-Region bedeutet das unterschiedliche Adressaten und Zeitpläne:

  • Deutschland: Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft — ohne Übergangsfrist. Zuständig ist das BSI; das Registrierungsportal wurde Anfang 2026 geöffnet. Das BSI hat angekündigt, nicht registrierte Einrichtungen aktiv zu identifizieren.
  • Österreich: Das NISG 2026 wurde am 23. Dezember 2025 kundgemacht und tritt am 1. Oktober 2026 in Kraft. Vorgesehen ist ein neues Bundesamt für Cybersicherheit im Bundesministerium für Inneres (BMI), das sich in Errichtung befindet. Das Gesetz setzt auf Selbsteinstufung und Selbstdeklaration der betroffenen Einrichtungen.
  • Schweiz (zur Einordnung): Die Schweiz ist nicht NIS-2-gebunden, hat aber mit dem revidierten Informationssicherheitsgesetz ein paralleles Regime. Betreiber kritischer Infrastrukturen müssen erhebliche Cyberangriffe seit dem 1. April 2025 binnen 24 Stunden an das Bundesamt für Cybersicherheit (BACS) melden — in den ersten sechs Monaten gingen dort bereits über 12.000 Meldungen ein.

Für DACH-übergreifend tätige Unternehmen folgt daraus eine unbequeme Realität: Mehrere Meldekanäle, mehrere Behörden, teils unterschiedliche Schwellen. Hinzu kommen branchenspezifische Regime mit eigener, aber strukturell ähnlicher Meldelogik — etwa der EU Cyber Resilience Act, dessen Meldepflichten ab 11. September 2026 greifen (Frühwarnung binnen 24 Stunden, Vollmeldung binnen 72 Stunden über die zentrale Plattform bei ENISA und dem nationalen CSIRT), sowie DORA für den Finanzsektor, das für als schwerwiegend klassifizierte IKT-Vorfälle eine eigene gestufte Vorfallsmeldung mit einer Erstmeldung binnen vier Stunden nach der Klassifizierung vorsieht.

Konkretes Beispiel: Die 24-Stunden-Uhr läuft

Ein mittelständischer Maschinenbauer (NIS-2 voraussichtlich „wichtige Einrichtung") bemerkt am Freitag um 22:14 Uhr ungewöhnliche Authentifizierungs-Events. Die Detektion ist 2026 der typische Engpass: Untersuchungen zeigen, dass ein hoher Anteil der Erkennungen „malware-free" erfolgt — Angreifer melden sich mit gültigen Zugangsdaten an, statt einzubrechen, und die Eindringgeschwindigkeit ist drastisch gesunken (durchschnittliche Breakout-Time von 29 Minuten in 2025, schnellster beobachteter Wert 27 Sekunden). Eine verspätete oder am Wochenende gar nicht besetzte Erkennung kostet hier Stunden, die später bei der 24-Stunden-Frist fehlen.

Vereinfachter Ablauf:

```
22:14 Awareness — anomale Logins erkannt (T0, Fristenlauf startet)
→ 24h-Uhr läuft bis Samstag 22:14
23:30 Erstbewertung: Verdacht auf kompromittierte Identität, erheblich?
Sa 03:00 Frühwarnung an Behörde/CSIRT (innerhalb 24h):
"Erheblicher Vorfall, Verdacht böswilliges Handeln,
grenzüberschreitende Auswirkung derzeit nicht ausgeschlossen"
→ 72h-Uhr läuft bis Montag 22:14
Mo 18:00 Vollständige Meldung (innerhalb 72h):
Schweregrad, betroffene Systeme, Indikatoren, erste Maßnahmen
+1 Monat Abschlussbericht: Ursachenanalyse, Abhilfe, Lessons Learned
```

Entscheidend ist: Die Frühwarnung musste nachts und am Wochenende abgesetzt werden. Ohne 24/7-Detektionsfähigkeit — ob durch eigenes SOC, einen MDR-Dienstleister oder AI-gestützte Triage — wäre die 24-Stunden-Frist faktisch nicht haltbar gewesen.

