NIS-2-Meldepflichten: Organisatorische Herausforderungen: Kommunikation unter Zeitdruck

Wer zu Beginn eines Cyberangriffs erst Zuständigkeiten und Abläufe klärt, riskiert seine Handlungsfähigkeit und erhöht das Haftungsrisiko für die Unternehmensleitung.

Der Dezember 2025 markiert eine Zäsur in der deutschen Cybersicherheit. Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes (NIS2UmsG) ist die Vorbereitungsphase beendet. Für die betroffenen Unternehmen in Deutschland läuft damit die Schonfrist aus.

Der Gesetzgeber ändert den Fokus von reiner Prävention hin zu nachweisbarer Widerstandskraft. Er erkennt damit an, dass Angriffe nicht vollständig zu verhindern sind. Sanktioniert werden vor allem mangelnde Vorbereitung, unkoordiniertes Handeln und fehlende Kommunikation nach einem Vorfall. Cybersicherheit ist damit kein reines IT- oder Compliance-Thema, sondern Teil der unternehmerischen Sorgfaltspflicht auf Vorstandsebene.

Die Richtlinie erweitert den Kreis der Betroffenen deutlich und unterscheidet nach Systemrelevanz. Sektoren wie Energie, Gesundheit, Verkehr, Bankwesen und digitale Infrastruktur gelten als wesentliche Einrichtungen (Essential Entities). Sie fallen ebenso unter die Richtlinie wie die „Important Entities“, zu denen Branchen wie Chemie, Lebensmittel, Abfallbewirtschaftung oder Post- und Kurierdienste zählen.

Doch auch Unternehmen, die nicht direkt unter diese Definitionen fallen, stehen unter Zugzwang. Artikel 21 verpflichtet die Einrichtungen explizit zur „Sicherheit der Lieferkette“. Das schafft einen Dominoeffekt: Große Betreiber kritischer Infrastrukturen (KRITIS) auditieren ihre Zulieferer. Wer als kleines und mittleres Unternehmen (KMU) oder als „Hidden Champion“ Teil der Wertschöpfungskette bleiben will, muss ein vergleichbares Sicherheitsniveau nachweisen.

Dreistufiges Verfahren mit wenig Spielraum

Kernelement der neuen Pflichten ist das dreistufige Meldeverfahren gemäß Artikel 23. Es lässt wenig Spielraum für Verzögerung. Sobald ein Unternehmen Kenntnis von einem erheblichen Sicherheitsvorfall erlangt, läuft die Zeit.

1. Frühwarnung (24 Stunden): Eine erste Meldung an das BSI muss unverzüglich erfolgen. Ziel ist es, grenzüberschreitende Ausbreitungen frühzeitig zu erkennen.

2. Vorfallmeldung (72 Stunden): Diese sollte eine erste Einschätzung des Vorfalls liefern – inklusive Angaben zum Schweregrad, zu den möglichen Auswirkungen sowie Indikatoren für eine mögliche Kompromittierung.

3. Abschlussbericht (ein Monat): eine detaillierte Aufarbeitung der Ursachen und getroffenen Maßnahmen.

In der Theorie wirkt dieser Ablauf logisch. In der Praxis eines laufenden Cyberangriffs, etwa einer Ransomware-Attacke, wird dieses Verfahren zur organisatorischen Belastungsprobe. So herrscht in den ersten 24 Stunden in Krisenstäben oft erhebliche Unsicherheit. Welche Systeme sind betroffen? Sind Daten abgeflossen? Was sind die nächsten notwendigen Schritte?

Die eigentliche Herausforderung liegt meist weniger in der Technik als in der Organisation. Wer darf den „Notruf“ an das BSI absetzen? Wer validiert die Informationen? Wenn diese Prozesse nicht definiert sind, verstreicht wertvolle Zeit mit internen Abstimmungen. Da die Geschäftsleitung nun persönlich haftet, steigt das Risiko für die Geschäftsführer oder IT-Verantwortlichen erheblich, wenn keine tragfähigen Prozesse existieren.

Wenn der Notfallkanal selbst ausfällt

Ein Aspekt wird in der Vorbereitung häufig unterschätzt: die Verfügbarkeit der eigenen Kommunikationsinfrastruktur. Viele Notfallpläne basieren auf der Annahme, dass E-Mail, VoIP-Telefonie und Kollaborationstools wie Microsoft Teams verfügbar sind. Bei einem gezielten Ransomware-Angriff werden jedoch oft genau diese Systeme als Erstes verschlüsselt oder präventiv vom Netz genommen („Cyber Kill Switch“), um eine Ausbreitung der Schadsoftware zu unterbinden.

