Art. 23(4)(a) NIS 2 + §32 BSIG + §121 BGB

Was 'unverzüglich' bei der NIS 2 24-Stunden-Frist wirklich heißt

Art. 23(4)(a) NIS 2 läuft mit zwei Uhren, nicht mit einer. Den Unterschied zu kennen ist der Unterschied zwischen einer belastbaren Frühwarnung und einem vermeidbaren §65 BSIG Bußgeld.

Simon OrzelSimon Orzel·

Warum die Formulierung zählt

Art. 23(4)(a) NIS 2 verlangt die Frühwarnung 'unverzüglich, spätestens innerhalb von 24 Stunden' nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall. Zwei Uhren, nicht eine. Die 24-Stunden-Zahl ist die Höchstgrenze; die operative Pflicht steht im ersten Halbsatz.

Das heißt in der Praxis: eine Meldung, die in Stunde 23 ankommt, kann verspätet sein, wenn die Einrichtung sie vernünftigerweise schon in Stunde 4 hätte absetzen können. Was 'vernünftigerweise' heißt, wird im Nachgang geprüft.

Erstanwender:innen starren auf die 24 Stunden und übersehen die Struktur. Beide Uhren zu verstehen ist die günstigste Vorbereitung, die Sie vor einem Vorfall treffen können.

Wo die Struktur steht
Eine operative Norm, eine Umsetzung, ein Erwägungsgrund.

Art. 23(4)(a) NIS 2

Soweit anwendbar eine Frühwarnung, die unverzüglich und in jedem Fall innerhalb von 24 Stunden nach Kenntniserlangung von dem erheblichen Sicherheitsvorfall den Hinweis enthält, ob der erhebliche Sicherheitsvorfall mutmaßlich auf rechtswidrige oder böswillige Handlungen zurückgeht oder ob er grenzüberschreitende Auswirkungen haben könnte.

Zwei Uhren ausdrücklich im selben Satz. 'Unverzüglich' ist die operative Pflicht; '24 Stunden' ist die Höchstgrenze. Auslöser ist Kenntniserlangung, nicht Detektion.

§32(1) Nr. 1 BSIG

Wesentliche und wichtige Einrichtungen melden dem Bundesamt erhebliche Sicherheitsvorfälle unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung als frühe Erstmeldung.

Die deutsche Umsetzung benutzt 'unverzüglich'. 'Unverzüglich' ist in §121(1) BGB definiert als 'ohne schuldhaftes Zögern'. Diese Legaldefinition holt die gesamte deutsche Rechtsprechung in die NIS 2 Meldepflicht.

Erwägungsgrund 102 NIS 2 (Hintergrund)

Bei der Festlegung der Meldepflichten, des Meldezeitplans und des Meldeformats sollte die Bewertung der Auswirkungen des Sicherheitsvorfalls berücksichtigt werden.

Erwägungsgrund 102 gibt den Auslegungsrahmen. Der Meldezeitpunkt ist nicht von der vernünftigen Lagebewertung getrennt. Sie müssen nicht melden, bevor Sie Informationen haben; Sie müssen melden, sobald Sie es vernünftigerweise könnten.

Die zwei Uhren, in klarer Sprache
Beide starten mit der Kenntniserlangung. Beide sind zu wahren. Sie sind keine Alternativen.

Uhr 1: unverzüglich (ohne schuldhaftes Zögern)

Die operative Pflicht. Die Einrichtung muss melden, sobald sie es vernünftigerweise kann, nachdem sie Kenntnis erlangt hat. 'Vernünftigerweise' erlaubt Zeit, um Fakten zu bestätigen und intern zu eskalieren; es erlaubt nicht das Sammeln aus Bequemlichkeit oder das Warten auf den Arbeitsbeginn.

Uhr 2: spätestens innerhalb von 24 Stunden

Die Höchstgrenze. Egal was 'vernünftigerweise' im Einzelfall hieß, die Frühwarnung darf nicht später als 24 Stunden nach Kenntniserlangung sein. Danach ist die Einrichtung selbst mit einwandfreier Begründung im Verstoß.

Auslöser: Kenntniserlangung

Nicht technische Detektion. Kenntniserlangung im Rechtssinne ist, wenn die Einrichtung bei vernünftigem Verhalten Kenntnis hatte oder hätte haben müssen. Eine ungelesene SIEM-Warnung in der Queue kann bereits Kenntniserlangung sein, wenn ein vernünftig arbeitender SOC sie gelesen hätte.

