Die Zeit läuft ab der Entdeckung
Wenn ein erheblicher Sicherheitsincident entdeckt wird, beginnt die Uhr zu ticken. NIS2 gibt Ihnen 24 Stunden — nicht 24 Arbeitsstunden, nicht “nächster Werktag”, sondern 24 tatsächliche Stunden — um eine Frühwarnung an das BSI zu senden.
Das bedeutet, dass ein Incident, der am Samstagabend entdeckt wird, eine Meldung bis Sonntagabend erfordert. Ist Ihre Organisation darauf vorbereitet?
Kritische Frage: Haben Sie dokumentierte Kommunikationswege zum BSI, die auch außerhalb der Geschäftszeiten funktionieren? Falls nein, ist das das Erste, was Sie angehen sollten.
Was ist ein “erheblicher Incident”?
Nicht alle Incidents müssen gemeldet werden. NIS2 konzentriert sich auf erhebliche Incidents — solche, die tatsächliche Auswirkungen auf den Dienst oder andere haben.
Ein Incident gilt als erheblich, wenn er:
- Schwerwiegende Betriebsstörungen des Dienstes verursacht hat oder verursachen kann
- Wirtschaftliche Verluste für die Organisation zur Folge hatte oder haben kann
- Andere natürliche oder juristische Personen durch materielle oder immaterielle Schäden betroffen hat oder betreffen kann
Beispiele für erhebliche Incidents:
- Ransomware, die Produktionssysteme verschlüsselt
- Datenverletzung mit Leak von personenbezogenen Daten
- DDoS-Angriff, der Dienste für Kunden unzugänglich macht
- Kompromittierter Lieferant mit Zugang zu Ihren Systemen
Die Zeitschiene: Drei Meldungen, drei Fristen
- Frühwarnung — binnen 24 Stunden Die erste Meldung ist eine schnelle Benachrichtigung, dass etwas passiert ist. Sie muss nicht vollständig sein — der Zweck ist die Warnung. Enthalten: dass ein Incident eingetreten ist, erste Einschätzung des Umfangs, und ob der Incident grenzüberschreitend ist oder andere EU-Länder betreffen könnte.
- Incident-Mitteilung — binnen 72 Stunden Jetzt wird mehr Substanz erwartet. Aktualisierung mit Bewertung des Schweregrads und der Auswirkungen des Incidents, Beschreibung dessen, was passiert ist (soweit bekannt), und eventuelle Kompromittierungsindikatoren (IOC), die anderen helfen können.
- Abschlussbericht — binnen 1 Monat Die vollständige Analyse. Enthält detaillierte Beschreibung des Incidents, Ursachenanalyse, ergriffene und geplante Maßnahmen sowie Erkenntnisse und Verbesserungsmaßnahmen.
Detaillierter Inhalt pro Meldung
Frühwarnung (24 Stunden)
| Feld | Beschreibung | Obligatorisch |
|---|---|---|
| Zeitpunkt der Entdeckung | Wann der Incident entdeckt wurde | Ja |
| Art des Incidents | Vorläufige Klassifizierung | Ja |
| Betroffene Dienste | Welche Dienste betroffen sind | Ja |
| Anfänglicher Umfang | Schätzung der Auswirkungen | Ja |
| Grenzüberschreitend | Vermutete Auswirkungen in anderen Ländern | Ja |
| Kontaktperson | Wen das BSI kontaktieren kann | Ja |
Incident-Mitteilung (72 Stunden)
| Feld | Beschreibung | Obligatorisch |
|---|---|---|
| Aktualisierter Status | Aktueller Stand und Entwicklung | Ja |
| Schweregrad | Bewertung des Schweregrads | Ja |
| Technische Beschreibung | Was technisch passiert ist | Ja |
| Auswirkungen | Anzahl Betroffener, Dienstverlust | Ja |
| IOC | Kompromittierungsindikatoren | Falls verfügbar |
| Ergriffene Maßnahmen | Was Sie bisher getan haben | Ja |
Abschlussbericht (1 Monat)
| Feld | Beschreibung | Obligatorisch |
|---|---|---|
| Vollständige Zeitachse | Chronologie von Anfang bis Ende | Ja |
| Ursachenanalyse | Grundursache des Incidents | Ja |
| Auswirkungen (endgültig) | Tatsächliche Auswirkungen, Betroffene | Ja |
| Alle ergriffenen Maßnahmen | Vollständige Liste | Ja |
| Erkenntnisse | Was Sie gelernt haben | Ja |
| Verbesserungsplan | Wie Sie Wiederholungen verhindern | Ja |
An wen melden Sie?
Alle erheblichen Incidents werden an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet. Das BSI koordiniert die technische Behandlung und kann bei Analyse und Empfehlungen unterstützen.
Je nach Sektor melden Sie auch an Ihre Sektorenaufsichtsbehörde. Bundesnetzagentur für Energie und Telekommunikation, BaFin für Finanzdienstleister, etc.
Praktisch: Das BSI arbeitet daran, einheitliche Meldekanäle zu etablieren. Halten Sie sich über die BSI-Website über aktuelle Informationen zur Meldung auf dem Laufenden.
Häufige Fallstricke vermeiden
24 Stunden gelten auch an Wochenenden und nachts. Ohne funktionierende Bereitschaft und klare Kommunikationswege wird es unmöglich, die Zeitanforderungen zu erfüllen, wenn es wirklich darauf ankommt.
