Wann ist ein Sicherheitsvorfall nach NIS2 meldepflichtig?

Ein Vorfall ist meldepflichtig, wenn er erheblich ist: das heißt, er verursacht schwere Betriebsunterbrechungen, erheblichen finanziellen Schaden, betrifft andere Einrichtungen oder Personen oder schadet der öffentlichen Sicherheit. Die Einordnung muss innerhalb von 24 Stunden nach Kenntniserlangung zu einer Erstmeldung führen.

Wann beginnt die 24-Stunden-Frist nach §32 BSIG?

Die Frist beginnt mit Kenntniserlangung — nicht mit Behebung, nicht mit Analyse-Abschluss. Das ist der Moment, in dem die Organisation erstmals von dem Vorfall erfährt, auch wenn das Ausmaß noch nicht vollständig bekannt ist.

Was passiert wenn die Meldefrist verpasst wird?

Eine fehlende oder verspätete Meldung nach §32 BSIG ist ein eigenständiger Bußgeldtatbestand nach §65 BSIG — unabhängig vom Ausgang des Vorfalls. Bei besonders wichtigen Einrichtungen bis zu 10 Mio. €.

Ist dieser Vorfall
meldepflichtig?

§32 BSIG · Meldepflicht bei erheblichen Vorfällen

24h Erstmeldung · ab Kenntniserlangung

§65 BSIG · Bußgeld auch für fehlende Meldung

Das tatsächliche Problem

Der Vorfall ist da. Die IT prüft noch. Die Geschäftsführung fragt: „Müssen wir melden?" Niemand kann es in diesem Moment verbindlich entscheiden — und die 24-Stunden-Frist läuft.

Das ist kein Ausnahmefall. Die meisten Unternehmen verlieren im Sicherheitsvorfall wertvolle Zeit nicht durch fehlende Technik, sondern durch ungeklärte Zuständigkeiten und fehlende Entscheidungsgrundlagen. Diese Grundlage muss vor dem Vorfall existieren.

Entscheidungslogik · §32 BSIG

Ermittlung eines nach der NIS2-Richtlinie meldepflichtigen Vorfalls in 3 Schritten

Die Meldepflicht nach §32 BSIG entsteht nicht automatisch. Sie ergibt sich aus der strukturierten Prüfung dreier Kriterien — in der nachstehenden Reihenfolge.

Liegt ein Sicherheitsvorfall vor?

Systeme wurden kompromittiert, ausgefallen oder sind unzugänglich

Daten wurden unbefugt eingesehen, verändert oder entwendet

Ein Angriff oder eine Störung mit IT-Bezug hat stattgefunden

Wenn nein: Kein Sicherheitsvorfall im Sinne von §32 BSIG. Interne Dokumentation empfohlen.

Ist die Auswirkung erheblich?

Erheblich ist ein Vorfall, wenn mindestens einer der folgenden Punkte zutrifft:

Schwere Betriebsunterbrechung der eigenen Dienste

Erheblicher finanzieller Schaden — auch wenn noch nicht quantifiziert

Andere Einrichtungen oder Personen sind betroffen oder könnten betroffen werden

Auswirkungen auf die Lieferkette — eigene Kunden oder Dienstleister betroffen

Reputationsschaden oder öffentliche Wahrnehmung zu erwarten

Praxishinweis: In der Mehrzahl der Fälle ist die Erheblichkeit nicht sofort eindeutig. Wenn sie nicht ausgeschlossen werden kann, gilt der Vorfall als meldepflichtig. Eine Meldung auf unsicherer Grundlage ist zulässig — eine verspätete ist ein Bußgeldtatbestand.

Haben wir Kenntnis erlangt?

Der Zeitpunkt der Kenntniserlangung startet die 24-Stunden-Uhr — nicht der Zeitpunkt der Behebung, nicht der Abschluss der Analyse.

Meldung durch Mitarbeitende, IT, Monitoring oder externe Hinweise

Auch unvollständige Kenntnis zählt — der Umfang muss nicht klar sein

Zeitstempel dokumentieren — dieser Moment ist später der Nachweis für die Fristerfüllung.

