Kostenlose NIS2-Vorfallsmeldungs-Vorlagen (2026) — 24h/72h/Final, Word
Published 14. Juli 2026
By Orbiq Team

Kostenlose NIS2-Vorfallsmeldungs-Vorlagen (2026) — 24h/72h/Final, Word

Alle drei NIS2-Artikel-23-Meldestufen als einreichfertige Formulare: 24-Stunden-Frühwarnung, 72-Stunden-Vorfallsmeldung, Abschlussbericht nach einem Monat. Kostenloses DOCX-Paket, ohne E-Mail-Schranke.

NIS2
Vorfallsmeldung
Artikel 23
Vorlagen
Compliance

Vorlage herunterladen

Version 1.0 · Aktualisiert 14. Juli 2026 · Kostenlos, keine E-Mail erforderlich · Downloads auf Deutsch (Fallback: Englisch)

NIS2-Vorfallsmeldungs-Vorlagen: Das kostenlose Artikel-23-Paket

NIS2 Artikel 23 verpflichtet wesentliche und wichtige Einrichtungen, erhebliche Sicherheitsvorfälle in drei zeitlich getakteten Stufen zu melden — eine Frühwarnung innerhalb von 24 Stunden nach Kenntnisnahme, eine Vorfallsmeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats —, jeweils mit Pflichtinhalten nach Artikel 23 Abs. 4 Buchst. a–e der Richtlinie (EU) 2022/2555. Dieses kostenlose Paket liefert jede Stufe als einreichfertiges Word-Formular, plus einen internen Vorfallsregister-Eintrag, der alle Stufen speist — mit den Erheblichkeitskriterien der Durchführungsverordnung (EU) 2024/2690 direkt in den Bewertungsfeldern.

Anbieter verkaufen genau dieses Dokumentenset, und nationale Portale veröffentlichen Anleitungen, aber selten wiederverwendbare Formulare. Dabei ist die Frist, auf die es am meisten ankommt — 24 Stunden ab Kenntnisnahme, nicht ab bestätigter Grundursache —, genau die, die Teams verpassen, weil sie mitten im Vorfall aus einem leeren Blatt entwerfen. Dieses Paket — verfügbar als DOCX-Formulare, PDF-Begleiter und maschinenlesbare Markdown-Datei für KI-Agenten (die herunterladbaren Dateien sind auf Deutsch verfügbar) — ist das operative Gegenstück zu unserem Leitfaden zur 24-Stunden-Frist und wie man sie einhält, der das Fähigkeitsproblem erklärt; diese Seite gibt Ihnen die Artefakte, die die Entwurfshälfte davon lösen.

Die wichtigsten Erkenntnisse

  • Drei getaktete Stufen, eine Uhr: Frühwarnung ≤ 24 Stunden, Vorfallsmeldung ≤ 72 Stunden, Abschlussbericht ≤ 1 Monat nach der Meldung — alle gerechnet ab Kenntnisnahme der Einrichtung (Art. 23 Abs. 4).
  • Die Frühwarnung ist bewusst schlank: nur, ob die Ursache mutmaßlich rechtswidrig oder böswillig ist und ob grenzüberschreitende Auswirkungen möglich sind. Reichen Sie sie schnell ein; Artikel 23 Abs. 5 verpflichtet das CSIRT, innerhalb von 24 Stunden mit Orientierungshilfe zu antworten.
  • „Erheblich" ist für digitale Einrichtungen inzwischen quantitativ: Seit dem 7. November 2024 setzt die Durchführungsverordnung (EU) 2024/2690 konkrete Auslöser — 500.000 Euro oder 5 % des Umsatzes an direktem Verlust (je nachdem, welcher Wert niedriger ist), Exfiltration von Geschäftsgeheimnissen, wiederkehrende Vorfälle mit derselben Grundursache und dienstspezifische Ausfallschwellen.
  • Der Abschlussbericht hat vier Pflichtelemente — ausführliche Beschreibung mit Schweregrad und Auswirkungen, Bedrohungsart oder Grundursache, getroffene und laufende Abhilfemaßnahmen sowie grenzüberschreitende Auswirkungen — und bei andauerndem Vorfall tritt an seine Stelle zunächst ein Fortschrittsbericht.
  • Dieselben Formulare bedienen das deutsche BSI-Portalregime (NIS2UmsuCG, in Kraft seit dem 6. Dezember 2025), Norwegens digitalsikkerhetsloven-Leiter und — nach Inkrafttreten — das geplante britische 24h/72h-Regime, weil alle drei derselben Stufenstruktur folgen.

