Kurzfassung
Der relevante Schritt ist nicht die sofortige BSI-Meldung bei jeder Störung. Der relevante Schritt ist eine geführte Meldebewertung. Das Unternehmen muss zeigen können, was wann bekannt war, welche Wirkung geprüft wurde, wer entschieden hat und warum gemeldet oder nicht gemeldet wurde.
Ausgangspunkt
Nicht jeder IT-Vorfall ist nach §32 BSIG meldepflichtig
Ein meldepflichtiger Vorfall zeichnet sich in der Regel durch seine Auswirkung, den erkennbaren Sicherheitsbezug und die Kritikalität des betroffenen Dienstes aus. Vier Einordnungen helfen bei der ersten Orientierung:
Kein NIS2-Bezug
Technische Störung
Hardwaredefekt, Bedienfehler, geplante Wartung, bekannte Ursache ohne Sicherheitsbezug. Kein zusätzlicher NIS2-Bewertungsstand erforderlich, solange kein Sicherheitsbezug erkennbar ist.
Prüfen
Störung mit unklarer Ursache
Unbekannte Ursache, ungewöhnliches Systemverhalten, mehrere Systeme gleichzeitig betroffen. Sicherheitsbezug nicht ausgeschlossen.
Sicherheitsbezug naheliegend
Sicherheitsereignis
SIEM-Alarm, EDR-Erkennung, Auffälligkeit in Logs, Verdacht auf Manipulation oder unbefugten Zugriff. Meldebewertung beginnt.
Meldebewertung erforderlich
Sicherheitsvorfall mit möglicher Erheblichkeit
Datenzugriff, Ransomware-Verdacht, Betriebsunterbrechung mit Wirkung, Kundenwirkung oder böswillige Handlung. §32 BSIG kann berührt sein und muss bewertet werden.
Relevanzprüfung
Wann ein Vorgang NIS2-relevant wird
Diese Hinweise zeigen, wann aus einer IT-Störung ein sicherheitsrelevanter Vorgang werden kann und eine Meldebewertung erforderlich wird:
| Signal | Warum relevant | Bewertung |
|---|---|---|
| Zentrale Dienste betroffen | Betriebsfähigkeit kann berührt sein | prüfen |
| Datenabfluss nicht ausgeschlossen | Vertraulichkeit oder Integrität betroffen | prüfen |
| Unbefugter Zugriff möglich | Sicherheitsbezug naheliegend | prüfen |
| Kunde oder Lieferant betroffen | Externe Wirkung möglich | prüfen |
| Produktion oder OT betroffen | Betriebswirkung möglich | prüfen |
| Böswillige Handlung erkennbar | Sicherheitsvorfall naheliegend | starkes Signal |
| Kritische Systeme längere Zeit ausgefallen | Erheblichkeit möglich | prüfen |
Zur Einordnung
Ein einzelnes Merkmal allein ist selten ausschlaggebend. Die Gesamtheit der Aspekte ist Grundlage der Bewertung. Daraus folgt, ob Erheblichkeit und Meldepflicht naheliegen, ausgeschlossen werden können oder weiter geprüft werden müssen.
IT-Ticket · Vorfallserfassung
Mindestinformationen für Ticket und Vorfallakte
Das Unternehmen muss kein neues ITSM-System einführen. Entscheidend ist, dass die relevanten Informationen im bestehenden Ticket, in der Vorfallakte oder im Meldebewertungsprotokoll nachvollziehbar geführt werden. Im Besonderen sind dies:
T-01
Zeitpunkt der ersten Kenntnis
Wann wurde das Ereignis erstmals wahrgenommen? Die 24-Stunden-Frist knüpft an die Kenntniserlangung eines erheblichen Sicherheitsvorfalls an. Deshalb sollte der Zeitpunkt der ersten belastbaren Kenntnis dokumentiert werden.
T-02
Melder und Quelle
Wer hat das Ereignis erkannt? SIEM, EDR, Helpdesk, Dienstleister, Nutzer, ein Sicherheitsereignis aus der Firewall oder eine Kundeninformation?
T-03
Betroffene Systeme und Dienste
Welche Systeme, Dienste, Standorte oder Datenbereiche sind betroffen oder könnten betroffen sein?
