Was Artikel 23 tatsächlich verlangt
Artikel 23 gilt für wesentliche und wichtige Einrichtungen im Rahmen von NIS2. Er verlangt die Meldung erheblicher Vorfälle an die zuständige Behörde oder an die Computer Security Incident Response Teams (CSIRT). Die Meldung erfolgt in mehreren Schritten: eine Frühwarnung innerhalb von 24 Stunden, eine Vorfallmeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats. (Europäische Union, 2022).
Der Punkt ist nicht, alles vorherzusehen. Wichtig ist, einen Prozess zu haben, mit dem man rechtzeitig drei Dinge mitteilen kann: was passiert ist, wie schwerwiegend es ist und was man dagegen unternimmt. Das stufenweise Modell ist klug: Es akzeptiert, dass man nach zwei Stunden nicht alles weiß, verlangt aber dennoch eine frühzeitige Meldung und Updates, wenn sich die Lage klärt. (Europäische Union, 2022).
Artikel 23 enthält auch eine Koordinierungslogik: Ein gemeinsamer Ansprechpartner (Single Point of Contact, SPOC) kann Meldungen an andere betroffene Mitgliedstaaten weiterleiten und aggregierte Berichte an die europäische Cybersicherheitsagentur ENISA übermitteln. (Europäische Union, 2022).
Deutsche Umsetzung: Das ist keine "EU-Theorie" mehr
In Deutschland wird NIS2 durch das Cybersicherheitsgesetz umgesetzt, das am 15. Januar 2026 in Kraft getreten ist, sowie durch die Cybersicherheitsverordnung. (Deutscher Bundestag, 2025a; Deutscher Bundestag, 2025b).
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zudem Leitlinien zur Vorfallsmeldung nach dem Cybersicherheitsgesetz veröffentlicht, einschließlich der Änderungen, wer berichten muss und wie die Fristen praktisch einzuhalten sind. (BSI, 2026).
Die Cybersicherheitsverordnung legt fest, dass das BSI als Single Point of Contact nach NIS2 fungiert. (Deutscher Bundestag, 2025b).
Die häufigste Falle, die ich sehe: Die Alarmkette ist "jemandes anderes Aufgabe"
In vielen Organisationen gibt es die Reflexion, dass Vorfallsmeldung Aufgabe der "Sicherheitsabteilung" ist. Aber Artikel 23 interessiert es nicht, wie Sie organisiert sind. Wichtig ist, dass jemand tatsächlich rechtzeitig anruft.
Und hier die unangenehme Wahrheit: Die Alarmkette scheitert fast nie an der Technik. Sie scheitert an der alltäglichen Logik.
Niemand weiß, wer den Knopf drücken darf mit der Meldung "Das ist ein Vorfall".
Kontaktlisten sind nicht aktuell.
Juristen, Kommunikation und Technik sitzen in verschiedenen Räumen und warten aufeinander.
Der Anbieter besitzt die Protokolle, sodass Sie die Lage nicht einmal beschreiben können, ohne um Erlaubnis zu bitten.
Dann sind Fristen egal. Dann hat man einen Brandmelder ohne Batterie.
Was Artikel 23 modern macht
Ich finde, Artikel 23 ist einer der "erwachsensten" Teile von NIS2. Er geht nicht davon aus, dass alles perfekt läuft. Er geht davon aus, dass Vorfälle anfangs unklar sind, aber gesellschaftskritische Dienste trotzdem signalisieren und koordinieren können müssen.
Deshalb kann Artikel 23 auch nicht allein stehen. Er braucht Unterstützung durch Artikel 21: Risikomanagement und Maßnahmen, die helfen, schneller zu erkennen, zu isolieren und wiederherzustellen. ENISA hat technische Leitlinien veröffentlicht, die bestimmten Sektoren helfen, NIS2-Maßnahmen praktisch umzusetzen. (ENISA, 2025).
Mein Fazit
Wenn Sie Artikel 23 verstehen wollen, ohne weitere Paragraphen zu lesen, denken Sie daran: Die Alarmkette muss stressresistent sein.
Wenn Sie früh anrufen, sachlich aktualisieren und mit einem glaubwürdigen Abschlussbericht abschließen können, haben Sie mehr als nur "Compliance". Sie haben eine Organisation, die mit der Realität umgehen kann, ohne die Kontrolle zu verlieren.
Und in einer digitalen Gesellschaft ist das oft die greifbarste Form von Sicherheit, die wir haben.
Quellen
ENISA. (2025). NIS2 Technical Implementation Guidance. Europäische Agentur für Cybersicherheit.
Europäische Union. (2022). Richtlinie (EU) 2022/2555 (NIS2). Amtsblatt der Europäischen Union, L 333.
Bundesamt für Sicherheit in der Informationstechnik. (2026). Vorfallsmeldung nach dem Cybersicherheitsgesetz.
Deutscher Bundestag. (2025a). Cybersicherheitsgesetz (2025:1506). Bundesgesetzblatt.
Deutscher Bundestag. (2025b). Cybersicherheitsverordnung (2025:1507). Bundesgesetzblatt.