Wie ein Prozess oder Agent unterstützt — und wo die Grenze liegt

AI-gestützte SOC-Werkzeuge greifen genau an den drei Schmerzpunkten der Kaskade: Erkennung, Dokumentation, Fristen-Tracking. Belegbar sind in produktiven Deployments deutliche Effizienzgewinne in der Tier-1-Triage — Anbieter berichten von 70 bis 90 Prozent Reduktion manuell gehandhabter Alerts; einzelne Werkzeuge nennen Investigationszeiten von wenigen Minuten gegenüber rund 25 Minuten manuell. Für die Meldepflicht ist das relevant, weil schnellere, verlässlichere Detektion die 24-Stunden-Uhr früher und sauberer startet.

Sinnvolle Unterstützungsfunktionen entlang der Kaskade:

  • Erkennung: Alert-Enrichment, Korrelation über mehrere Quellen, Deduplikation und Priorisierung — damit ein erheblicher Vorfall überhaupt zeitnah als solcher sichtbar wird.
  • Dokumentation: Automatische, revisionssichere Protokollierung von Zeitstempeln, betroffenen Systemen, ergriffenen Schritten und Kompromittierungsindikatoren als Grundlage für die 72-Stunden-Meldung und den Abschlussbericht.
  • Fristen-Tracking: Ein Vorfall-Workflow, der ab dem Awareness-Zeitpunkt die 24h-, 72h- und Monatsfrist zählt, Eskalationen auslöst und den Status (Frühwarnung gesendet / Meldung offen / Bericht fällig) sichtbar hält.

Klar bleibt jedoch die Grenze: Im Mai 2026 operiert kein produktionsreifer SOC autonom ohne menschliche Kontrolle an kritischen Entscheidungspunkten. Zwei Risiken sind für die Meldepflicht besonders relevant. Erstens halluzinierte Vorfall-Attribution: Große Sprachmodelle erzeugen plausibel klingende, aber falsche Zuordnungen zu Tätergruppen oder Geografien — und eine falsche Angabe gegenüber einer Behörde ist material. Zweitens Auditierbarkeit: NIS-2 verlangt Evidenz der Entscheidungsfindung; AI-generierte Schlüsse müssen nachvollziehbar und prüfbar bleiben. Die Bewertung der Erheblichkeit, die inhaltliche Freigabe und die Außenkommunikation an die Behörde bleiben deshalb menschlich verantwortet. Der Agent beschleunigt und dokumentiert — er entscheidet nicht und meldet nicht eigenständig nach außen.

Ein praktischer Hinweis aus der Defender-Realität: Logs, Phishing-Mails und Reconnaissance-Traffic können absichtlich Prompt-Injection-Inhalte enthalten, die ein Defender-LLM manipulieren. Wer AI in den Meldeprozess einbindet, sollte die Prompt-Injection-Abwehr des eingesetzten Werkzeugs kennen und testen lassen.

Praktische Vorbereitung in fünf Punkten

  1. Awareness-Definition festlegen: Wann gilt ein Vorfall als „bekannt"? Dieser Zeitpunkt startet alle Fristen und muss eindeutig dokumentiert sein.
  2. 24/7-Detektion sicherstellen: Eigenes SOC, MDR-Dienstleister oder AI-gestützte Triage — die 24-Stunden-Frist ist ohne durchgehende Erkennung nicht haltbar.
  3. Meldekanal vorab klären: Registrierung bei der zuständigen Behörde, Zugangsdaten zum Meldeportal, benannte verantwortliche Personen.
  4. Vorfall-Workflow mit Fristen-Tracking: Ein Prozess, der die drei Stufen abbildet und Eskalationen automatisch auslöst.
  5. Meldeprozess testen: Tabletop-Übungen, die die 24-Stunden-Frühwarnung realistisch durchspielen — inklusive Nacht- und Wochenend-Szenario.

