---
name: "NIS2-Vorlagen für Vorfallsmeldungen — Paket zu Artikel 23"
version: "1.0"
updated: "2026-07-14"
source: "https://www.orbiqhq.com/templates/nis2-incident-reporting-pack"
license: "Kostenlose Nutzung; Namensnennung willkommen"
legal_basis:
  - "https://eur-lex.europa.eu/eli/dir/2022/2555/oj"
  - "https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj"
---

# NIS2-Vorlagen für Vorfallsmeldungen — Paket zu Artikel 23

Alle Stufen der NIS2-Meldung erheblicher Sicherheitsvorfälle als strukturierte
Formulare: die Frühwarnung binnen 24 Stunden, die Vorfallsmeldung binnen
72 Stunden, der Zwischen- bzw. Fortschrittsbericht und der Abschlussbericht binnen
eines Monats, abgebildet auf Artikel 23(4)(a)–(e) der Richtlinie (EU) 2022/2555.
Ein KI-Agent oder eine Einsatzleitung kann die vollständige Meldesequenz allein
anhand dieser Datei durchlaufen: (1) bei Kenntniserlangung einen Registereintrag
anlegen, (2) die Frühwarnung binnen 24 Stunden einreichen, (3) die Vorfallsmeldung
binnen 72 Stunden einreichen, (4) behördliche Anforderungen mit Zwischenberichten
beantworten, (5) den Abschlussbericht binnen eines Monats einreichen — oder einen
Fortschrittsbericht, falls der Vorfall noch andauert.

## 1. Auslöseprüfung — ist der Vorfall „erheblich"?

Artikel 23(3): Zu melden ist, wenn der Vorfall (a) schwerwiegende
Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende
Einrichtung verursacht hat oder verursachen kann oder (b) andere natürliche oder
juristische Personen durch erhebliche materielle oder immaterielle Schäden
beeinträchtigt hat oder beeinträchtigen kann.

Für DNS-Diensteanbieter, TLD-Registries, Cloud-, Rechenzentrums- und
CDN-Anbieter, Anbieter verwalteter Dienste und verwalteter Sicherheitsdienste,
Online-Marktplätze, Suchmaschinen, soziale Netzwerke und Vertrauensdiensteanbieter
ergänzt die Durchführungsverordnung (EU) 2024/2690 der Kommission (anwendbar seit
dem 7. November 2024) quantitative Kriterien. Übergreifende Auslöser nach
Artikel 3 (bereits EINER genügt):

- `financial-loss` — direkter finanzieller Verlust von mehr als 500.000 EUR oder
  mehr als 5 % des Jahresumsatzes des Vorjahres, je nachdem, welcher Wert
  niedriger ist
- `trade-secret-exfiltration`
- `death-of-natural-person`
- `considerable-damage-to-health`
- `malicious-unauthorised-access`, der schwerwiegende Betriebsstörungen
  verursachen kann
- `recurring` — mindestens 2 Vorfälle mit derselben offensichtlichen Grundursache
  innerhalb von 6 Monaten, die zusammengenommen die Schwelle des finanziellen
  Verlusts überschreiten

Hinzu kommen dienstspezifische Schwellenwerte in den Artikeln 4–14 (z. B.
DNS-Auflösung länger als 30 Minuten nicht verfügbar; durchschnittliche
DNS-Antwortzeit über 10 Sekunden für mehr als 1 Stunde; Integrität für mehr als
1.000 Domains oder 1 % des Portfolios verletzt).

## 2. Die Meldekaskade (Fristen ab Kenntniserlangung)

| Stufe | Frist | Anker | Pflichtinhalte |
|---|---|---|---|
| `early-warning` | ≤ 24 h | Art. 23(4)(a) | Verdacht auf rechtswidrige/böswillige Ursache (`yes\|no\|unknown`); mögliche grenzüberschreitende Auswirkungen (`yes\|no\|unknown`) |
| `incident-notification` | ≤ 72 h (Vertrauensdiensteanbieter: ≤ 24 h) | Art. 23(4)(b) | Aktualisierung der Frühwarnung; erste Bewertung von Schweregrad und Auswirkungen; Kompromittierungsindikatoren, soweit verfügbar |
| `intermediate-report` | auf behördliche Anforderung | Art. 23(4)(c) | relevante Statusaktualisierungen |
| `final-report` | ≤ 1 Monat nach der Vorfallsmeldung | Art. 23(4)(d) | ausführliche Beschreibung inkl. Schweregrad und Auswirkungen; Art der Bedrohung oder Grundursache; umgesetzte und laufende Abhilfemaßnahmen; grenzüberschreitende Auswirkungen, soweit einschlägig |
| `progress-report` | zum Fälligkeitstermin des Abschlussberichts bei andauerndem Vorfall; Abschlussbericht dann ≤ 1 Monat nach Abschluss der Bearbeitung | Art. 23(4)(e) | wie Zwischenbericht, zzgl. erwartetem Zeitplan |

Hinweis: Artikel 23(5) verpflichtet das CSIRT bzw. die zuständige Behörde, auf die
Frühwarnung binnen 24 Stunden zu reagieren, einschließlich Hinweisen und — auf
Anfrage — technischer Unterstützung. Artikel 23(1)–(2): Empfänger der Dienste sind
über erhebliche Sicherheitsvorfälle, die sie beeinträchtigen, sowie über
erhebliche Cyberbedrohungen samt möglicher Gegenmaßnahmen zu unterrichten;
Behörden können eine Information der Öffentlichkeit anordnen. Artikel 30 erlaubt
die freiwillige Meldung nicht erheblicher Vorfälle und Bedrohungen.