Was im Paket steckt

Das DOCX enthält fünf Formulare. Formular 0 ist der interne Vorfallsregister-Eintrag, den Sie bei Erkennung ausfüllen — Zeitstempel der Kenntnisnahme (er startet jede Uhr), Einstufung der Einrichtung, Erheblichkeitsbewertung gegen Artikel 23 Abs. 3 oder die 2024/2690-Kriterien und ein Meldeprotokoll für behördliche Aktenzeichen. Formulare 1–4 sind die Einreichungen selbst: Frühwarnung, Vorfallsmeldung, Zwischen-/Fortschrittsbericht und Abschlussbericht, jeweils mit dem Artikel-23-Abs.-4-Anker auf dem Formular und Hinweistexten in jedem Feld. Das PDF spiegelt das Paket für Druck und Tabletop-Übungen; die Markdown-Variante trägt die vollständige Feldstruktur mit Enums, sodass ein KI-Agent jede Stufe aus Ihren Vorfallsdaten entwerfen kann.

FormularFristRechtsankerPflichtinhalt
1 — Frühwarnung≤ 24 h ab KenntnisnahmeArt. 23 Abs. 4 Buchst. aVerdacht auf rechtswidrige/böswillige Ursache; mögliche grenzüberschreitende Auswirkungen
2 — Vorfallsmeldung≤ 72 h ab KenntnisnahmeArt. 23 Abs. 4 Buchst. bAktualisierung der Frühwarnung; erste Bewertung von Schweregrad und Auswirkungen; Kompromittierungsindikatoren, soweit verfügbar
3 — Zwischen-/FortschrittsberichtAuf Behördenanfrage; oder nach einem Monat bei andauerndem VorfallArt. 23 Abs. 4 Buchst. c, eRelevante Statusaktualisierungen; erwarteter Zeitplan
4 — Abschlussbericht≤ 1 Monat nach der VorfallsmeldungArt. 23 Abs. 4 Buchst. dAusführliche Beschreibung mit Schweregrad und Auswirkungen; Bedrohungsart oder Grundursache; getroffene und laufende Abhilfemaßnahmen; grenzüberschreitende Auswirkungen

So nutzen Sie das Paket

Schritt 1 — Formular 0 jetzt in Ihren Incident-Prozess verdrahten, nicht erst während eines Vorfalls. Der Registereintrag erfasst den Kenntnisnahme-Zeitstempel, der die 24-Stunden-Uhr startet, benennt Incident Commander und meldende Person und hält die Erheblichkeitsbewertung fest. Teams, die vor einem Vorfall entscheiden, wer meldet und über welchen Portalzugang, sind die, die die Frist halten; unser Leitfaden zu Incident-Response-Plan versus Incident-Management-System erklärt, warum der Plan allein noch keine Fähigkeit ist.

Schritt 2 — Die Erheblichkeit gegen den richtigen Maßstab prüfen. Beginnen Sie mit den beiden Tatbeständen des Artikels 23 Abs. 3. Sind Sie DNS-, TLD-, Cloud-, Rechenzentrums-, CDN-, Managed-(Security-)Service-Anbieter, Online-Marktplatz, Suchmaschine, soziales Netzwerk oder Vertrauensdiensteanbieter, wenden Sie die quantitativen Kriterien der Durchführungsverordnung (EU) 2024/2690 an — jeder einzelne Artikel-3-Auslöser genügt, und wiederkehrende Vorfälle mit derselben mutmaßlichen Grundursache werden über sechs Monate aggregiert. Im Zweifel: Artikel 30 erlaubt die freiwillige Meldung von Vorfällen unterhalb der Schwelle.

Schritt 3 — Die Frühwarnung innerhalb von 24 Stunden einreichen, schlank. Zwei Pflichtangaben, ein Kontaktblock, eine Beschreibung in zwei Sätzen. Warten Sie nicht auf die Forensik: Die erste Bewertung von Schweregrad und Auswirkungen gehört in die Meldung nach 72 Stunden, und die Antwort des CSIRT nach Artikel 23 Abs. 5 auf Ihre Frühwarnung kann sie prägen.

Schritt 4 — Die Empfänger Ihrer Dienste im Blick behalten. Artikel 23 verlangt, die von erheblichen Vorfällen beeinträchtigten Dienstempfänger zu benachrichtigen und ihnen bei erheblichen Cyberbedrohungen mögliche Gegenmaßnahmen mitzuteilen — und Behörden können die Unterrichtung der Öffentlichkeit anordnen. Formular 2 führt ein Feld zur Empfängerkommunikation, damit dies entschieden statt vergessen wird; ein Trust Center gibt diesen Mitteilungen ein dauerhaftes, verlinkbares Zuhause.

Schritt 5 — Mit dem Abschlussbericht schließen und die Lehren zurückspielen. Die vier Elemente nach Artikel 23 Abs. 4 Buchst. d sind Pflicht; das Paket ergänzt einen Lessons-Learned-Block, der die Erkenntnisse in Ihre Artikel-21-Risikomanagementmaßnahmen zurückführt — genau die Lieferketten- und Meldepflichten, die NIS2-Audits tatsächlich prüfen.

