NIS-2 verpflichtet Unternehmen zu einem dreistufigen Meldeverfahren bei erheblichen Sicherheitsvorfällen, mit einer Frühwarnung innerhalb von 24 Stunden. Die entscheidende Frage ist dabei nicht wann der Vorfall passiert, sondern ab wann ein Unternehmen davon Kenntnis hat. Denn schon ein begründeter Verdacht kann die Meldefrist auslösen und wer dann zögert, riskiert persönliche Haftung der Geschäftsführung.
Schon ein begründeter Verdacht löst die NIS-2-Meldefrist aus. Wer zwischen Verdacht und Kenntnis zögert, riskiert persönliche Haftung der Geschäftsführung.
Freitag, 18:07 Uhr, der Moment, der alles verändert: Das Monitoring meldet Unregelmäßigkeiten im Netzwerk. Erste Systeme reagieren verzögert, aus dem Fachbereich kommt der Hinweis auf „komische“ Zugriffe. Der CISO hat einen konkreten Verdacht, aber noch keine gesicherte Kenntnis eines Sicherheitsvorfalls. Was er nicht weiß: Die Uhr Richtung 24-Stunden-Frühwarnung und 72-Stunden-Meldepflicht läuft bereits. Oder doch noch nicht?
Was NIS-2 wirklich verlangt: Das dreistufige Meldeverfahren
Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) verpflichtet betroffene Organisationen – „besonders wichtige“ und „wichtige Einrichtungen“ in insgesamt 18 Sektoren – zu einem dreistufigen Meldeverfahren gegenüber der zuständigen nationalen Behörde (in Deutschland: das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI): a) Eine Frühwarnung muss innerhalb von 24 Stunden nach Kenntnisnahme eingehen, gefolgt von b) einer Vorfallmeldung mit Schweregradeinschätzung binnen 72 Stunden und c) einem Abschlussbericht innerhalb eines Monats. Alle Fristen laufen ab dem Zeitpunkt der Kenntnisnahme – nicht ab dem des Vorfalls selbst. Das ist die entscheidende Herausforderung.
Verdacht vs. Kenntnis: Die entscheidende Grenzlinie
Die Richtlinie selbst definiert den Begriff „Kenntnis“ nicht präzise. Die Faustregel: Sobald hinreichend konkrete Anhaltspunkte für einen erheblichen Vorfall vorliegen, beginnt die Meldepflicht – ein begründeter Verdacht genügt. Wie sich diese Grenze im Verlauf des Morgens verschiebt, zeigt der folgende Schnellcheck.
Schnellcheck: Verdacht oder Kenntnis?
8:07 Uhr: Monitoring-Alert + Fachbereichshinweis → Verdacht. Noch kein Beginn der Meldefrist.
8:45 Uhr: IT-Team bestätigt anomale Zugriffsmuster auf produktive Systeme → Begründeter Verdacht. Internes Eskalationsprotokoll startet. Die Dokumentationspflicht beginnt.
10:30 Uhr: Forensische Erstanalyse zeigt Exfiltration von Datenbankzugriffen → Kenntnis eines erheblichen Vorfalls. Die 24-Stunden-Frist beginnt jetzt. Wer die Augen verschließt, um die Frist hinauszuschieben, riskiert den Vorwurf der vorsätzlichen Fristversäumnis, mit erheblich höheren Sanktionsrisiken. Für die Geschäftsführung bedeutet das ein reales persönliches Haftungsrisiko, bis hin zu Bußgeldern und Tätigkeitsverbot.
Das größte Haftungsrisiko ist nicht die formale Kenntnis, sondern die unterlassene Reaktion auf einen begründeten Verdacht.
Krisenstab und Meldepflichten (wer muss intern und extern informiert werden?) und
revisionssichere Dokumentation mit Zeitstempel für jeden Schritt und jede Entscheidung.
Wer erst die Technik klärt und dann rechtlich bewertet, verliert Stunden und erhöht das persönliche Haftungsrisiko.
Dokumentationsfalle: Excel und WhatsApp sind keine Option mehr!
