31. Januar 2019 | Artikel drucken | |

Vorfallreaktionsplan 2026: NIS2-Meldepflichten, 6-Phasen-Modell und Praxis-Checkliste

4 Min. Lesezeit

Zuletzt aktualisiert: März 2026 | Ursprünglich veröffentlicht: 2019

185 Tage brauchen deutsche Unternehmen im Schnitt, um einen Sicherheitsvorfall zu erkennen und einzudämmen. Die durchschnittlichen Kosten: 4,9 Millionen Euro pro Vorfall. Seit Dezember 2025 verschärft NIS2 die Lage: 24 Stunden für die Erstmeldung ans BSI, Geschäftsführer haften persönlich. Wer keinen getesteten Vorfallreaktionsplan hat, improvisiert im Ernstfall – und zahlt doppelt.

Das Wichtigste in Kürze

  • NIS2 seit 06.12.2025: Erstmeldung ans BSI innerhalb von 24 Stunden, Detailbericht nach 72 Stunden, Abschlussbericht nach einem Monat. Geschäftsführer haften persönlich (BSI).
  • 185 Tage durchschnittliche Breach-Lifecycle-Dauer in Deutschland. Kosten: 4,9 Mio. EUR pro Vorfall (IBM Cost of a Data Breach Report 2024).
  • Südwestfalen-IT 2023: 190 Login-Anomalien in 10 Minuten wurden ignoriert, kein Alarm konfiguriert. 70+ Kommunen betroffen, 1,7 Mio. Einwohner ohne Verwaltung (Forensik-Bericht SIT).
  • Tabletop-Übungen sind unter NIS2 Pflicht, keine Option. Geschäftsleitung muss aktiv teilnehmen (NIS2UmsuCG).
  • BSI-Grundsatz bei Meldungen: „Geschwindigkeit vor Vollständigkeit“ – lieber unvollständig melden als die 24h-Frist verpassen (BSI).

Warum 2019er Pläne 2026 nicht mehr funktionieren

Ein Vorfallreaktionsplan von 2019 kannte weder NIS2-Meldepflichten noch KI-gestützte Angriffe noch Cloud-Telefonie über Microsoft Teams. Die regulatorische Landschaft hat sich fundamental verändert: NIS2 verlangt seit Dezember 2025 ein dreistufiges Meldesystem, das BSI prüft aktiv, und die DSGVO-Meldepflicht (72 Stunden) läuft parallel.

Der Südwestfalen-IT-Fall zeigt, was passiert, wenn Pläne auf dem Papier stehen, aber nicht gelebt werden: 190 fehlgeschlagene Login-Versuche innerhalb von 10 Minuten aus untypischen Ländern – die Logs existierten, aber niemand hatte Alarme konfiguriert. Ergebnis: Akira-Ransomware, 70+ Kommunen lahmgelegt, 1,7 Millionen Einwohner ohne digitale Verwaltung.

4,9 Mio. €
durchschnittliche Kosten eines Datenschutzvorfalls in Deutschland 2024 (+14% ggü. Vorjahr)
Quelle: IBM Cost of a Data Breach Report, 2024

NIS2-Meldepflichten: Das dreistufige System

Seit dem 6. Dezember 2025 gilt für rund 29.500 Unternehmen in Deutschland ein verbindliches Meldesystem beim BSI. Die drei Stufen:

Frist Meldung Inhalt
24 Stunden Frühwarnung ans BSI Einstufung, Verdacht auf rechtswidrige Handlung, grenzüberschreitende Dimension, Kontaktperson
72 Stunden Detailmeldung Ursachenanalyse, Schweregrad, Auswirkungen, Kompromittierungsindikatoren (IOCs), Massnahmen
1 Monat Abschlussbericht Vollständige Beschreibung, Bedrohungstyp, alle Abhilfemassnahmen, grenzüberschreitende Effekte

Der BSI-Grundsatz lautet „Geschwindigkeit vor Vollständigkeit“. Lieber eine unvollständige Erstmeldung innerhalb von 24 Stunden als eine perfekte nach 48. Die Sanktionen sind empfindlich: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen.

Wichtig: Wenn der Vorfall auch personenbezogene Daten betrifft, läuft die DSGVO-Meldepflicht (72 Stunden an die Datenschutzbehörde) parallel. Zwei Behörden, zwei Fristen, zwei Formulare – ohne klaren Prozess fällt eine davon durch.