T-04
Erste Betriebswirkung
Was ist die erkennbare Wirkung auf Betrieb, Kunden, Lieferanten oder externe Dienste — auch wenn noch unklar?
T-05
Datenbezug
Sind personenbezogene, vertrauliche oder betriebsrelevante Daten betroffen oder ist das nicht ausgeschlossen?
T-06
Sofortmaßnahmen und Owner
Welche Maßnahmen wurden eingeleitet? Wer ist verantwortlicher Owner für die Bewertung und Eskalation?
Nächste Bewertung
Im Ticket sollte ein konkreter Zeitpunkt für die nächste Meldebewertung stehen — nicht „so bald wie möglich". Der Bewertungsstand ändert sich mit dem Erkenntnisstand.
Compliance-Schritt
Die Meldebewertung: erheblich ja/nein/prüfen — meldepflichtig ja/nein/prüfen
Das Meldebewertungsprotokoll dokumentiert nicht nur eine spätere Meldung. Es hält die Bewertung fest, ob ein Ereignis erheblich und meldepflichtig ist oder ob eine Nichtmeldung begründet wird. Das ist der Unterschied zwischen einer technischen Vorfallakte und einem NIS2-fähigen Nachweis.
Muss enthalten sein
Ereignis-ID / Ticket-ID
Bezug zur Vorfallakte
Zeitpunkt Kenntniserlangung
Betroffene Systeme und Prozesse
Betriebswirkung
Datenbezug
Kundenwirkung
Böswillige Handlung — ja/nein/unklar
Entscheidungsfelder
Erheblichkeit: ja / nein / prüfen
Meldepflicht: ja / nein / prüfen
Begründung
Entscheider und Rolle
Geschäftsführung informieren: ja / nein / prüfen
Nächste Wiedervorlage
Nachweisquelle (Ticket, EVID-02)
Wichtig
Das Tool unterstützt die strukturierte Bewertung und Dokumentation. Die fachliche Entscheidung über Erheblichkeit und Meldepflicht verbleibt beim Unternehmen.
Entscheidung: Ja / Prüfen
Wenn eine Meldung erforderlich oder wahrscheinlich ist
1
Vorfallakte fortführen
Zeitstempel, Systemlage, Maßnahmen und Kommunikationslog laufend aktualisieren.
2
Meldebewertung dokumentieren
Erheblichkeit, Meldepflicht, Begründung, Entscheider und Zeitstempel festhalten.
3
Frühmeldung vorbereiten
Erste strukturierte Meldung an das BSI auf Basis des verfügbaren Kenntnisstands. Die Frühmeldung ersetzt keinen Abschlussbericht.
4
Geschäftsführung bei relevanter Wirkung informieren
Bei erheblicher Betriebswirkung, Kundenwirkung, Meldeentscheidung oder wesentlichem Restrisiko die Befassung der Geschäftsführung dokumentieren.
5
Nachweisquellen sichern und Folgestand setzen
Ticket, Vorfallakte, Meldebewertung und Frühmeldung verlinken. Folgestand und Wiedervorlage dokumentieren.
6
Lessons Learned nach Abschluss
Ursache, Prozesslücken und abgeleitete Maßnahmen in RISK-03 überführen. Wirksamkeit prüfen.
Entscheidung: Nein
Wenn nicht gemeldet wird
Eine begründete Nichtmeldung ist kein Weglassen von Dokumentation. Sie ist selbst ein dokumentierter Bewertungsstand. Auch eine Nichtmeldung muss später nachvollziehbar sein: Welche Informationen lagen vor, welche Wirkung wurde geprüft, wer hat entschieden und warum wurde keine Meldung vorbereitet?
Warum nicht gemeldet
Welche Kriterien wurden geprüft und warum wurde die Erheblichkeitsschwelle nicht als erreicht bewertet?
Informationslage zum Zeitpunkt
Welche Informationen lagen vor? Welche Wirkung wurde geprüft und welche Quellen stützen die Bewertung?
Entscheider und Nachweisquelle
Wer hat die Bewertung vorgenommen und freigegeben? In welchem Dokument ist die Entscheidung nachvollziehbar?
Wiedervorlage und Beobachtung
Welche Wiedervorlage wurde gesetzt? Gibt es Beobachtungspflichten, falls neue Informationen die Einordnung ändern?