Rechtsgrundlage

Die Formulare sind auf Richtlinie (EU) 2022/2555, Artikel 23 gemappt: der Erheblichkeitstest in Artikel 23 Abs. 3, die gestuften Berichte und ihre Inhalte in Artikel 23 Abs. 4 Buchst. a–e, die 24-Stunden-Antwortpflicht des CSIRT in Artikel 23 Abs. 5 und die Empfängerbenachrichtigung in Artikel 23 Abs. 1–2. Die Felder zur Erheblichkeitsbewertung integrieren die Durchführungsverordnung (EU) 2024/2690 der Kommission, die seit dem 7. November 2024 unmittelbar für DNS-, TLD-, Cloud-, Rechenzentrums-, CDN-, Managed-(Security-)Service-, Marktplatz-, Such-, Social-Network- und Vertrauensdienste-Einrichtungen gilt — ihre einrichtungsübergreifenden Artikel-3-Auslöser und die dienstspezifischen Schwellen der Artikel 4–14 übersetzen „schwerwiegende Betriebsstörung" in Zahlen. Die freiwillige Meldung von Vorfällen unterhalb der Schwelle stützt sich auf Artikel 30 der Richtlinie. Nationale Umsetzungsgesetze können Felder ergänzen und Sektorfristen verkürzen — ein Grund, das interne Register eher über- als unterzustrukturieren.

Über die EU hinaus: UK und Norwegen

In UK schlägt die Cyber Security and Resilience Bill — im Parlament, mit Royal Assent voraussichtlich Ende 2026 — vor, die bisherige einstufige 72-Stunden-NIS-Meldung durch eine NIS2-artige zweistufige Pflicht zu ersetzen: eine Erstmeldung innerhalb von 24 Stunden nach Kenntnisnahme und ein vollständiger Bericht innerhalb von 72 Stunden, eingereicht beim Regulierer und parallel an das NCSC. In Norwegen ist das digitalsikkerhetsloven seit dem 1. Oktober 2025 in Kraft und fährt bereits dieselbe Leiter — Meldung an NSM und Sektorbehörde innerhalb von 24 Stunden, Aktualisierung innerhalb von 72 Stunden und Vorfallsbericht innerhalb eines Monats —, während NIS2 selbst auf die Übernahme in das EWR-Abkommen wartet und ein umfassenderes Nachfolgegesetz erwartet wird. Eine Gruppe, die in EU, UK und Norwegen tätig ist, kann also ein internes Register und einen Formularsatz für alle drei Regime betreiben; nur das Zielportal wechselt.

Vom Melden unter Druck zur nachweisbaren Bereitschaft

Rechtzeitig zu melden beweist, dass der Vorfall bewältigt wurde; was Aufsichtsbehörden zunehmend als Nächstes fragen, ist, ob er vorbereitet war — getestete Response-Pläne, Benachrichtigungs-SLAs mit Lieferanten, Nachweise, dass die Artikel-21-Maßnahmen schon vor dem Vorfall existierten. Orbiqs kontinuierliches Monitoring hält diese Nachweisebene aktuell — Kontrollen, Lieferantenzusicherungen, Incident-Readiness-Artefakte — und veröffentlicht die käuferseitige Seite in Ihrem Trust Center, sodass dieselbe Vorbereitung, die den Regulierer zufriedenstellt, auch dem Kunden antwortet, der fragt: „Wart ihr betroffen?" Wenn Sie Ihre Pflichten noch kartieren, beginnen Sie mit unserem Leitfaden zur NIS2-Richtlinie; wenn Ihre Lieferanten das Risiko sind, kombinieren Sie dieses Paket mit der NIS2-Lieferanten-Nachweis-Checkliste.


Quellen & Referenzen

  1. Richtlinie (EU) 2022/2555 (NIS2) — Volltext — Artikel 23 Abs. 1–5, Artikel 30.
  2. Durchführungsverordnung (EU) 2024/2690 der Kommission — Erheblichkeitskriterien für Einrichtungen der digitalen Infrastruktur und IKT-Dienste; anwendbar seit dem 7. November 2024.
  3. UK Government — Cyber Security and Resilience Bill: Incident-Reporting-Factsheet — die vorgeschlagene Struktur aus 24-Stunden-Erstmeldung und 72-Stunden-Vollbericht.
  4. Lov om digital sikkerhet (digitalsikkerhetsloven) — Norwegens Rahmen, in Kraft seit dem 1. Oktober 2025.
  5. ENISA — Technical Implementation Guidance on Cybersecurity Risk Management Measures — Juni 2025; Erwartungen an Incident-Handling und Meldewesen.
  6. Mayer Brown — Cyber rules for essential and important entities take effect in Germany — NIS2UmsuCG in Kraft seit dem 6. Dezember 2025; Meldungen an das BSI.