Die 6 Phasen eines Vorfallreaktionsplans (SANS PICERL)

Das SANS-Framework ist der De-facto-Standard für Incident Response. NIST SP 800-61 verwendet vier Phasen (fasst Eindämmung, Beseitigung und Wiederherstellung zusammen), aber die sechs SANS-Phasen geben in der Praxis mehr Struktur:

  1. Vorbereitung (Preparation): Policies, Playbooks, Tools, Team-Aufbau, Kommunikationsplan. NIS2 verlangt, dass die Geschäftsleitung aktiv eingebunden ist – nicht nur informiert, sondern mitentscheidend.
  2. Identifizierung (Identification): Erkennung und Validierung des Vorfalls. Was genau ist passiert, wann, durch welchen Vektor? Der SIT-Fall zeigt: Ohne konfigurierte Alarme nützen die besten Logs nichts.
  3. Eindämmung (Containment): Kurzfristig: betroffene Systeme isolieren, Ausbreitung stoppen. Langfristig: Betrieb aufrechterhalten, während die Analyse läuft. In den ersten 24 Stunden muss parallel die BSI-Frühwarnung rausgehen.
  4. Beseitigung (Eradication): Malware entfernen, Backdoors schliessen, kompromittierte Accounts deaktivieren. Hier entsteht der 72-Stunden-Detailbericht fürs BSI.
  5. Wiederherstellung (Recovery): Systeme zurück in den Normalbetrieb. Monitoring auf erneute Kompromittierung. Mandiant M-Trends 2025 zeigt: In EMEA liegt die Dwell Time bei 22 Tagen – die schlechteste Region weltweit.
  6. Lessons Learned: Post-Incident-Review mit allen Beteiligten. Playbooks aktualisieren, Lücken dokumentieren. Der Abschlussbericht ans BSI ist nach einem Monat fällig.

„Zwischen dem 18. und 29. Oktober 2023 gab es 190 fehlgeschlagene Login-Versuche innerhalb von 10 Minuten aus untypischen Ländern. Die Logs existierten, aber Alarme waren nicht konfiguriert.“
– Forensik-Bericht Südwestfalen-IT, veröffentlicht 2024

Der SIT-Fall: Was schiefging und was daraus folgt

Der Angriff auf die Südwestfalen-IT im Oktober 2023 ist das plastischste Lehrbeispiel für gescheitertes Incident Management in Deutschland. Die Akira-Ransomware verschlüsselte die Systeme von über 70 Kommunen. Der Forensik-Bericht zeigt eine Kette von vermeidbaren Fehlern:

  • Schwaches Passwort auf dem VPN-Zugang, keine Multi-Faktor-Authentifizierung
  • 190 Login-Anomalien in den Logs – aber keine Alarmierung konfiguriert
  • Kein getesteter Incident-Response-Plan für dieses Szenario
  • Notbetrieb dauerte bis Februar 2024 – vier Monate
  • Beide Geschäftsführer mussten gehen

Die Kosten allein für den Hochsauerlandkreis: rund 1,5 Millionen Euro. Die Konsequenz: SIT wurde tiefgreifend reorganisiert. Unter NIS2 wäre die Geschäftsführung zusätzlich persönlich haftbar gewesen.

Tabletop-Übungen: Pflicht unter NIS2, nicht Kür

NIS2 verlangt die regelmässige Überprüfung der Wirksamkeit von Krisenmanagement- und Business-Continuity-Plänen. Tabletop-Exercises sind die gängigste Methode – und sie sind audit-relevant.

Was eine wirksame Tabletop-Übung enthält:

  • Realistisches Szenario: Ransomware-Verschlüsselung, KI-gestütztes Phishing mit Datenpanne, DDoS auf kritische Systeme
  • Beteiligte: IT, Rechtsabteilung, Kommunikation, Geschäftsführung – NIS2 fordert die Einbindung der Unternehmensleitung
  • Meldeketten testen: Die 24h/72h-Meldeprozesse ans BSI und an die Datenschutzbehörde konkret durchspielen
  • Dokumentation: Konkrete Verbesserungsmassnahmen festhalten – das macht die Übung audit-sicher