Arbeitsstrecke
Vorlagen für diese Prüfsituation
Zu den Vorlagen-Kürzeln
Die Kürzel wie FRM-02, IR-01 oder EVID-02 bezeichnen Arbeitsdokumente, die ausschließlich im NIS2-Arbeitsplatz verfügbar sind — dem geführten Execution-Tool für diese Prüfsituation. Sie sind nicht öffentlich abrufbar und kein Bestandteil von Normen oder Standards. Die vollständigen Arbeitsdokumente sind Bestandteil des Pakets „Meldebewertung führen“ im NIS2-Arbeitsplatz. Die Seite erklärt den Ablauf; das Paket führt durch die Umsetzung.
1 · FRM-02
Operative Vorfallakte
Ereignis, Wirkung, Maßnahmen und Zeitstempel führen.
2 · IR-01
Meldebewertungsprotokoll
Erheblichkeit und Meldepflicht bewerten und begründen.
3 · FRM-01
Frühmeldung
Nur bei meldepflichtigem oder wahrscheinlich meldepflichtigem Vorfall.
4 · GOV-01
Kenntnisnahme der Geschäftsführung
Bei erheblicher Wirkung, Kundenwirkung, Meldeentscheidung oder wesentlichem Restrisiko.
5 · EVID-02
Nachweisregister
Quellen, Tickets und Berichte ablegen und verlinken.
6 · FRM-03
Lessons Learned
Nach Abschluss Maßnahmen und Verbesserungen ableiten.
Ergebnis
Was am Ende vorliegt
Dokumentierte Vorfallakte
Zeitstempel, betroffene Systeme, Betriebswirkung, Sofortmaßnahmen und Kommunikationslog.
Meldebewertung mit Ergebnis
Erheblich ja/nein/prüfen, meldepflichtig ja/nein/prüfen, Begründung, Entscheider, Zeitpunkt.
Frühmeldung oder begründete Nichtmeldung
FRM-01 bei Meldepflicht — oder dokumentierte Nichtmeldungsentscheidung mit Begründung.
Nachweisablage und Wiedervorlage
Alle Quellen in EVID-02 verlinkt. Kenntnisnahme der Geschäftsführung dokumentiert, falls erforderlich. Lessons Learned eingeleitet.
Klarstellung
Das Ergebnis ist keine Rechtsgarantie. Es ist eine strukturierte Nachweisgrundlage für die interne Entscheidung, die Meldung oder die begründete Nichtmeldung.
Häufige Fragen · §32 BSIG Meldebewertung
Nein. Entscheidend sind Sicherheitsbezug, Betriebswirkung, betroffene Dienste, Datenbezug, Kundenwirkung und Erheblichkeit. Auch wenn nicht gemeldet wird, sollte die Bewertung dokumentiert werden.
Die Frist knüpft an die Kenntniserlangung eines erheblichen Sicherheitsvorfalls an. Deshalb sollte der Zeitpunkt der ersten belastbaren Kenntnis im Ticket oder in der Vorfallakte dokumentiert werden — nicht erst bei Eskalation oder Behebungsstart.
Die Meldebewertung hält fest, ob ein Ereignis erheblich und meldepflichtig ist oder ob eine Nichtmeldung begründet wird. Sie dokumentiert Wirkung, Quellen, Entscheider, Begründung und Wiedervorlage. Auch eine begründete Nichtmeldung ist ein dokumentierter Bewertungsstand, kein Weglassen.
Die Gründe der Nichtmeldung, die geprüften Auswirkungen, die Informationslage zum Zeitpunkt der Entscheidung, der Entscheider und seine Rolle, die Nachweisquellen und eine Wiedervorlage.
Unternehmen sollten Rollen, Eskalationswege, Vorfallakte, Meldebewertung und Nacharbeit geregelt haben. Der Umfang hängt von Größe, Risiko, Systemlandschaft und NIS2-Betroffenheit ab. IRP-01 bietet einen praxistauglichen Rahmen für KMU in der Vorfallbearbeitung.
Nächster Schritt · §32 BSIG
Meldebewertung führen
Geführte Arbeitsreihenfolge mit Vorfallakte, Meldebewertungsprotokoll, Frühmeldung, begründeter Nichtmeldung und Nachweisablage.
Paket in Vorbereitung · geführte Meldebewertung · Arbeitsdokumente und Bericht