Alle 3 Kriterien erfüllt

Erheblicher, meldepflichtiger Vorfall im Sinne von §32 BSIG. 24-Stunden-Frist läuft ab Kenntniserlangung. Incident Owner einbeziehen, Meldeprozess einleiten, Zeitstempel sichern.

Mindestens 1 Kriterium nicht erfüllt

Kein erheblicher Vorfall im Sinne von §32 BSIG. Vorgang intern dokumentieren, Lage weiter beobachten. Einordnung bei veränderten Erkenntnissen neu vornehmen.

Konsequenz der Entscheidung · §32 BSIG

Die Fristen sind die Folge — nicht der Startpunkt

Sobald alle drei Kriterien erfüllt sind, laufen die Fristen ab Kenntniserlangung — unabhängig von Analyse-Stand oder Behebung.

Erstmeldung

24h

Frühmeldung an BSI. Keine vollständige Analyse nötig — Einordnung und erste Lagebeschreibung genügen.

Folgemeldung

72h

Detaillierte Bewertung, Ursachen soweit bekannt, ergriffene Sofortmaßnahmen, betroffene Dienste.

Abschlussbericht

30 Tage

Vollständige Analyse, Maßnahmen, Lessons Learned. GF-Freigabe dokumentieren.

Wichtig

Eine verspätete oder fehlende Meldung ist nach §65 BSIG ein eigenständiger Bußgeldtatbestand — unabhängig vom Ausgang des Vorfalls und unabhängig von etwaigen Bußgeldern wegen fehlender Registrierung oder Maßnahmen.

Verantwortlichkeit

Wer entscheidet, wer meldet — und wer gibt frei?

Diese Fragen müssen vor dem Eintritt eines Vorfalls geklärt und dokumentiert sein. Sind die Zuständigkeiten offen, wird die Meldung zur Abstimmungsschleife — und die Frist läuft weiter. Drei Rollen sind zwingend vorab zu benennen:

Incident Owner

Entscheidet die Einordnung — ist dieser Vorfall erheblich? Koordiniert intern und steuert den Meldeprozess. Muss vorab benannt und dokumentiert sein. Im NIS2-Arbeitsplatz: IRP-01

Geschäftsführung

Muss informiert werden und die Meldung freigeben. §38 BSIG verlangt aktive GF-Einbindung — auch im Incident-Fall. Ohne dokumentierte GF-Kenntnisnahme ist der Nachweis lückenhaft. Im Arbeitsplatz: EVID-01

Meldeverantwortung

Wer sendet die Meldung an das BSI? Technisch, operativ und mit Zugangsdaten zum BSI-Portal ausgestattet. Nicht identisch mit dem Incident Owner. Zeitstempel der Meldung ist Nachweis für Fristerfüllung. Im Arbeitsplatz: IRSK-01

Von der Einordnung zum Nachweis

Wenn die Einordnung getroffen ist, muss sie dokumentiert werden.

Einordnung, Zeitstempel, GF-Kenntnisnahme, Meldepfad und Abschlussnachweis — das sind keine unabhängigen Schritte. Sie folgen einem strukturierten Protokoll und Ablauf, der Sie zum belastbaren Nachweis der Pflichterfüllung führt.

Wer dieses Protokoll im Regal hat, bevor der Vorfall eintritt, handelt im Ernstfall in Minuten statt in Stunden.

Dokumentation · Nächster Schritt

Diese Entscheidung muss dokumentiert sein — sonst ist sie im Nachhinein nicht nachweisbar.

Wenn Sie die Einordnung im Vorfall treffen müssen, brauchen Sie ein vorbereitetes Protokoll. Entscheidung, Zeitstempel, GF-Kenntnisnahme und Meldepfad folgen einer festgelegten Struktur — die Sie jetzt einrichten, nicht im Ernstfall.

Meldeprozess strukturiert vorbereiten →

Wer Incident Response, GF-Freigabe und Meldepfad in einer strukturierten Arbeitsumgebung führen möchte: NIS2-Einordnung vornehmen.

Weiter im Pfad · Incident Journey

DownloadVorlage für den Meldeprozess