## 3. Formularfelder

### Formular 0 — Eintrag im Vorfallsregister (intern, bei Entdeckung)

```yaml
incident_id: ""            # z. B. INC-2026-041
entity:
  name: ""
  classification: ""       # essential | important; Sektor nach Anhang I/II
  authority_registration: ""
incident_commander: ""     # Name, Rolle, 24/7-Kontakt
reporting_officer: ""
awareness_at: ""           # ISO-Zeitstempel mit Zeitzone — startet die 24-h-Frist
detection_source: ""       # monitoring | employee | customer | third-party | authority
affected_services: []
significance:
  basis: ""                # art23-3-a | art23-3-b | Kriterien-ID aus cir-2024-2690
  reasoning: ""
cross_border: ""           # potenziell betroffene Mitgliedstaaten / Einrichtungen
report_log: []             # {stage, submitted_at, channel, authority_reference}
```

### Formular 1 — Frühwarnung (≤ 24 h)

Erforderlich: `entity`, `contact`, `awareness_at`, `brief_description` (2–4
Sätze), `affected_services`, `malicious_suspected: yes|no|unknown` (+ eine Zeile
Begründung), `cross_border_possible: yes|no|unknown` (+ Mitgliedstaaten, soweit
bekannt). Optional: `assistance_requested: yes|no`, `contained: yes|no`.

### Formular 2 — Vorfallsmeldung (≤ 72 h)

Erforderlich: `early_warning_reference`, `changes_since_early_warning`,
`severity_assessment` (Umfang, betroffene Nutzer/Empfänger, Dauer),
`impact_assessment` (betrieblich, finanzielle Schätzung, Auswirkungen auf
Vertraulichkeit/Integrität/Verfügbarkeit), `iocs` (soweit verfügbar),
`significance_criteria_met`, `mitigation_taken`, `cross_border_update`,
`recipient_communication` (ob die Empfänger der Dienste gemäß Art. 23(1)–(2)
unterrichtet wurden).

### Formular 3 — Zwischen-/Fortschrittsbericht

Erforderlich: `reference`, `trigger` (`authority-request` |
`one-month-ongoing`), `status_update`, `updated_impact`, `new_findings`,
`next_steps_timeline`.

### Formular 4 — Abschlussbericht (≤ 1 Monat nach Formular 2)

Erforderlich (alle vier sind nach Art. 23(4)(d) verpflichtend):

1. `detailed_description` — Darstellung als Zeitleiste, endgültige Zahlen zu
   Schweregrad und Auswirkungen
2. `threat_and_root_cause` — Art der Bedrohung; wahrscheinlich auslösende
   Grundursache
3. `mitigation` — umgesetzte und laufende Maßnahmen, mit Verantwortlichen und
   Terminen
4. `cross_border_impact` — soweit einschlägig

Empfohlen: `lessons_learned` — präventive Änderungen, die in die
Risikomanagementmaßnahmen der Einrichtung nach Artikel 21 einfließen; Überprüfung,
ob die 24-h-/72-h-Fristen eingehalten wurden.

## 4. Wo einzureichen ist

- **Deutschland:** Meldeportal des BSI (Melde- und Informationsportal); das
  NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft (24 h / 72 h / 1 Monat).
- **Österreich:** NISG 2024; Meldung an das BMI bzw. GovCERT Austria über das
  nationale Meldeportal.
- **Norwegen:** NSM und die zuständige Sektorbehörde nach dem
  digitalsikkerhetsloven (in Kraft seit dem 1. Oktober 2025): Meldung ≤ 24 h,
  Aktualisierung ≤ 72 h, Bericht ≤ 1 Monat. NIS2 selbst ist Stand Mitte 2026 noch
  nicht in das EWR-Abkommen übernommen.
- **Vereinigtes Königreich:** Der Cyber Security and Resilience Bill (im
  Parlament; Royal Assent für Ende 2026 erwartet) sieht eine Erstmeldung binnen
  24 Stunden und einen vollständigen Bericht binnen 72 Stunden an die
  Regulierungsbehörde vor, wobei das NCSC parallel informiert wird.
- Übrige EU-Mitgliedstaaten: das Portal Ihres nationalen CSIRT bzw. Ihrer
  zuständigen Behörde; prüfen Sie den Umsetzungsstand und die sektorspezifischen
  Kanäle.

---

Formate: DOCX (fünf einreichungsfertige Formulare) + PDF (Begleiter zum Ausdrucken
und Prüfen) unter
https://www.orbiqhq.com/templates/nis2-incident-reporting-pack. Nationale
Umsetzungsgesetze können zusätzliche Felder oder kürzere Fristen je Sektor
vorsehen. Keine Rechtsberatung.
