- Bedeutung
- Abschlussmeldung nach einem Vorfall
- Frist
- Binnen eines Monats
- Inhalt
- Ursache, Auswirkungen, ergriffene Maßnahmen
- Stufe
- Dritte und letzte Meldestufe
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist der Abschlussbericht?
Der Abschlussbericht (Final Report) ist die dritte und letzte Meldestufe der NIS2-Meldepflicht. Während Frühwarnung und Vorfallsmeldung unter hohem Zeitdruck ein erstes Lagebild liefern, fasst der Abschlussbericht nach Aufarbeitung des Vorfalls zusammen, was tatsächlich passiert ist, welche Auswirkungen entstanden und mit welchen Maßnahmen reagiert wurde. Er ist damit die verbindliche Schlussdokumentation gegenüber der zuständigen Behörde.
Was hineingehört
- Detaillierte Beschreibung des Vorfalls und seiner Ursache (Root Cause)
- Art und Ausmaß der Auswirkungen – etwa betroffene Dienste, Datenmengen und Nutzerzahl
- Ergriffene und geplante Gegenmaßnahmen, einschließlich Maßnahmen zur künftigen Vermeidung
- Soweit relevant: grenzüberschreitende Auswirkungen auf andere Mitgliedstaaten
Einordnung in die Meldekette
Er folgt auf Frühwarnung (24 Std.) und Vorfallsmeldung (72 Std.) und ist binnen eines Monats nach der Vorfallsmeldung über das BSI-Portal einzureichen. Dauert ein erheblicher Vorfall über diesen Monat hinaus an, ist zunächst ein Zwischenbericht über den Bearbeitungsstand fällig; der Abschlussbericht folgt, sobald der Vorfall vollständig bearbeitet ist.
In der Praxis
Nach einem Ransomware-Angriff hat ein Klinikbetreiber drei Wochen für forensische Analyse und Wiederherstellung gebraucht. Im Abschlussbericht legt er offen, dass der Erstzugang über eine nicht gepatchte VPN-Schwachstelle erfolgte, dass die Notfall-Versorgung 14 Stunden eingeschränkt war und dass künftig Multi-Faktor-Authentisierung sowie ein verschärftes Patch-Management eingeführt werden. Damit erfüllt er nicht nur die Frist, sondern liefert der Behörde verwertbare Erkenntnisse für andere Einrichtungen.
Mehr als Pflichterfüllung
Ein guter Abschlussbericht ist auch intern wertvoll: Die dokumentierten Lehren fließen in die Verbesserung von Controls und Incident Response ein und stärken die Nachweisfähigkeit gegenüber Aufsicht und Leitungsebene – gerade angesichts möglicher Bußgelder von bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes.
Weiterführende Quelle: NIS2-Richtlinie (EU) 2022/2555, Abschlussbericht nach Art. 23 Abs. 4
Häufige Fragen
Was ist der Abschlussbericht bei NIS2?
Der Abschlussbericht ist die dritte und letzte Stufe der dreistufigen NIS2-Meldepflicht für erhebliche Sicherheitsvorfälle. Er dokumentiert nach abgeschlossener Aufarbeitung eines Vorfalls dessen Ursache (Root Cause), Art und Ausmaß der Auswirkungen sowie die ergriffenen und geplanten Gegenmaßnahmen. Damit ist der Abschlussbericht die verbindliche Schlussdokumentation gegenüber der zuständigen Behörde und liefert dieser verwertbare Erkenntnisse zum Vorfall, die auch anderen Einrichtungen zugutekommen können.
Welche Frist gilt für den Abschlussbericht?
Der Abschlussbericht ist spätestens einen Monat nach der Vorfallsmeldung über das BSI-Portal einzureichen. Er bildet die letzte Stufe der NIS2-Meldekette, die mit der Frühwarnung binnen 24 Stunden beginnt, mit der Vorfallsmeldung binnen 72 Stunden fortgeführt wird und nach einem Monat mit dem Abschlussbericht endet. Die NIS2-Richtlinie gilt in Deutschland seit dem 6. Dezember 2025; diese Meldefristen sind seitdem verbindlich einzuhalten.
Was gilt, wenn der Vorfall länger als einen Monat andauert?
Dauert ein erheblicher Sicherheitsvorfall über den Monat nach der Vorfallsmeldung hinaus an, ist anstelle des Abschlussberichts zunächst ein Zwischenbericht über den aktuellen Stand der Bearbeitung einzureichen. Der eigentliche Abschlussbericht folgt dann erst, sobald der Vorfall vollständig und abschließend bearbeitet ist. So bleibt die zuständige Behörde während der gesamten Bearbeitungsdauer über den Fortschritt informiert, ohne dass die starre Monatsfrist eine verfrühte Schlussmeldung erzwingt.