- Bedeutung
- Zweite Meldestufe (Vorfallsmeldung)
- Frist
- Binnen 72 Stunden
- Inhalt
- Erste Bewertung von Schwere und Auswirkungen
- Stufe
- Mittlere von drei
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist die Vorfallsmeldung?
Die Incident Notification (Vorfallsmeldung) folgt auf die Frühwarnung und ist die zweite Stufe der NIS2-Meldepflicht. Innerhalb von 72 Stunden liefert sie der Behörde eine erste belastbare Einschätzung zu Schwere, Auswirkungen und möglichen Ursachen. Wo die Frühwarnung nur signalisiert, dass etwas Erhebliches passiert ist, beantwortet die Vorfallsmeldung erstmals die Frage, was genau passiert ist und wie schwer es wiegt.
Was enthalten ist
- Erste Bewertung des Vorfalls (Schwere, Reichweite, Auswirkungen auf Dienste und Nutzer)
- Soweit bekannt: Ursache und Art des Angriffs sowie betroffene Systeme
- Bereits ergriffene Sofortmaßnahmen zur Eindämmung
- Hinweise auf mögliche grenzüberschreitende Auswirkungen
Teil der Meldekette
Sie ist die mittlere von drei Stufen der Meldepflicht: Frühwarnung (24 Std.) → Vorfallsmeldung (72 Std.) → Abschlussbericht (1 Monat). Ausgelöst wird die gesamte Kette nur durch einen erheblichen Vorfall; in Deutschland läuft die Einreichung über das BSI-Portal.
In der Praxis
Ein Zahlungsdienstleister hatte am Montag die Frühwarnung zu einem DDoS-Angriff abgesetzt. Bis Donnerstag, also innerhalb der 72-Stunden-Frist, reicht das Team die Vorfallsmeldung nach: Der Angriff legte die Zahlungs-API rund sechs Stunden lahm, betraf schätzungsweise mehrere Tausend Transaktionen, der Ursprung wird einem Botnetz zugeordnet, und als Sofortmaßnahme wurde ein Scrubbing-Dienst aktiviert. Diese Angaben versetzen die Behörde in die Lage, andere Marktteilnehmer zu warnen.
Warum die 72-Stunden-Frist
Sie gibt der Behörde belastbare Informationen, um selbst zu reagieren und gegebenenfalls andere Einrichtungen zu warnen. Ohne vorbereitete Prozesse ist diese Frist schwer einzuhalten – ein Incident Response Plan mit klaren Rollen und Vorlagen hilft, Versäumnisse und damit Bußgelder von bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes zu vermeiden.
Weiterführende Quelle: NIS2-Richtlinie (EU) 2022/2555, Vorfallsmeldung nach Art. 23 Abs. 4
Häufige Fragen
Was ist eine Incident Notification?
Die Incident Notification (Vorfallsmeldung) ist die zweite der drei NIS2-Meldestufen und folgt auf die Frühwarnung. Sie liefert der zuständigen Behörde binnen 72 Stunden nach Kenntnis eines erheblichen Vorfalls eine erste belastbare Bewertung von Schwere, Auswirkungen und – soweit bekannt – Ursache des Vorfalls. In Deutschland erfolgt die Einreichung über das BSI-Portal. Die NIS2-Pflichten gelten seit dem 6. Dezember 2025.
Welche Frist gilt für die Incident Notification?
Die Incident Notification (Vorfallsmeldung) ist binnen 72 Stunden nach Kenntnis des erheblichen Vorfalls über das BSI-Portal einzureichen. Das sind 48 Stunden nach Ablauf der 24-Stunden-Frist für die Frühwarnung. Die dritte Stufe, der Abschlussbericht, folgt spätestens einen Monat später. Versäumte Meldungen können bei wesentlichen Einrichtungen Bußgelder bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes auslösen.
Was muss die Incident Notification enthalten?
Die Incident Notification (Vorfallsmeldung) enthält eine erste Bewertung von Schwere und Auswirkungen auf Dienste und Nutzer, soweit bekannt die Ursache und Art des Angriffs sowie die bereits ergriffenen Sofortmaßnahmen zur Eindämmung. Auch Hinweise auf mögliche grenzüberschreitende Auswirkungen gehören dazu. Damit ist sie deutlich detaillierter als die vorausgehende Frühwarnung, die binnen 24 Stunden nur den Verdacht signalisiert.