Praxis-Checkliste: Vorfallreaktionsplan 2026

  1. Meldeketten definieren: Wer meldet innerhalb von 24 Stunden ans BSI? Wer innerhalb von 72 Stunden an die Datenschutzbehörde? Namen, Stellvertreter, Kontaktdaten, Vorlagen.
  2. Playbooks pro Szenario: Mindestens für Ransomware, Datenpanne mit personenbezogenen Daten, Insider-Threat und Supply-Chain-Kompromittierung. Konkrete Schritt-für-Schritt-Anleitungen.
  3. Alarmierung konfigurieren: SIT-Lehre – Logs ohne Alarme sind wertlos. SIEM-Regeln für Login-Anomalien, ungewöhnliche Datenexfiltration, laterale Bewegung.
  4. Tabletop-Übung durchführen: Mindestens einmal jährlich, mit Geschäftsführung. Dokumentation aufbewahren (NIS2-Nachweis).
  5. BSI-Meldeportal einrichten: Zugang zum BSI-Melde- und Informationsportal (MIP) beantragen, Prozess einmal testweise durchspielen.
  6. Externe Partner identifizieren: Forensik-Dienstleister, Rechtsanwalt für IT-Recht, Kommunikationsberater für Krisenkommunikation – Verträge vor dem Ernstfall abschliessen.
  7. Backup-Strategie testen: Nicht nur ob Backups existieren, sondern ob sie im Ernstfall wiederherstellbar sind. SIT hatte Backups – aber der Recovery dauerte vier Monate.

Fazit: Der Plan allein reicht nicht – er muss getestet sein

Ein Vorfallreaktionsplan, der in einer Schublade liegt und einmal jährlich durchgeblättert wird, schützt niemanden. Der SIT-Fall beweist: Die Technik war vorhanden (Logs, Backups), aber die Prozesse fehlten (Alarme, Meldeketten, getestete Playbooks). Unter NIS2 ist das nicht nur fahrlässig, sondern persönlich haftbar.

Erster Schritt: Den bestehenden Notfallplan rausholen und gegen die NIS2-Meldepflichten prüfen. Steht drin, wer innerhalb von 24 Stunden ans BSI meldet? Falls nicht, ist das die wichtigste Ergänzung – sie dauert eine Stunde und kann im Ernstfall Millionen sparen.

Häufige Fragen

Was muss ein Vorfallreaktionsplan unter NIS2 enthalten?

Mindestens: Meldeketten für das BSI (24h Frühwarnung, 72h Detailbericht, 1 Monat Abschluss) und die Datenschutzbehörde (72h DSGVO), Playbooks für die häufigsten Szenarien, Alarmierungs- und Eskalationsregeln, Kommunikationsplan (intern und extern) und einen Nachweis über regelmässige Tests (Tabletop-Übungen). Die Geschäftsleitung muss den Plan kennen und in Übungen eingebunden sein.

Wie oft muss der Vorfallreaktionsplan getestet werden?

NIS2 verlangt regelmässige Überprüfung der Wirksamkeit, ohne eine feste Frequenz vorzuschreiben. Best Practice: Mindestens einmal jährlich eine Tabletop-Übung mit realistischem Szenario. Nach jedem echten Vorfall zusätzlich eine Lessons-Learned-Überprüfung. Die Ergebnisse dokumentieren – sie dienen als Nachweis bei BSI-Prüfungen.

Was passiert, wenn ich die 24-Stunden-Frist ans BSI verpasse?

NIS2 sieht Sanktionen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Zusätzlich haften Geschäftsführer persönlich. Der BSI-Grundsatz „Geschwindigkeit vor Vollständigkeit“ bedeutet: Eine unvollständige Meldung innerhalb der Frist ist besser als eine vollständige danach. Das BSI akzeptiert ausdrücklich vorläufige Meldungen.

Brauche ich ein eigenes CERT/CSIRT?

NIS2 schreibt kein eigenes CERT vor. Aber die Anforderungen an Incident-Response-Fähigkeiten setzen de facto eine CSIRT-ähnliche Struktur voraus. Für KMU ist ein externer Managed-Security-Dienstleister eine Alternative. Wichtig: Der Vertrag muss vor dem Ernstfall stehen, nicht erst wenn die Ransomware bereits verschlüsselt.

Wie unterscheiden sich NIS2-Meldung und DSGVO-Meldung?

NIS2: 24h Frühwarnung + 72h Detailbericht ans BSI – betrifft alle erheblichen Sicherheitsvorfälle. DSGVO Art. 33: 72h Meldung an die zuständige Datenschutzbehörde – nur wenn personenbezogene Daten betroffen sind. Beide können parallel laufen. Ein Ransomware-Angriff mit Datenabfluss löst in der Regel beide Meldepflichten aus. Ohne klaren Prozess fällt eine der beiden Meldungen durch.

Lesetipps der Redaktion

SecurityTodayNIS2-Registrierungspflicht verpasst? Die Praxis-Checkliste nach § 30 BSIGSecurityTodayDas NIS2-Audit: So bereiten sich Unternehmen auf die erste Prüfung vor

Mehr aus dem MBF Media Netzwerk

Quelle Titelbild: Pexels / Tima Miroshnichenko (px:5380642)

Artikel drucken
Benedikt Langer

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor

Lesen Sie weiter

Ein Magazin der Evernine Media GmbH