Während eines laufenden Incidents ist das Letzte, was Sie tun wollen, über Format und Formulierungen nachzudenken. Haben Sie fertige Vorlagen für alle drei Meldetypen bereit zum Ausfüllen.
Wer entscheidet über die Meldung? Wer schreibt? Wer genehmigt? Unklare Rollen führen zu Verzögerungen. Dokumentieren Sie die Verantwortungsverteilung jetzt.
Die Meldung an das BSI ist nicht alles. Vergessen Sie nicht interne Eskalation an die Geschäftsleitung, eventuelle DSGVO-Meldung an BfDI/Landesdatenschutzbeauftragte bei Personendaten-Incidents und Kommunikation mit Kunden.
Checkliste: Sind Sie vorbereitet?
Verwenden Sie diese Checkliste, um Ihre Bereitschaft zu bewerten:
Prozesse und Dokumentation:
- Klare Definition dessen, was einen erheblichen Incident ausmacht
- Dokumentierter Incident-Management-Prozess
- Eskalationsroutinen und Entscheidungswege
- Vorlagen für alle drei Meldetypen
- Kontaktdaten zu BSI und Aufsichtsbehörde
Organisation und Ressourcen:
- Bereitschaftsdienst oder Entsprechendes für schnelle Reaktion
- Bestimmter Incident-Verantwortlicher mit Befugnis
- Geschultes Personal, das handeln kann
- Kommunikationskanäle, die rund um die Uhr funktionieren
Technische Fähigkeit:
- Erkennungsfähigkeit zur Entdeckung von Incidents
- Protokollierung zur Untersuchung dessen, was passiert ist
- Möglichkeit, Kompromittierungsindikatoren (IOC) zu sammeln
- Backup- und Wiederherstellungsfähigkeit
Praktische Tipps
Führen Sie eine Incident-Management-Übung durch
Führen Sie regelmäßige Übungen durch, bei denen Sie einen erheblichen Incident simulieren. Konzentrieren Sie sich auf:
- Können Sie eine Frühwarnung binnen 24 Stunden erstellen?
- Funktionieren die Kommunikationswege zum BSI?
- Weiß jeder Beteiligte, was zu tun ist?
Erstellen Sie jetzt Vorlagen
Warten Sie nicht auf den Incident. Erstellen Sie Vorlagen für:
- Frühwarnung — Standardformular mit vorausgefüllten Feldern
- Incident-Mitteilung — Struktur für tiefere Analyse
- Abschlussbericht — Vorlage für vollständige Dokumentation
Etablieren Sie die Kommunikationswege
- Registrieren Sie sich beim BSI, falls noch nicht geschehen
- Testen Sie den Meldekanal, bevor es ernst wird
- Haben Sie Backup-Kommunikationswege (Telefon, nicht nur E-Mail)
Möchten Sie mehr über NIS2s weitere Anforderungen erfahren? Lesen Sie unsere NIS2-Rahmenwerksübersicht für ein vollständiges Bild der Richtlinie, oder prüfen Sie, ob Sie unter NIS2 fallen mit unserem Klassifizierungstool.
So kann Securapilot helfen
Securapilots Incident-Management-Modul ist mit NIS2s Zeitanforderungen im Hinterkopf entwickelt:
- Incident-Klassifizierung — Automatische Bewertung gegen NIS2s Definition erheblicher Incidents
- Zeitkontrolle — Verfolgung von Fristen mit Warnungen bevor sie ablaufen
- Vorlagengenerierung — Automatische Generierung von Meldungen basierend auf Incident-Daten
- Eskalation — Eingebaute Workflows für Genehmigung und Eskalation
- Dokumentation — Vollständige Nachverfolgbarkeit für den Abschlussbericht
Buchen Sie eine Demo und sehen Sie, wie wir Ihnen helfen können, vorbereitet zu sein, wenn es wirklich darauf ankommt.
Häufig gestellte Fragen
Was ist ein 'erheblicher Incident' nach NIS2?
Ein Incident gilt als erheblich, wenn er schwerwiegende Betriebsstörungen des Dienstes verursacht hat oder verursachen kann, wirtschaftliche Verluste für die Organisation zur Folge hatte oder andere natürliche oder juristische Personen durch materielle oder immaterielle Schäden betroffen hat oder betreffen kann.
An wen melde ich?
In Deutschland werden Incidents an das BSI und an Ihre sektorspezifische Aufsichtsbehörde gemeldet. Der genaue Meldeweg hängt davon ab, welchem Sektor Sie angehören. Das BSI stellt entsprechende Meldekanäle zur Verfügung.
Was passiert, wenn ich die 24-Stunden-Frist verpasse?
Das Versäumen von Meldefristen kann zu Sanktionen führen. Das Wichtigste ist jedoch, so schnell wie möglich zu melden, auch wenn die Frist überschritten wurde. Gar nicht zu melden ist deutlich schwerwiegender als eine verspätete Meldung.
Muss ich Incidents bei Lieferanten melden?
Wenn ein Incident bei einem Lieferanten Ihre Fähigkeit zur Erbringung Ihrer Dienste beeinträchtigt, kann dies für Sie zu einem meldepflichtigen Incident werden. Sie benötigen Verträge und Prozesse, die sicherstellen, dass Lieferanten Sie schnell über Incidents informieren.