Was 'unverzüglich' erlaubt und nicht erlaubt
Drei Regeln aus deutscher Rechtsprechung zu 'unverzüglich' und ENISA TIG.

Erlaubt: Zeit zur Bestätigung

Sie müssen nicht melden, bevor Sie belastbare Informationen haben. Wenige Stunden für Triage, Scope-Bestätigung und Ausschluss von Fehlalarmen sind vernünftig. Die Richtlinie bestraft verantwortliche Verifikation nicht.

Erlaubt: Zeit für interne Eskalation

Interne Eskalation durch die Incident-Response-Kette mit Freigabe durch die benannte Meldestelle ist Teil eines normalen Ablaufs. Eine zweistündige Eskalation während der Arbeitszeit ist vernünftig; ein 20-Stunden-Warten auf die Rückkehr des CEOs aus dem Urlaub nicht.

Nicht erlaubt: Sammeln aus Bequemlichkeit

Warten, um mehrere verdächtige Vorfälle zu bündeln, Warten auf Bürozeiten obwohl der Vorfall um 22:00 eintrat, Warten auf eine Pressestrategie. All das hält im Audit nicht. 'Unverzüglich' duldet Verifikation, keine Verzögerung aus eigenem Komfort.

Beispielfall: Ransomware um 14:00
Wann jede Uhr startet und was 'vernünftig' konkret heißt.

14:00: SOC erkennt Verschlüsselungsaktivität auf Fileserver

Technische Detektion. Noch keine rechtliche Kenntniserlangung, solange das SOC ermittelt. Die Einrichtung steht in Beobachtung, hat aber noch keine Bewertung gebildet, dass ein erheblicher Vorfall vorliegt.

15:30: Vorfall bestätigt als Ransomware, Scope teilweise klar

Spätestens jetzt entsteht Kenntniserlangung. Beide Uhren laufen. Die 24-Stunden-Grenze endet 15:30 am Folgetag. Die Pflicht 'unverzüglich' greift sofort.

16:45: Frühwarnung versendet

75 Minuten nach Bestätigung. Belastbar 'unverzüglich', wenn die Einrichtung die Zeit für Verifikation und interne Eskalation an die benannte Meldestelle genutzt hat. Die Meldung enthält die zwei Pflichtangaben nach Art. 23(4)(a): mutmaßliche Böswilligkeit und Einschätzung zu grenzüberschreitenden Auswirkungen.

Was Prüfer in Ihrem Zeitlinienprotokoll suchen

Wenn das BSI oder eine zuständige nationale Behörde einen Vorfall im Nachgang prüft, ist das Dokument von Interesse das eigene Zeitlinienprotokoll der Einrichtung. Drei Spalten werden erwartet: Zeitpunkt, was zu diesem Zeitpunkt bekannt war, was getan wurde.

Die Prüfung fragt nur eines: war der nächste Schritt zu jedem Zeitpunkt vernünftig angesichts dessen, was bekannt war. Ein sauberes Protokoll mit konservativen Schritten verteidigt das Meldezeitfenster. Ein lückenhaftes Protokoll lädt den Prüfer ein, das Schlimmste zu unterstellen.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2), Art. 23(4)(a), Erwägungsgrund 102, www.eur-lex.europa.eu
  • Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), §32, www.gesetze-im-internet.de
  • Bürgerliches Gesetzbuch (BGB), §121(1): Legaldefinition 'unverzüglich'
  • ENISA Technical Implementation Guidance v1.0 (Juni 2025), §5 zur Zeitlinien-Dokumentation

Diese Seite ist eine strukturierte Hilfestellung auf Basis öffentlich zugänglicher Quellen (NIS 2 Richtlinie, BSIG, BGB, ENISA TIG). Sie ersetzt keine Rechtsberatung im Sinne des §2 RDG. Ob eine konkrete Verzögerung 'schuldhaft' ist, beurteilt im Einzelfall eine zugelassene Rechtsanwältin oder ein Rechtsanwalt. Stand: 2026-06-04.

Die Zeitlinie vor dem Vorfall einüben
Das Vorfallmodul der Plattform schreibt die Zeitlinie mit Zeitstempeln und Entscheidungs-Freigaben mit, sodass das Auditprotokoll von selbst entsteht.