- Bedeutung
- Sicherheitsvorfall
- Folge
- Beeinträchtigung von Daten, Systemen oder Diensten
- Wichtig
- Nur erhebliche Vorfälle sind meldepflichtig
- Verwandt
- Incident Response, Meldepflicht
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist ein Incident?
Ein Incident (Sicherheitsvorfall) ist jedes Ereignis, das die Verfügbarkeit, Vertraulichkeit, Integrität oder Authentizität von Daten, Systemen oder Diensten tatsächlich beeinträchtigt. Das Spektrum reicht von der Malware-Infektion über ein Datenleck und Ransomware bis zum kompletten Systemausfall. Anders als ein bloßer Verdacht oder eine technische Warnung ist ein Incident ein Ereignis mit nachweisbarer Wirkung – er hat einen Schutzwert verletzt oder den Betrieb gestört. Diese Definition ist die Grundlage dafür, ob und wie schnell ein Unternehmen reagieren und melden muss.
Incident, Event und Near Miss abgrenzen
Nicht jedes Ereignis ist ein Vorfall. Ein harmloses „Event" – etwa ein einzelner fehlgeschlagener Login – wird erst zum Incident, wenn die Sicherheit tatsächlich beeinträchtigt ist. Ein Near Miss ist ein Beinahe-Vorfall, bei dem der Schaden ausgeblieben ist. Diese saubere Unterscheidung ist wichtig, weil sie steuert, welche Ressourcen mobilisiert werden und ob Meldepflichten greifen. Wer jeden Event als Vorfall behandelt, überlastet das Team; wer echte Incidents verharmlost, riskiert verpasste Fristen.
Vom Incident zur Reaktion
Der strukturierte Umgang mit Vorfällen heißt Incident Response bzw. Incident Handling – von der Erkennung über Eindämmung und Beseitigung bis zur Wiederherstellung. Je klarer ein Ereignis als Incident eingestuft ist, desto schneller laufen diese Prozesse an. Erkannt werden Vorfälle oft anhand technischer Spuren, sogenannter Indicators of Compromise.
Incident und Meldepflicht unter NIS2
Ist ein Vorfall „erheblich", löst er unter NIS2 (in Kraft seit 06.12.2025) die Meldepflicht aus: Erstmeldung binnen 24 Stunden, Folgemeldung nach 72 Stunden, Abschlussbericht nach einem Monat. Kleinere Vorfälle sollten dennoch intern dokumentiert werden, denn sie sind oft Vorboten größerer Probleme. Ein typischer Fall: Verschlüsselt ein Ransomware-Angriff die Produktionsdatenbank eines Energieversorgers und legt den Betrieb still, ist das ein erheblicher Incident – die 24-Stunden-Erstmeldung an die zuständige Stelle läuft sofort an, parallel zur technischen Eindämmung.
Weiterführende Quelle: NIS2-Richtlinie (EU) 2022/2555 im Volltext (EUR-Lex)
Häufige Fragen
Was ist ein Incident?
Ein Incident ist ein Sicherheitsvorfall, der die Verfügbarkeit, Vertraulichkeit, Integrität oder Authentizität von Daten, Systemen oder Diensten tatsächlich beeinträchtigt, etwa durch Malware, ein Datenleck, Ransomware oder einen kompletten Systemausfall. Anders als ein bloßer Verdacht oder eine technische Warnung ist ein Incident ein Ereignis mit nachweisbarer Wirkung: Er hat einen Schutzwert verletzt oder den Betrieb gestört. Diese Definition entscheidet darüber, ob und wie schnell ein Unternehmen reagieren und melden muss.
Muss jeder Incident gemeldet werden?
Nein, nicht jeder Incident ist meldepflichtig. Nur erhebliche Vorfälle lösen unter der seit dem 06.12.2025 geltenden NIS2-Richtlinie die Meldepflicht aus. Für einen erheblichen Vorfall gilt die gestufte Meldekette: Erstmeldung binnen 24 Stunden, Folgemeldung nach 72 Stunden und Abschlussbericht nach einem Monat. Kleinere Vorfälle sollten dennoch intern dokumentiert werden, da sie oft Vorboten größerer Probleme sind und für spätere Auswertungen wichtig bleiben.
Was ist der Unterschied zu einem Near Miss?
Ein Near Miss ist ein Beinahe-Vorfall, bei dem der Schaden gerade noch ausgeblieben ist, während ein Incident die Sicherheit tatsächlich beeinträchtigt hat. Beim Near Miss wurde ein Angriff oder Fehler rechtzeitig erkannt oder abgewehrt, sodass kein Schutzwert verletzt wurde. Beide sind dennoch wichtig: Near Misses liefern wertvolle Hinweise auf Schwachstellen, bevor daraus ein echter Incident mit möglicher Meldepflicht unter NIS2 wird, und sollten deshalb ebenfalls dokumentiert werden.