NIS-2 verlangt eine vollständige, manipulationssichere Dokumentation – nicht nur des Vorfalls, sondern auch jeder Entscheidung im Prozess: Warum ging man zu welchem Zeitpunkt noch von Verdacht, nicht von Kenntnis aus? Excel und WhatsApp bieten hierfür weder Zeitstempel noch Audit Trail und sind nicht revisionssicher. Moderne GRC- und Incident-Management-Plattformen protokollieren jeden Schritt automatisch mit Zeitstempel und Nutzer-ID, stellen vordefinierte Action Cards und Checklisten bereit, sodass kein Schritt vergessen wird, füllen Meldungen an das BSI in den geforderten Formaten aus und bleiben als SaaS-Lösung auch dann erreichbar, wenn die eigene IT-Infrastruktur durch einen Angriff ausgefallen ist.
Die Erheblichkeitsschwelle: Wann ist ein Vorfall meldepflichtig?
Meldepflichtig sind nur „erhebliche“ Vorfälle. Kriterien dafür sind Bedrohungen wie eine Betriebsstörung, finanzielle Verluste oder Datenverlust bzw. Datenmanipulation. Wer vorab eine Business Impact Analyse (BIA) durchgeführt und IT-Systeme mit Geschäftsprozessen verknüpft hat, kann diese Bewertung im Ernstfall in Minuten treffen. Ohne diese Vorarbeit beginnt die eigentliche Einschätzung erst im Krisenmodus.
Managementhaftung: Wenn der CISO allein nicht mehr reicht
NIS-2 führt die persönliche Haftung der Leitungsorgane ein. Geschäftsführer und Vorstände können künftig direkt für Compliance-Verstöße in Haftung genommen werden – bis hin zu einem vorübergehenden Tätigkeitsverbot. NIS-2-Compliance ist damit keine IT-Frage mehr, sondern Führungsaufgabe: Sobald Kenntnis eines erheblichen Vorfalls vorliegt, muss die Geschäftsführung einbezogen werden, diese muss die Meldepflicht aktiv steuern und Entscheidungen dokumentieren. Laut BCI Emergency & Crisis Communications Report 2025 nutzen 60,3 Prozent der Organisationen bereits spezialisierte Krisenmanagement-Tools. Wer das nicht tut, verliert im Ernstfall keine Minuten, sondern Stunden.
Checkliste für das Management in den ersten 24 Stunden:
☐ Information durch CISO: Vorfall bestätigt, Erheblichkeit eingeschätzt
☐ Entscheidung: Eskalation an das BSI / die zuständige Behörde – ja/nein, mit Begründung
☐ Delegation der Meldung mit Dokumentation der Verantwortlichkeit
☐ Rechtliche Absicherung: Einbeziehung von IT-Rechtsanwälten
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die 72-Stunden-Frage lässt sich nicht erst im Moment des Vorfalls beantworten. Wer in der Hektik eines Freitagabends klar und handlungsfähig bleiben will, braucht vorab definierte Prozesse, trainierte Teams, belastbare Technologie und ein gemeinsames Verständnis der juristischen Grenzlinie zwischen Verdacht und Kenntnis.
Sechs Maßnahmen, die Organisationen jetzt umsetzen sollten:
1. NIS-2-Betroffenheit prüfen: Essential Entity oder Important Entity? Welche Meldepflichten gelten konkret?
2. Business Impact Analyse (BIA) durchführen: IT-Systeme mit Geschäftsprozessen verknüpfen, Erheblichkeitsschwellen definieren.
3. Incident-Response-Prozesse und Notfallpläne definieren: Wer entscheidet wann was – mit klaren Eskalationspfaden und Zuständigkeiten. Prozesse und Pläne regelmäßig testen und üben.
4. Revisionssichere Dokumentation sicherstellen: Ablösung von Excel und WhatsApp durch auditfähige Plattformen.
5. Management sensibilisieren: NIS-2 ist Chefsache. Schulung der Leitungsebene zu Haftungsrisiken und Meldepflichten.
6. Technologie als Rückgrat: SaaS-basierte Resilienzplattformen, die auch bei einem eigenen IT-Ausfall handlungsfähig bleiben.
NIS-2 ist kein Ziel, das man einmalig erreicht. Es ist ein Rahmen, in dem Organisationen ihre Resilienz kontinuierlich ausbauen können – mit jedem Vorfall, aus dem sie strukturiert lernen. Wer jetzt die Grundlagen legt, wird die nächste Krise nicht nur überstehen, sondern gestärkt daraus hervorgehen.