Weiterführende Lektüre

Vorlage herunterladen

Version 1.0 · Aktualisiert 14. Juli 2026 · Kostenlos, keine E-Mail erforderlich · Downloads auf Deutsch (Fallback: Englisch)

Häufig gestellte Fragen

Welche Meldefristen gelten bei NIS2-Vorfällen?

NIS2 Artikel 23 Abs. 4 setzt eine dreistufige Leiter, jeweils gerechnet ab dem Zeitpunkt, zu dem die Einrichtung Kenntnis von einem erheblichen Sicherheitsvorfall erlangt: eine Frühwarnung innerhalb von 24 Stunden, eine Vorfallsmeldung innerhalb von 72 Stunden (24 Stunden für Vertrauensdiensteanbieter nach manchen nationalen Gesetzen) und ein Abschlussbericht spätestens einen Monat nach der Vorfallsmeldung. Ein CSIRT oder die zuständige Behörde kann zusätzlich Zwischenberichte anfordern, und dauert der Vorfall zum Monatsende noch an, wird ein Fortschrittsbericht eingereicht und der Abschlussbericht folgt innerhalb eines Monats nach Abschluss der Bewältigung.

Was muss die 24-Stunden-Frühwarnung enthalten?

Bewusst wenig. Artikel 23 Abs. 4 Buchst. a verlangt nur die Angabe, ob der erhebliche Sicherheitsvorfall mutmaßlich auf rechtswidrige oder böswillige Handlungen zurückgeht und ob er grenzüberschreitende Auswirkungen haben könnte. Die Frühwarnung existiert, damit Behörden schnell Lagebewusstsein gewinnen — und Artikel 23 Abs. 5 verpflichtet das CSIRT, innerhalb von 24 Stunden mit Orientierungshilfe und auf Ersuchen mit technischer Unterstützung zu antworten.

Wann ist ein Vorfall unter NIS2 'erheblich'?

Artikel 23 Abs. 3: Der Vorfall hat schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die Einrichtung verursacht oder kann sie verursachen, oder er hat andere Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt oder kann sie beeinträchtigen. Für Einrichtungen der digitalen Infrastruktur und IKT-Dienste macht die Durchführungsverordnung (EU) 2024/2690 dies quantitativ — zum Beispiel ein direkter finanzieller Verlust über 500.000 Euro oder 5 % des Jahresumsatzes (je nachdem, welcher Wert niedriger ist) oder eine DNS-Auflösung, die länger als 30 Minuten nicht verfügbar ist.

Was muss der Abschlussbericht nach einem Monat enthalten?

Artikel 23 Abs. 4 Buchst. d schreibt vier Elemente vor: eine ausführliche Beschreibung des Vorfalls einschließlich Schweregrad und Auswirkungen; die Art der Bedrohung oder die Grundursache, die den Vorfall wahrscheinlich ausgelöst hat; getroffene und laufende Abhilfemaßnahmen; und gegebenenfalls die grenzüberschreitenden Auswirkungen. Dauert der Vorfall bei Fälligkeit des Abschlussberichts noch an, wird stattdessen ein Fortschrittsbericht eingereicht; der Abschlussbericht ist dann innerhalb eines Monats nach Bewältigung des Vorfalls fällig.

Wo reiche ich NIS2-Vorfallsmeldungen konkret ein?

Über den Kanal Ihres nationalen CSIRT oder Ihrer zuständigen Behörde. In Deutschland melden Einrichtungen über das Meldeportal des BSI nach dem NIS2UmsuCG, in Kraft seit dem 6. Dezember 2025. In Norwegen leitet das digitalsikkerhetsloven (in Kraft seit dem 1. Oktober 2025) Meldungen an die NSM und die Sektorbehörde auf derselben 24-Stunden/72-Stunden/Ein-Monats-Leiter. Andere Mitgliedstaaten betreiben eigene Portale — die Formulare dieses Pakets strukturieren die Inhalte so, dass die Einreichung zur Abschrift wird statt zum Entwurf.

Haben britische Unternehmen gleichwertige Meldepflichten?

Sie kommen. Die britische Cyber Security and Resilience Bill — im Parlament, mit Royal Assent voraussichtlich Ende 2026 — sieht ein zweistufiges Regime vor, das eng an NIS2 angelehnt ist: eine Erstmeldung innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls und ein vollständiger Bericht innerhalb von 72 Stunden, eingereicht beim Regulierer und parallel an das NCSC. Gruppen, die in der EU und in UK tätig sind, können dasselbe interne Register und dieselben Formulare für beide Regime wiederverwenden.