NIS2 Meldepflichten

Incident-Reporting

Gestaffelte Meldepflichten nach NIS2: Frühwarnung (24h), Incident-Notification (72h) und Abschlussbericht (1 Monat).

Note: Keine rechtsverbindliche Beratung. Die Inhalte dienen ausschließlich der Orientierung und ersetzen keine qualifizierte Rechts- oder Compliance-Beratung.

NIS2 Meldepflichten

Art. 23 NIS2 verpflichtet Einrichtungen zur unverzüglichen Meldung erheblicher Sicherheitsvorfälle an das zuständige CSIRT oder die zuständige Behörde.

24 Stunden

Frühwarnung

24 Stunden

Unverzügliche, jedenfalls innerhalb von 24 Stunden nach Kenntnis: Frühwarnmeldung an CSIRT/zuständige Behörde.

Angabe, ob Verdacht auf rechtswidrige/böswillige Handlung besteht. Keine detaillierten technischen Daten erforderlich.

72 Stunden

Incident-Notification

72 Stunden

Innerhalb von 72 Stunden: Vollständige Meldung mit Bewertung des Vorfalls (Schweregrad, Auswirkungen, IoC).

Bewertung des Schweregrads, der Auswirkungen und der Kompromittierungsindikatoren (IoCs).

1 Monat

Abschlussbericht

1 Monat

Spätestens einen Monat nach der Incident-Notification: Abschlussbericht mit detaillierter Beschreibung.

Detaillierte Beschreibung des Vorfalls, Ursachenanalyse, ergriffene Maßnahmen, Präventionsempfehlungen.

Laufend

Zwischenberichte

Laufend

Auf Anforderung der Behörde: Zwischenberichte zum Bearbeitungsstand.

Statusberichte auf Anfrage des CSIRT oder der zuständigen Behörde.

Meldepflicht-Empfänger

Sicherheitsvorfälle sind an folgende Stellen zu melden:

CSIRT (national)

Zuständige Behörde (Branche)

BSI (DE)

Betroffene Kunden/Dienstnutzer (Art. 23 NIS2)

Verknüpfte Module

Das NIS2 Incident-Reporting ist mit folgenden resilience-Modulen verknüpft:

DORA ICT-Incidents Incident Response

Adaptiert von KRKrisensicher/krisensicherOS (Apache-2.0). Keine rechtsverbindliche Betroffenheitsprüfung.