Über den Autor: Michael Franke ist Head of GRC & Product Consulting bei der F24 AG und Experte in den Bereichen Governance, Risk & Compliance (GRC), Informationssicherheit, Business Continuity Management sowie Audit. Sein Fokus liegt darauf, regulatorische Anforderungen, Best Practices und technologische Innovationen miteinander zu verbinden, um Unternehmen bei einem nachhaltigen und zukunftssicheren GRC-Management zu unterstützen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/b9/9ab94376743167f94fe355d80b776665/0131155123v2.jpeg "In Deutschland wie auch in Frankreich stehen zwei Minderjährige unabhängig voneinander unter Verdacht, Cyberangriffe begangen zu haben. (Bild: Envato Elements)")
:quality(80)/p7i.vogel.de/wcms/7f/fe/7ffee70dd4a831c2b2756d73c9e8e40c/0122470970v1.jpeg "Der Mai 2026 zeichnet sich durch hohes Patch-Volumen bei zugleich niedrigem Exploit-Druck aus. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/69/1c6942ebf47d36ad830afe472460d8c0/0130915347v2.jpeg "Cyberkriminelle zielen auf Session-Tokens statt Passwörter. Gestohlene Tokens machen MFA wirkungslos, weil sie die gesamte Sitzung übernehmen. (Bild: © CuteBee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/ed/feedfc10020865481a0d10cd7b3ef6c4/0130885606v1.jpeg "Prof. Dr. Dr. h.c. Johannes Buchmann ist Mitbegründer des Forschungsgebiets der Post-Quantum-Kryptographie und hier einer der führenden Experten. Er beurteilt die Ergebnisse der Standardisierungsverfahren positiv: \"Die internationale Standardisierung für solche Algorithmen hat in den vergangenen Jahren große Fortschritte gemacht\".
(Bild: Katrin Binner Fotografie)")
:quality(80)/p7i.vogel.de/wcms/bc/fa/bcfaf6adcdd5b28506bb72252feecb5d/0130916006v2.jpeg "Schon ein begründeter Verdacht löst die NIS-2-Meldefrist aus. Wer zwischen Verdacht und Kenntnis zögert, riskiert persönliche Haftung der Geschäftsführung. (Bild: © Khfd - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/84/6f8494488e59da69d4425f687828c237/0130553928v2.jpeg "Laut Ivanti wird Agentic AI in der Cybersicherheit mittlerweile breit eingesetzt und genießt zunehmend vertraut, doch trotz hoher Akzeptanz besteht ein „Cybersecurity Readiness Deficit“. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/1f/ea1feecf27224ae2f929666e7f1a7314/0129964794v1.jpeg "Die Cohesity Data Cloud bietet neben den Möglichkeiten für Backup und Restore auch Funktionen für modernes Datenmanagement und Cyber-Resilienz. (Bild: © Thanadon88 – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/a2/0ea2191c9c894533d3f3e62be1b6a1d9/0129243939v1.jpeg "Für Peter Nowack, CEO der Gamma Placetel, entscheidet sich digitale Souveränität dort, wo Unternehmen Kontrolle über ihre Kommunikationsinfrastruktur behalten. (Bild: Placetel)")
:quality(80)/p7i.vogel.de/wcms/90/c1/90c13acae662d8e91c6526ea441b1ab4/0130712596v1.jpeg "Deutschland zählt zu den größten Playern in der Cybersicherheitsforschung. Doch die theoretischen Ergebnisse verlassen zu selten die Labore. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/17/7017e8d76fa5797366a42e075a6411b4/0131054108v1.jpeg "Nach Shai-Hulud folgt „mini Shai-Hulud“. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/29/86/298680c8efc8d28b11e52f5eccd33719/0131154208v2.jpeg "Instructure untersucht einen Cybersecurity-Vorfall, bei dem ein Angreifer Zugriff auf Daten von Nutzern der Lernplattform Canvas erlangt hat. (Bild: Envato Elements)")