Wenn dann der Chief Information Security Officer (CISO) den Angriff erkennt und den Krisenstab einberufen möchte, ist das digitale Adressbuch nicht erreichbar, die Telefonanlage tot und die Dokumente mit den Notfallnummern liegen auf einem verschlüsselten Netzlaufwerk. In diesem Moment bricht die interne Kommunikation zusammen.

Manuelle Workarounds wie private Messenger-Gruppen oder ausgedruckte Telefonlisten sind in der Hektik einer Krise fehleranfällig, datenschutzrechtlich bedenklich und kaum skalierbar.

Ansätze für redundante Krisenkommunikation

Um diese Lücke zwischen technischer Detektion und organisatorischer Handlungsfähigkeit zu schließen, können Organisationen spezialisierte Alarmierungs- und Krisenmanagement-Lösungen in Betracht ziehen. Ein Argument dieser Software-as-a-Service-(SaaS)-Lösungen ist, dass sie autark in gesicherten Rechenzentren laufen, unabhängig von der eigenen IT-Infrastruktur. Auch wenn das eigene Firmennetzwerk stillsteht, bleibt dieser „Out-of-Band“-Kanal handlungsfähig.

Solche Systeme können den Meldeprozess auf drei Ebenen unterstützen: Erstens durch automatisierte Mobilisierung. Statt Listen abzutelefonieren, löst der Sicherheitsverantwortliche per App eine vorbereitete Kommunikationskaskade aus. Das System alarmiert die Mitglieder des Krisenstabs parallel per Anruf, SMS und App-Push und eskaliert automatisch, wenn Personen nicht reagieren. Ziel ist es, den Krisenstab schneller zusammenzubringen. Zweitens durch strukturierte Prozesse.

In solchen Systemen lassen sich für verschiedene Szenarien spezifische Playbooks hinterlegen. Diese digitalen Checklisten führen die Verantwortlichen Schritt für Schritt durch die notwendigen Maßnahmen, inklusive der Erinnerung an die 24-Stunden-Meldepflicht. Vorlagen für Meldungen an Behörden können direkt im System liegen. Das verkürzt Abstimmungen und reduziert Fehlerquellen – vorausgesetzt, Rollen, Vorlagen und Eskalationswege sind zuvor sauber definiert und geübt.

Drittens durch revisionssichere Dokumentation. NIS-2 fordert nicht nur das Handeln, sondern auch dessen Nachweis. Professionelle Systeme protokollieren jeden Schritt: von der Alarmierung über die Aufgabenverteilung bis zur Entscheidung über den Zeitpunkt der Meldung. Dieses Protokoll ist essenziell für den Abschlussbericht nach einem Monat oder bei einer Prüfung durch die Aufsichtsbehörden.

Training als Schlüssel zur Resilienz

Die Implementierung eines solchen Systems ist kein rein technisches Projekt, sondern verändert Prozesse, Zuständigkeiten und Routinen im Unternehmen. Es führt dazu, dass Unternehmen grundlegende Fragen klären müssen: Sind die Kontaktdaten aktuell? Wer vertritt wen? Welche Rollen und Verantwortlichkeiten gelten konkret im Krisenszenario?

Hier zeigt sich ein zentraler Effekt der Regulierung. Sie bietet einen klaren Rahmen, um digitale Widerstandskraft systematisch aufzubauen. Resilienz ist kein Zustand, den man einmal erreicht. Sie ist eine Fähigkeit, die trainiert werden muss. Ein interner Cyber-Warntag deckt Lücken in den Stammdaten und Prozessen auf. Digitale Lösungen bieten oft integrierte Simulationsmodule, mit denen sich solche Szenarien realistisch durchspielen lassen.

Fazit

Die NIS-2-Richtlinie macht klar: Cybersicherheit ist Chefsache. Die Bedrohungslage duldet keine Silos zwischen IT-Security und Business-Continuity-Management (BCM). Wer die Meldepflichten nur als Papierarbeit betrachtet, unterschätzt das Risiko. Die Unfähigkeit, schnell und strukturiert zu kommunizieren, kann im Ernstfall den Schaden eines Angriffs deutlich erhöhen, auch was Reputation und Kundenvertrauen betrifft.

Unabhängige Alarmierungssysteme können dazu beitragen, die Widerstandskraft und Handlungsfähigkeit von Unternehmen zu verbessern. Sie können eine Struktur bieten, um auch unter hohem Druck innerhalb der 24-Stunden-Frist die Einhaltung der Vorgaben zu unterstützen.