NIS2: Krisenkommunikation bei Cybervorfällen richtig planen

Aktualisierung des Artikels am 21.11.2025: Die NIS2-Pflichten greifen in Deutschland erst mit Inkrafttreten des neuen Gesetzes, das nach Zustimmung des Bundesrats Ende 2025 oder Anfang 2026 erwartet wird. Ab diesem Zeitpunkt gelten die erweiterten Anforderungen für tausende Unternehmen verbindlich.

‍

Stellen Sie sich vor: Es ist 15 Uhr an einem Freitagnachmittag. Plötzlich fällt ein kritisches System aus. Die IT-Abteilung bestätigt den Verdacht: Ransomware. Ein Countdown beginnt, und er tickt unerbittlich. Laut der neuen NIS2-Richtlinie haben Sie weniger als 24 Stunden, um den Vorfall den Behörden zu melden. Was ist Ihr erster Kommunikationsschritt? Wen rufen Sie an? Und vor allem: Was sagen Sie – intern wie extern?

‍

Die meisten Unternehmen konzentrieren sich in diesem Moment auf die technische Lösung des Problems. Doch die größte Gefahr für Ihren Ruf und Ihr Geschäftsergebnis liegt oft nicht im Code, sondern in der Kommunikation. Eine verpatzte, verspätete oder widersprüchliche Kommunikation kann mehr Schaden anrichten als der Cyberangriff selbst. Willkommen in der neuen Realität der Krisenkommunikation unter NIS2.

‍

Was ist ein NIS2-Sicherheitsvorfall und warum ist Kommunikation der Schlüssel?

‍

Ein Cyberangriff ist längst kein reines IT-Problem mehr. Er ist eine Unternehmenskrise, die eine strategische Antwort von der gesamten Führungsebene erfordert. Die NIS2-Richtlinie, die den Kreis der betroffenen Unternehmen in Deutschland auf rund 30.000 erweitert, formalisiert diese Tatsache. Sie zwingt Organisationen, nicht nur ihre IT-Sicherheit zu verbessern, sondern auch ihre Fähigkeit, im Krisenfall schnell und koordiniert zu handeln.

‍

Das Kernproblem: Viele Manager glauben, sie müssten erst alle Fakten kennen, bevor sie kommunizieren. Doch NIS2 verlangt eine Erstmeldung innerhalb von 24 Stunden – ein Zeitpunkt, zu dem oft noch Unklarheit herrscht. Hier entscheidet sich, wer die Kontrolle über die Erzählung behält: Sie oder die Gerüchteküche. Wenn Sie sich noch unsicher sind, was genau die NIS2 Richtlinie für Sie bedeutet, ist jetzt der richtige Zeitpunkt, sich damit vertraut zu machen. Ein guter Krisenkommunikationsplan ist dabei Ihr wichtigstes Werkzeug.

‍

Foundation: NIS2-Meldepflichten einfach erklärt

‍

Um effektiv kommunizieren zu können, müssen Sie die Spielregeln kennen. Die Meldepflichten nach NIS2 sind streng und folgen einem klaren, dreistufigen Prozess für „erhebliche Sicherheitsvorfälle“.

‍

1. Innerhalb von 24 Stunden (Frühwarnung): Eine erste, unverzügliche Meldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Hier geht es darum, die Behörden schnell zu informieren, auch wenn noch nicht alle Details bekannt sind.
   ‍
2. Innerhalb von 72 Stunden (Update): Eine detailliertere Meldung mit einer ersten Einschätzung des Vorfalls, seiner Schwere und den Auswirkungen.
   ‍
3. Innerhalb eines Monats (Abschlussbericht): Ein umfassender Bericht, der eine detaillierte Beschreibung des Vorfalls, die Ursache, die ergriffenen Maßnahmen und die grenzüberschreitenden Auswirkungen enthält.

‍

Die strikte Einhaltung dieser NIS2 Meldepflichten ist nicht verhandelbar und erfordert einen Prozess, der im Ernstfall sofort greift.