:quality(80)/p7i.vogel.de/wcms/ab/88/ab8878adf6bf649c6d327154c55a483c/0130917727v2.jpeg "Active Directory bietet keine native MFA für Kennwortanmeldungen. Von Smartcard über multiOTP und Duo bis Silverfort gibt es fünf praktikable Alternativen. (Bild: © Have a nice day - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/17/f617f17696b551419e6222949a02e962/0130882091v1.jpeg "Täuschend echte Phishing-Mails oder Deepfakes zielen gezielt auf den Menschen als Schwachstelle. Dem können praxisnah geschulte Mitarbeiter effektiv entgegentreten. (Bild: Sharp)")
:quality(80)/p7i.vogel.de/wcms/64/d6/64d68a07918d732b89a9988555028cc3/0126593157v1.jpeg "Das European Cybersecurity Competence Centre (ECCC) ist das Europäische Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9d/8e/9d8e6fc97f50307232c1d98c39f4bb0a/0130052295v2.jpeg "RansomHub erlaubt es seinen RaaS-Partnern, die komplette Lösegeldsumme zu behalten und auch mit anderen Gruppen zu arbeiten. Möglicherweise konnte sich RansomHub so als eine der dominierenden Ransomware-Gruppen etablieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/04/e70481da107589efc1fd491106c4eea9/0130685142v1.jpeg "IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: MicroStockHub via Getty Images Signature)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/ac/7d/ac7de267fffd98226a6feeee8275e6de/0128963385v2.jpeg "NIS 2 gilt! Alles, was Unternehmen dazu nun wissen müssen, gibt es im Fakten-Check mit Prof. Dennis-Kenji Kipker im Security-Insider-Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/77/12/77121080c64b9e12202e2df5f5ec46cb/0128017720v2.jpeg "NIS 2 verankert Verantwortung im Management und verschärft Meldepflichten. Wir zeigen sechs typische Fehler von Geltungsbereich bis Lieferketten- und Incident-Readiness. (Bild: © FARIHA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/de/7fde7f3479bb930bd007e1d8e7a09ffb/0128963385v1.jpeg "Wir sprechen im Security-Insider-Podcast mit Rechtsanwalt Dr. Dr. Fabian Teichmann über Haftungsfragen im Rahmen der NIS-2-Richtlinie und geben auch gleich konkrete Handlungsempfehlungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/c5/a0/c5a025fd9b231ae061ba92437d00c2ae/0124733497v2.jpeg "Die NIS-2 soll die Cyberresilienz der EU stärken. Dafür müssen die Unternehmen mitspielen und sollten das auch endlich zu ihrem eigenen Nutzen tun und nicht noch länger auf die Politik warten. (Bild: © kunertus - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/f6/b3f6bbdf0f6bffac6f5a51a2579644f4/0128963385v1.jpeg "Wir sprechen im Podcast mit Jannik Christ über pragmatische Ansätze für die NIS2-Umsetzung im Mittelstand. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/00/2a/002a4b0ed38af3ca946f174ecdb4fd90/0112150345v1.jpeg "In der Folge 114 des Security-Insider-Podcasts erörtern wir, wie Unternehmen Synergien zwischen den EU-Gesetzen NIS 2 und dem Cyber Resilience Act (CRA) nutzen können, um Zeit und Ressourcen bei der Umsetzung der Cybersicherheitsanforderungen zu sparen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ff/f5/fff5360bc369f9af6d901e9c2d083819/0129495526v1.jpeg "Das KRITIS-Dachgesetz ist noch jung und es stehen viele Fragen offen: Ab wann ist eine Einrichtung eine kritische Anlage? Welche Pflichten und Fristen gelten? Wann muss was gemeldet werden? Dr. Daniel Meßmer gibt den Hörerinnen und Hörern von Security-Insider die Antworten. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/45/96/4596d2bb47d7e50fb1261cfa87688992/0125812908v2.jpeg "Mit den NIS-2-Infopaketen gibt das BSI Unternehmen und Organisationen Hilfestellungen an die Hand, um die angekündigten Vorgaben umzusetzen. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/12/77121080c64b9e12202e2df5f5ec46cb/0128017720v2.jpeg "NIS 2 verankert Verantwortung im Management und verschärft Meldepflichten. Wir zeigen sechs typische Fehler von Geltungsbereich bis Lieferketten- und Incident-Readiness. (Bild: © FARIHA - stock.adobe.com)")