Für Agenturen und B2B-Entscheider

Für Marketing-Agenturen und B2B-Dienstleister ist die NIS-2-Meldepflicht in zweierlei Hinsicht relevant. Erstens als Lieferketten-Thema: Wer für eine wesentliche oder wichtige Einrichtung arbeitet, fällt über vertragliche Anforderungen häufig faktisch in deren Sicherheits- und Meldeerwartungen — saubere Detektions- und Dokumentationsprozesse werden zum Auswahlkriterium in Ausschreibungen. Zweitens als Content- und Beratungsfeld: Die Frist-Kaskade ist erklärungsbedürftig, hoch suchrelevant und ein natürlicher Anker für fundierte, zitierfähige Inhalte. Blck Alpaca konzipiert dafür AI-gestützte Knowledge-Bases und Prozess-Bausteine, die Erkennung, Dokumentation und Fristen-Tracking verbinden — als belastbare Grundlage, nicht als Ersatz für die menschliche Verantwortung im Meldeprozess.

Hinweis: Dieser Beitrag dient der fachlichen Orientierung und stellt keine Rechtsberatung dar. Konkrete Schwellenwerte, Einstufungen und Verfahren nach NIS-2, dem NIS2UmsuCG, dem NISG 2026, dem CRA oder DORA sind mit qualifizierten Berater:innen in der jeweiligen Jurisdiktion zu klären.

Häufig gestellte Fragen

Welche drei Fristen gelten bei den NIS-2-Meldepflichten?
Die NIS-2-Richtlinie sieht eine dreistufige Kaskade vor: eine Frühwarnung binnen 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls, eine vollständige Meldung binnen 72 Stunden und einen Abschlussbericht binnen eines Monats nach der 72-Stunden-Meldung. Auf Anforderung der Behörde kann zusätzlich ein Zwischenbericht verlangt werden.
Ab wann läuft die 24-Stunden-Frist?
Der Fristenlauf beginnt mit der Kenntniserlangung (Awareness) des erheblichen Sicherheitsvorfalls, nicht mit dem tatsächlichen Beginn des Vorfalls. Genau deshalb ist eine zuverlässige, zeitlich dokumentierte Erkennung der praktische Dreh- und Angelpunkt jeder fristgerechten Meldung.
An wen wird gemeldet?
Adressat ist die zuständige nationale Behörde beziehungsweise das nationale CSIRT. In Österreich ist nach dem NISG 2026 das im Bundesministerium für Inneres in Errichtung befindliche Bundesamt für Cybersicherheit vorgesehen; in Deutschland ist das BSI zuständig, das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist dort seit 6. Dezember 2025 in Kraft.
Was muss in der 24-Stunden-Frühwarnung stehen?
Die Frühwarnung ist bewusst knapp: Sie zeigt an, dass ein erheblicher Vorfall vorliegt, ob ein rechtswidriges oder böswilliges Handeln vermutet wird und ob grenzüberschreitende Auswirkungen möglich sind. Eine vollständige technische Analyse ist zu diesem Zeitpunkt nicht gefordert — diese folgt in der 72-Stunden-Meldung.
Kann ein KI-Agent die NIS-2-Meldung übernehmen?
Nein, nicht die rechtliche Verantwortung und nicht die finale Einreichung. KI-gestützte SOC-Werkzeuge unterstützen messbar bei Erkennung, Alert-Triage, lückenloser Dokumentation und Fristen-Tracking. Die inhaltliche Freigabe, die Bewertung der Erheblichkeit und die Außenkommunikation an Behörden bleiben aus Auditgründen menschlich verantwortet.
Gilt dieselbe Kaskade auch für CRA und DORA?
Die Struktur ist ähnlich, die Fristen unterscheiden sich. Der EU Cyber Resilience Act verlangt ab 11. September 2026 ebenfalls eine Frühwarnung binnen 24 Stunden und eine Vollmeldung binnen 72 Stunden. DORA kennt für als schwerwiegend klassifizierte IKT-Vorfälle eine eigene gestufte Meldelogik mit einer Erstmeldung binnen vier Stunden nach der Klassifizierung. Unternehmen, die mehreren Regimen unterliegen, sollten einen einheitlichen Meldeprozess aufsetzen.

Tiefer einsteigen?

Erhalte neue Analysen direkt ins Postfach – oder sieh dir an, wie wir dieses Wissen für Unternehmen umsetzen.

Newsletter abonnierenUnsere Services
VorherigerNIS-2 Betroffenheitsprüfung Österreich: Selbsteinstufung nach NISG Schritt für SchrittNächsterNIS-2 Lieferkette: Pflichten für IT-Dienstleister betroffener Unternehmen