nisg26.at

NIS2-Meldepflicht: 24 h / 72 h / 1 Monat — der Ablauf bei einem Vorfall

In Kürze: Betroffene Einrichtungen müssen erhebliche Sicherheitsvorfälle in drei Stufen melden: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht binnen 1 Monat. Empfänger ist das zuständige CSIRT (nicht direkt die Behörde). Die Pflicht gilt für wesentliche und wichtige Einrichtungen gleichermaßen. Weil 24 Stunden extrem kurz sind, muss der Meldeprozess vor dem Ernstfall stehen.

Die Meldepflicht ist die Pflicht, die im Krisenmoment zählt — und in der Praxis am häufigsten unvorbereitet trifft. Dieser Beitrag erklärt nach unserer Lesart des NISG 2026 (BGBl. I Nr. 94/2025), was ein meldepflichtiger Vorfall ist, was wann zu melden ist und wie Sie sich vorbereiten.

Was ist ein meldepflichtiger („erheblicher") Vorfall?

Meldepflichtig sind erhebliche Sicherheitsvorfälle. Nach § 35 Abs. 1 NISG gilt ein Vorfall als erheblich, wenn er

  • schwerwiegende Betriebsstörungen oder schwerwiegende finanzielle Verluste verursacht hat oder verursachen kann, oder
  • andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.

Für die Einordnung im Einzelfall nennt § 35 Abs. 2 zusätzliche Kriterien, etwa die Abhängigkeit anderer Sektoren, öffentliche Auswirkungen, den Marktanteil, das betroffene geografische Gebiet sowie die betroffenen Systeme und die Schwere der Störung. Nähere Kriterien können per Verordnung der Cybersicherheitsbehörde festgelegt werden (§ 35 Abs. 3). Weil die Einstufung „erheblich ja/nein" unter Zeitdruck fällt, ist eine dokumentierte Bewertung in der Praxis entscheidend.

Die drei Meldestufen: 24 h, 72 h, 1 Monat

Die Fristen ergeben sich aus § 34 Abs. 2 NISG. Sie laufen ab Kenntnisnahme des Vorfalls:

Stufe Frist Inhalt
Frühwarnung 24 Stunden Erstmeldung: Hinweis auf einen erheblichen Vorfall; insbesondere, ob er auf eine rechtswidrige oder schuldhafte Handlung zurückgehen könnte oder grenzüberschreitende Auswirkungen haben kann
Meldung 72 Stunden Bewertung des Vorfalls inkl. Schweregrad und Auswirkungen, gegebenenfalls Kompromittierungsindikatoren (IOCs)
Abschlussbericht 1 Monat (nach der 72-h-Meldung) Ausführliche Beschreibung: Ursachen, Auswirkungen, ergriffene und geplante Abhilfemaßnahmen, ggf. grenzüberschreitende Auswirkungen

Ergänzend gilt:

  • Auf Ersuchen der zuständigen Stelle kann ein Zwischenbericht zu erstatten sein.
  • Dauert der Vorfall zum Zeitpunkt der Meldung noch an, ist statt des Abschlussberichts zunächst ein Fortschrittsbericht vorzulegen; der Abschlussbericht folgt dann spätestens 1 Monat nach Beendigung der Vorfallsbehandlung.
  • Vertrauensdiensteanbieter melden Vorfälle, die ihre Vertrauensdienste betreffen, abweichend binnen 24 Stunden (statt 72 Stunden).

An wen wird gemeldet?

Empfänger der Meldung ist das zuständige sektorspezifische CSIRT (Computer Security Incident Response Team). Gibt es für Ihren Sektor kein zuständiges CSIRT, geht die Meldung an das nationale CSIRT. Das CSIRT leitet die Meldung unverzüglich an die Cybersicherheitsbehörde weiter (§ 34 Abs. 1). Die Meldung erfolgt also an das CSIRT — nicht direkt an die Cybersicherheitsbehörde.

Das CSIRT antwortet auf eine Frühwarnung grundsätzlich binnen 24 Stunden, etwa mit ersten Hinweisen oder Unterstützung (§ 34 Abs. 4).

Zusätzlich kann eine Informationspflicht gegenüber den Empfängern Ihrer Dienste bestehen: Ist die Erbringung Ihrer Dienste durch den Vorfall beeinträchtigt, sind die betroffenen Empfänger unverzüglich über den Vorfall — und gegebenenfalls über mögliche Abhilfemaßnahmen — zu unterrichten (§ 34 Abs. 3).

