Vorsprung durch Wissen und Erfahrung
NIS2 / BSIG § 30 Abs. 2 Nr. 2

Incident Response Framework nach NIS2

Ein Sicherheitsvorfall ist keine Frage des Ob, sondern des Wann. NIS2 verpflichtet zur systematischen Vorbereitung — wir erklären Aufbau, Rollen und operative Reaktion.

Beratung anfragen NIS2-Übersicht
Technische & rechtliche Expertise Erfahrung aus zahlreichen NIS2-Projekten Standort Sindelfingen
Grundlagen

Für welche Vorfälle gilt die NIS2-Pflicht?

§ 30 Abs. 2 Nr. 2 BSIG verpflichtet betroffene Einrichtungen zu Maßnahmen zur Bewältigung von Sicherheitsvorfällen. Auslöser ist dabei nicht jedes Sicherheitsereignis, sondern nur ein erheblicher Sicherheitsvorfall.

Definition: Erheblicher Sicherheitsvorfall (§ 2 Nr. 11 BSIG)

Ein Vorfall gilt als erheblich, wenn er erhebliche Betriebsstörungen oder finanzielle Verluste verursacht hat oder verursachen kann — oder wenn andere Personen und Einrichtungen durch materielle oder immaterielle Schäden beeinträchtigt wurden oder beeinträchtigt werden könnten.

Framework-Aufbau

Die drei Säulen eines NIS2-konformen Incident-Response-Frameworks

1. Interne Meldewege

Mitarbeitende müssen wissen, wohin sie sich wenden — bevor ein Vorfall eintritt. Niedrigschwellige Meldeprozesse entscheiden, ob die BSI-Meldefristen überhaupt eingehalten werden können.

  • Benannte Anlaufstelle definieren
  • Meldeprozess dokumentieren und kommunizieren
  • Regelmäßige Sensibilisierung der Belegschaft
  • 24h-Erreichbarkeit sicherstellen

2. Vorfall-Team

Interdisziplinäres Team mit klar geregelten Zuständigkeiten — aktiv eingebunden, nicht nur informiert.

  • Wer stuft den Vorfall als erheblich ein?
  • Wer informiert die Geschäftsführung?
  • Wer meldet ans BSI?
  • Wer zieht rechtlichen Rat hinzu?
  • Wer koordiniert Wiederherstellung?

3. Reaktionspläne

Konkrete Handlungsanweisungen für die wahrscheinlichsten Szenarien — regelmäßig geübt, nicht nur dokumentiert.

  • Ransomware-Angriff
  • Datenabfluss / Data Breach
  • Kritischer Systemausfall
  • Angriff über Lieferkette
Operative Reaktion

Die drei Phasen im Ernstfall

Nach der BSI-Meldung beginnt die eigentliche Arbeit. Diese drei Phasen sind gesetzlich nicht im Detail vorgeschrieben, aber ohne sie ist keine nachhaltige Schadensbegrenzung möglich.

Phase 1
Eindämmung
Ausbreitung stoppen, ohne Beweise zu vernichten. Systeme isolieren, Zugänge sperren, Backups schützen.
Phase 2
Beweissicherung
RAM-Abbild, Logs, Netzwerk-Mitschnitte, forensische Kopien — bevor externe Spezialisten eintreffen.
Phase 3
Wiederherstellung
Systeme aus sauberen Backups wiederherstellen, Angriffsvektoren schließen, Betrieb schrittweise aufnehmen.
Nachbereitung
Lessons Learned
Abschlussbericht ans BSI, interne Analyse, Prozessverbesserungen ableiten und dokumentieren.

Aus der Praxis: Bei Übungen stockt es regelmäßig bereits nach wenigen Minuten: Wer stuft den Vorfall als erheblich ein? IT-Leitung und Datenschutzbeauftragter sind sich uneins, die Geschäftsführung hat keine Vorstellung. Übungen unter realen Bedingungen decken in zwei Stunden mehr auf als ein Jahr Dokumentationspflege.

Häufige Fragen

Incident Response und NIS2

Muss ich das Framework schriftlich dokumentieren?
Ja. Reaktionspläne, Zuständigkeiten und Meldewege müssen schriftlich vorliegen, versioniert und allen Beteiligten bekannt sein. Im Ernstfall und bei Behördenprüfungen wird genau diese Dokumentation angefordert.
Wie oft muss das Framework getestet werden?
Das BSIG schreibt keine Mindestfrequenz vor, aber das BSI empfiehlt regelmäßige Tabletop-Übungen. Mindestens jährlich, idealerweise nach jeder wesentlichen Änderung der IT-Infrastruktur oder nach einem tatsächlichen Vorfall.
Was ist der Unterschied zwischen Incident Response und Meldepflicht?
Meldepflicht und Incident Response sind getrennte Pfade, die gleichzeitig laufen. Die Meldung ans BSI muss innerhalb von 24 Stunden nach Kenntnis erfolgen — parallel, nicht nach Abschluss der internen Reaktion. Wer erst meldet, wenn alles geklärt ist, verletzt die Meldepflicht.
Verwandte Themen

Weiterführende NIS2-Themen

Meldung
Meldepflichten ans BSI

Fristen, Inhalte und Prozesse für die BSI-Meldung

Richtlinien
Incident-Response-Richtlinie

Framework als Pflichtdokument im ISMS

Lieferkette
Lieferkettensicherheit

Angriffe über Lieferanten erkennen und begrenzen

Schulung
Mitarbeiterschulung

Meldewege und Eskalation schulen

Incident-Response-Framework aufbauen und testen

Wir entwickeln Ihre Reaktionspläne, schulen das Vorfall-Team und begleiten Ihre erste Übung — damit das Framework nicht nur auf Papier funktioniert.

Jetzt Beratung anfragen
Tilsiter Str. 6 · D-71065 Sindelfingen · +49 (0) 7031.4181-860 · contact@consuvation.com