- Bedeutung
- Vorfallsplan für den Ernstfall
- Inhalt
- Rollen, Abläufe, Eskalation, Kommunikation
- Nutzen
- Handlungsfähigkeit unter Stress
- Verwandt
- Incident Response, BCP
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist ein Incident Response Plan?
Der Incident Response Plan (IRP) ist das schriftliche Dokument, das vorab festlegt, wer im Ernstfall was tut: Wer entscheidet, wer kommuniziert, wann eskaliert und wann an die Behörde gemeldet wird. Er ist das zentrale Werkzeug, das die abstrakte Fähigkeit Incident Response in konkrete, abrufbare Handlungsanweisungen übersetzt. So bleibt im Stress eines Vorfalls Handlungsfähigkeit erhalten, weil niemand erst überlegen muss, wer zuständig ist oder welche Frist gilt.
Was hineingehört
- Rollen und Verantwortliche inklusive namentlicher Vertretung und Erreichbarkeiten
- Erkennungs-, Klassifizierungs- und Eskalationswege je nach Schweregrad
- Kommunikationsplan (intern, zuständige Behörde, ggf. Kunden und Öffentlichkeit)
- Konkrete Bezugnahme auf die NIS2-Meldefristen (24 Std. / 72 Std. / 1 Monat)
- Checklisten für Eindämmung, Beweissicherung und Wiederherstellung
Üben, nicht nur schreiben
Ein Plan in der Schublade hilft wenig. Erst regelmäßige Übungen wie Tabletop-Szenarien zeigen Lücken auf, machen das Team handlungssicher und prüfen, ob Kontaktdaten und Annahmen noch stimmen. Nach jedem realen Vorfall und jeder Übung wird der IRP überarbeitet – er ist ein lebendes Dokument, kein einmaliges Pflichtprodukt. Eng verzahnt ist er mit dem Business Continuity Plan, der die Aufrechterhaltung des Geschäftsbetriebs regelt.
IRP und NIS2
Im Ernstfall zählt jede Minute – auch wegen der Meldefristen. Ein eingeübter IRP sorgt dafür, dass die Incident Response schnell und geordnet abläuft und die Fristen gegenüber der zuständigen Stelle eingehalten werden; bei wesentlichen Einrichtungen drohen sonst Bußgelder bis 10 Mio. EUR oder 2 % des Umsatzes. Konkret: Als bei einem Klinikbetreiber nachts die Patientenakten unerreichbar werden, greift das Team direkt zur IRP-Checkliste: Die dort hinterlegte Rufkette aktiviert Geschäftsführung und IT-Leitung, die vorformulierte Meldevorlage beschleunigt die 24-Stunden-Erstmeldung, und die Eskalationsmatrix klärt sofort, wer die Entscheidung über die Abschaltung trifft.
Weiterführende Quelle: ISO 22301 – Business Continuity Management Systems (ISO)
Häufige Fragen
Was ist ein Incident Response Plan?
Ein Incident Response Plan (IRP) ist das schriftliche Vorfallsdokument, das vorab festlegt, wer im Ernstfall was tut: Rollen und Verantwortliche, Eskalations- und Kommunikationswege sowie konkrete Abläufe und Entscheidungen. Er enthält außerdem den Bezug zu den NIS2-Meldefristen von 24 Stunden, 72 Stunden und einem Monat und übersetzt die abstrakte Fähigkeit Incident Response in abrufbare Handlungsanweisungen.
Warum braucht man einen Incident Response Plan?
Ein Incident Response Plan (IRP) sorgt im Stress eines Sicherheitsvorfalls für geordnetes, schnelles Handeln, weil niemand erst überlegen muss, wer zuständig ist oder welche Frist gilt. So werden die NIS2-Meldefristen gegenüber der zuständigen Stelle eingehalten. Bei wesentlichen Einrichtungen drohen sonst Bußgelder bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Mio. Euro oder 1,4 Prozent.
Wie hält man einen Incident Response Plan wirksam?
Ein Incident Response Plan (IRP) bleibt nur durch regelmäßige Übungen wie Tabletop-Szenarien wirksam, die Lücken aufdecken, Kontaktdaten und Annahmen prüfen und das Team einspielen. Hinzu kommt die laufende Aktualisierung nach jedem realen Vorfall, bei Personalwechsel und bei Änderungen an Systemen oder Zuständigkeiten. Der IRP ist damit ein lebendes Dokument und kein einmaliges Pflichtprodukt in der Schublade.