Hinweis zur Anlaufstelle: nis.gv.at ist die offizielle Informationsseite der Behörde. Der konkrete elektronische Einreichweg zum CSIRT wird über die dort und von der Cybersicherheitsbehörde bereitgestellten Kanäle bekannt gegeben — halten Sie diese in Ihrem Runbook aktuell.

Was bei verspäteter oder fehlender Meldung droht

Verstöße gegen die Meldepflicht (§ 34 Abs. 1/2) und gegen die Unterrichtung der Diensteempfänger (§ 34 Abs. 3) zählen zu den schweren Pflichtverstößen. Sie fallen unter den Strafrahmen der Stufe 1 (§ 45):

  • wesentliche Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes — der höhere Betrag;
  • wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des weltweiten Vorjahresumsatzes — der höhere Betrag.

Das ist ein anderer, höherer Rahmen als die bloß administrativen Verstöße (z. B. die verspätete Registrierung), die unter Stufe 2 fallen. Eine geordnete Übersicht finden Sie im Beitrag NIS2-Strafen.

Warum Vorbereitung entscheidet

24 Stunden sind im Ernstfall extrem kurz — während Sie noch eindämmen, läuft bereits die Meldefrist. Bereiten Sie deshalb vorab vor:

  • Meldeprozess & Runbook (wer entscheidet, wer meldet, über welchen Kanal an welches CSIRT)
  • Vorlagen für Frühwarnung, 72-h-Meldung und Abschlussbericht
  • Klassifizierungskriterien „erheblich ja/nein" gemäß § 35
  • Kontaktwege zum zuständigen CSIRT und interne Eskalation

Diese Vorbereitung ist Teil der Risikomanagementmaßnahmen (§ 32, Incident Handling) → Maßnahmen-Checkliste.

Die NISG-Plattform unterstützt Sie dabei, jede Meldestufe — Frühwarnung, Meldung, Abschlussbericht — strukturiert zu dokumentieren und als unveränderlichen Snapshot in einem manipulationssicheren Audit-Ledger festzuhalten. So haben Sie den Vorfallverlauf prüffest belegt. Die eigentliche Einreichung beim CSIRT nehmen Sie selbst vor; die Plattform erstellt dafür die Exporte, übermittelt aber nicht in Ihrem Namen.

Erst betroffen? Dann zählt der Meldeprozess

Klären Sie zuerst Ihre Einstufung — daraus leiten sich Melde- und Dokumentationspflichten ab. Betroffene Einrichtungen müssen sich zudem voraussichtlich bis 31.12.2026 registrieren. Jetzt kostenlos prüfen

Häufige Fragen (FAQ)

Welche Fristen gelten bei der NIS2-Meldepflicht? Drei Stufen ab Kenntnisnahme: Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden und Abschlussbericht binnen einem Monat nach der 72-h-Meldung (§ 34 Abs. 2 NISG).

Was muss ich nach 24 Stunden melden? Eine Frühwarnung mit ersten Informationen — insbesondere, ob der Vorfall auf eine rechtswidrige oder schuldhafte Handlung zurückgehen könnte oder grenzüberschreitende Auswirkungen haben kann.

Welche Vorfälle sind meldepflichtig? Nur „erhebliche" Vorfälle nach § 35 — also Vorfälle mit schwerwiegender Betriebsstörung, schwerwiegenden finanziellen Verlusten oder erheblichen materiellen/immateriellen Schäden für andere.

An wen wird ein NIS2-Vorfall gemeldet? An das zuständige sektorspezifische CSIRT (in Ermangelung: das nationale CSIRT). Das CSIRT leitet die Meldung unverzüglich an die Cybersicherheitsbehörde weiter (§ 34 Abs. 1) — nicht Sie selbst direkt an die Behörde.

Gelten für Vertrauensdiensteanbieter andere Fristen? Ja. Für Vorfälle, die ihre Vertrauensdienste betreffen, gilt abweichend eine Meldefrist von 24 Stunden statt 72 Stunden.

Gilt die Meldepflicht auch für wichtige Einrichtungen? Ja, die 24-h-/72-h-/1-Monats-Meldepflicht gilt für wesentliche und wichtige Einrichtungen gleichermaßen.

Stand: Juni 2026. Dieser Beitrag dient der allgemeinen Orientierung und ersetzt keine Rechtsberatung. Eine verbindliche Einstufung trifft allein die zuständige Behörde mit Bescheid. Maßgeblich ist der Gesetzestext (BGBl. I Nr. 94/2025). Quellen: RIS – Bundesrecht (BGBl. I Nr. 94/2025), nis.gv.at, WKO.