‍

Building: Your Step-by-Step NIS2 Crisis Communication Playbook

‍

Ein guter Plan entsteht nicht im Chaos der Krise, sondern in der Ruhe der Vorbereitung. Er ist Ihr Fahrplan, der sicherstellt, dass alle Beteiligten wissen, was zu tun ist.

‍

Schritt 1: Krisenstab definieren – Wer hat den Hut auf?

‍

Der größte Fehler ist, den Vorfall allein in der IT-Abteilung zu belassen. Stellen Sie ein funktionsübergreifendes Kernteam zusammen, das sofort handlungsfähig ist.

‍

• Management/CEO: Trifft die strategischen Entscheidungen.
• IT/CISO: Leitet die technische Bewältigung.
• Recht/Compliance: Stellt die Einhaltung der Meldepflichten (NIS2, DSGVO) sicher.
• Kommunikation/PR: Steuert die gesamte interne und externe Kommunikation.
• Personalabteilung: Kümmert sich um die Mitarbeiterkommunikation.

‍

Schritt 2: Stakeholder-Mapping – Wer muss was wann wissen?

‍

Nicht jeder braucht zur gleichen Zeit die gleichen Informationen. Erstellen Sie eine Liste Ihrer Stakeholder und definieren Sie, wer wann und mit welcher Botschaft informiert wird.

‍

• Primär (sofort): BSI, Geschäftsführung, Krisenstab.
• Sekundär (innerhalb weniger Stunden): Mitarbeiter (um Gerüchte zu vermeiden), wichtigste Kunden/Partner (die direkt betroffen sind).
• Tertiär (nach Bedarf): Öffentlichkeit, Medien, weitere Partner.

‍

Schritt 3: Kernbotschaften vorbereiten – Klarheit in der Krise

‍

Sie werden in den ersten 24 Stunden nicht alle Antworten haben. Das ist in Ordnung. Bereiten Sie „Holding Statements“ vor, die Ihnen Zeit verschaffen und gleichzeitig Kontrolle signalisieren.

‍

• Seien Sie transparent: „Wir untersuchen derzeit einen Sicherheitsvorfall. Unsere oberste Priorität ist es, das Problem zu lösen und unsere Systeme zu sichern.“
• Zeigen Sie Empathie: „Wir verstehen, dass dies bei unseren Kunden und Partnern für Verunsicherung sorgt und nehmen die Situation sehr ernst.“
• Vermeiden Sie Spekulationen: Geben Sie nur bestätigte Fakten weiter. Sagen Sie lieber „Wir untersuchen das noch“ als falsche Angaben zu machen.

‍

Schritt 4: Kommunikationsprotokolle festlegen

‍

Definieren Sie die Kanäle und Verantwortlichkeiten klar. Wer gibt Informationen frei? Über welche Kanäle wird kommuniziert (Intranet, E-Mail, Pressemitteilung, Social Media)? Ein vordefinierter Plan ist unerlässlich, um bei einer NIS2-Meldung in 24 Stunden richtig handeln zu können.

‍

‍

Mastery: Navigating Complex Scenarios

‍

Wenn Sie die Grundlagen beherrschen, geht es darum, die Feinheiten zu verstehen und häufige Fallstricke zu vermeiden.

‍

Die Doppel-Herausforderung: NIS2 vs. DSGVO

‍

Viele Sicherheitsvorfälle, die unter NIS2 meldepflichtig sind, betreffen auch personenbezogene Daten und fallen damit zusätzlich unter die DSGVO. Die Herausforderung: Die Fristen und Anforderungen sind unterschiedlich.

‍

• NIS2: Erstmeldung innerhalb von 24 Stunden, Fokus auf die Störung kritischer Dienste.
• DSGVO: Meldung an die Datenschutzbehörde innerhalb von 72 Stunden, Fokus auf das Risiko für die Rechte und Freiheiten natürlicher Personen.

‍

Sie müssen also potenziell zwei separate Meldeprozesse parallel steuern. Eine enge Abstimmung zwischen Ihrem Informationssicherheits- und Ihrem Datenschutzbeauftragten ist hier entscheidend.

