Am 26. Mai 2026 verabschiedete die NIS2-Kooperationsgruppe bei ihrer 39. Plenarsitzung einheitliche Vorlagen für die Meldung von Cybervorfällen. Die EU-Kommission wird diese Vorlagen nun in einem verbindlichen Durchführungsrechtsakt kodifizieren. Das Ergebnis: Unternehmen, die grenzüberschreitend tätig sind, müssen denselben Sicherheitsvorfall künftig in einem einheitlichen Format melden – egal ob sie an das BSI, die CCB oder die ANSSI berichten.
Das bisherige Problem
NIS2 sieht einen dreistufigen Meldeprozess vor: Frühwarnung (24 Stunden), offizieller Bericht (72 Stunden) und Abschlussbericht (1 Monat). Bislang konnte jeder Mitgliedstaat eigene Formulare und Datenfelder verlangen. Ein Unternehmen mit Niederlassungen in Deutschland, Belgien und Frankreich musste im Ernstfall drei unterschiedliche Dokumente in drei verschiedenen Systemen einreichen – inhaltlich oft deckungsgleich, technisch jedoch inkompatibel.
Was sich ändert
Der gemeinsame Rahmen legt verbindlich fest:
- Welche Informationen in der 24-Stunden-Frühwarnung enthalten sein müssen (Vorfallsart, betroffene Systeme, erste Schadensbewertung)
- Welche Detailangaben im 72-Stunden-Bericht gefordert werden (Ursachenanalyse, betroffene Dienste, ergriffene Gegenmaßnahmen)
- Format und Struktur des Abschlussberichts nach einem Monat
Der Durchführungsrechtsakt wird im Anschluss in einem regulären EU-Gesetzgebungsverfahren verabschiedet und in allen Mitgliedstaaten unmittelbar gelten.
Was Unternehmen jetzt tun sollten
Obwohl die einheitlichen Vorlagen noch nicht als verbindliches Recht gelten, sollten Unternehmen ihre internen Incident-Response-Workflows bereits jetzt auf das neue gemeinsame Framework ausrichten. Konkret bedeutet das:
- Interne Meldeschablonen überarbeiten: Bestehende Vorlagen für 24h/72h/1-Monat-Berichte an die gemeinsame Struktur anpassen.
- Systemeingaben zentralisieren: Sicherstellen, dass ein Vorfall intern nur einmal dokumentiert und für verschiedene Behörden exportiert werden kann.
- Benannte Kontaktstellen aktualisieren: In jedem betroffenen Mitgliedstaat muss die zuständige Behörde eine aktuelle Kontaktstelle kennen.
Die Vereinheitlichung ist die bedeutendste operative Erleichterung seit Inkrafttreten von NIS2. Sie reduziert den Meldebürokratieaufwand für grenzüberschreitend tätige Unternehmen erheblich.