‍

‍

Typische Fehler, die Sie ein Vermögen kosten können

‍

Aus den Erfahrungen mit früheren Krisen lassen sich klare Muster für Fehler ableiten. Vermeiden Sie diese unbedingt:

‍

1. Warten auf perfekte Informationen: Der größte Fehler. Die 24-Stunden-Frist zwingt Sie, mit unvollständigen Daten zu handeln. Melden Sie, was Sie wissen, und klassifizieren Sie es als vorläufig.
   ‍
2. Kommunikations-Vakuum: Wenn Sie nicht kommunizieren, tun es andere – Mitarbeiter, Kunden, Medien. Das führt zu Gerüchten und Kontrollverlust.
   ‍
3. Widersprüchliche Botschaften: Wenn die IT das eine und die Geschäftsführung das andere sagt, entsteht Chaos und Misstrauen. Alle Kommunikation muss vom Krisenstab koordiniert werden.
   ‍
4. Kunden und Mitarbeiter vergessen: Viele konzentrieren sich nur auf die Behörden. Doch Ihre wichtigsten Stakeholder sind die Menschen, deren Vertrauen Sie erhalten müssen.

‍

Der nächste Schritt: Vom Wissen zum Handeln

‍

Ein Cyberangriff ist keine Frage des „Ob“, sondern des „Wann“. Ihre Reaktion in den ersten 24 Stunden entscheidet maßgeblich über den Ausgang der Krise. Ein durchdachter Krisenkommunikationsplan ist keine bürokratische Übung, sondern Ihre Versicherung gegen Reputationsverlust und Kontrollverlust.

‍

Beginnen Sie noch heute damit, Ihren Plan zu erstellen oder zu überprüfen. Definieren Sie Ihr Krisenteam, identifizieren Sie Ihre Stakeholder und formulieren Sie Ihre Kernbotschaften. Denn wenn der Ernstfall eintritt, haben Sie keine Zeit mehr zum Nachdenken – dann müssen Sie handeln. Die technischen Anforderungen von NIS2 bei der Meldung sind dabei nur ein Teil der Gleichung; die strategische Kommunikation ist der andere.

‍

FAQ: Häufig gestellte Fragen zur NIS2-Krisenkommunikation

‍

Was muss in der ersten 24-Stunden-Meldung stehen?

‍

‍Die Erstmeldung soll eine erste Einschätzung liefern. Dazu gehört, ob der Vorfall mutmaßlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist und ob er grenzüberschreitende Auswirkungen haben könnte. Perfektion wird nicht erwartet, nur eine schnelle Reaktion.

‍

Soll ich öffentlich kommunizieren, auch wenn ich nicht alle Fakten kenne?

‍

‍Ja, aber kontrolliert. Ein kurzes Statement, das den Vorfall bestätigt und die nächsten Schritte skizziert, ist besser als Schweigen. Es zeigt, dass Sie die Situation im Griff haben.

‍

Wie trainiere ich mein Team für den Ernstfall?

‍

‍Durch Simulationen. Führen Sie regelmäßig „Tabletop-Übungen“ durch, bei denen Sie einen fiktiven Sicherheitsvorfall durchspielen. So werden die Abläufe und Kommunikationswege zur Routine.

‍

Was ist der Unterschied zwischen NIS1 und NIS2 in Bezug auf die Meldung?

‍

‍Im Vergleich zur alten NIS 1 Richtlinie hat sich viel geändert. Die Meldefristen sind mit 24 Stunden deutlich kürzer (vorher „unverzüglich“ ohne konkrete Frist) und der Prozess ist strenger und mehrstufig geregelt.

‍

Wie kann ich die NIS2 Compliance in meinem Unternehmen sicherstellen?

‍

‍NIS2 Compliance ist ein kontinuierlicher Prozess. Er umfasst technische und organisatorische Maßnahmen, Risikomanagement und eben auch einen soliden Plan für das Management und die Kommunikation von Sicherheitsvorfällen.

‍