Volljurist und Compliance-Experte
20 Mar 2026
9 min
.svg)
Erhebliche Sicherheitsvorfälle müssen dem BSI innerhalb von 24 Stunden als Frühwarnung gemeldet werden. Die Frist beginnt mit der Kenntnis, nicht mit dem Abschluss der Analyse.
Der Meldeprozess ist dreistufig: Frühwarnung (24h), Folgemeldung (72h), Abschlussbericht (1 Monat). Das BSI-Prinzip lautet "Schnelligkeit vor Vollständigkeit".
Ein Vorfall ist meldepflichtig, wenn er schwerwiegende Betriebsstörungen, finanzielle Verluste oder Schäden an Dritten verursacht hat oder verursachen kann (§32 NIS2UmsuCG).
Bei Vorfällen mit Personendaten laufen NIS2-Meldung (24h ans BSI) und DSGVO-Meldung (72h an die Datenschutzbehörde) parallel. Beide müssen koordiniert vorbereitet werden.
Wenn ein erheblicher Sicherheitsvorfall eintritt, zählt jede Stunde. Die NIS2-Meldepflicht nach §32 NIS2UmsuCG verlangt von betroffenen Unternehmen, das BSI innerhalb von 24 Stunden zu informieren. Danach folgen zwei weitere Meldungen: eine Folgemeldung nach 72 Stunden und ein Abschlussbericht nach einem Monat.
Seit dem 6. Dezember 2025 ist das NIS2UmsuCG in Kraft. Der dreistufige Meldeprozess gilt sofort, ohne Übergangsfrist. Dieser Artikel erklärt, wann ein Vorfall meldepflichtig wird, was in welche Meldung gehört und wie Sie den Prozess in Ihrem Unternehmen vorbereiten.
Die NIS2-Meldepflicht ist die gesetzliche Verpflichtung für besonders wichtige und wichtige Einrichtungen, erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Die Rechtsgrundlage ist §32 NIS2UmsuCG. Betroffen sind alle Unternehmen, die unter den NIS2-Geltungsbereich fallen, also Einrichtungen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in einem der 18 regulierten Sektoren.
Die Meldepflicht ist kein einmaliger Vorgang, sondern ein dreistufiger Prozess mit klar definierten Fristen und Inhaltsanforderungen. Das BSI ist die zentrale Meldestelle. Die Meldung erfolgt über das BSI-Portal (Melde- und Informationsportal, kurz MIP). Wichtig: Die Verantwortung für die Meldung liegt immer beim Unternehmen selbst, auch wenn externe Dienstleister die Meldung technisch absetzen.
Betreiber kritischer Anlagen und Bundesbehörden nutzen derzeit noch ihre bestehenden Meldewege. Für alle anderen NIS2-regulierten Einrichtungen ist das MIP der einzige Meldekanal. Die Registrierung im BSI-Portal ist seit März 2026 aktiv. Wer sich noch nicht registriert hat, kann über ein Online-Formular im MIP melden, sollte die Registrierung aber umgehend nachholen.
Nicht jeder Sicherheitsvorfall löst die Meldepflicht aus. §32 NIS2UmsuCG definiert einen "erheblichen Sicherheitsvorfall" anhand von drei Kriterien:
| Kriterium | Erläuterung | Beispiel |
|---|---|---|
| Schwerwiegende Betriebsstörung | Dienste sind nicht oder nur eingeschränkt verfügbar | Ransomware verschlüsselt Produktionssysteme, Betrieb steht für 48h still |
| Finanzielle Verluste | Erheblicher wirtschaftlicher Schaden für die Einrichtung | CEO-Fraud mit Überweisung von 500.000 Euro |
| Schäden an Dritten | Materielle oder immaterielle Schäden bei natürlichen oder juristischen Personen | Datenleak mit 50.000 Kundendatensätzen |
Die Formulierung "verursacht hat oder verursachen kann" ist ein zentraler Punkt. Ein Vorfall muss nicht bereits Schaden angerichtet haben. Es reicht, dass das Schadenspotenzial erheblich ist. In der Praxis ist die Abgrenzung oft schwieriger als das Gesetz suggeriert. Ein DDoS-Angriff, der den Webshop für zwei Stunden lahmlegt, ist nicht automatisch meldepflichtig. Ein Ransomware-Angriff, der Produktionssysteme verschlüsselt, fast immer. Im Zweifel empfiehlt das BSI, eher zu melden als abzuwarten.
Für spezialisierte Dienstanbieter (DNS-Dienste, Cloud-Computing, Rechenzentrumsdienste, Plattformen sozialer Netzwerke) gelten zusätzlich die Kriterien der EU-Durchführungsverordnung 2024/2690. Diese spezifiziert technische Schwellenwerte, ab denen ein Vorfall als erheblich einzustufen ist.
Beinahe-Vorfälle (Vorfälle, die Schaden hätten anrichten können, aber rechtzeitig erkannt wurden) sind nach NIS2 meldbar, aber nicht meldepflichtig. Das BSI empfiehlt eine freiwillige Meldung, weil sie zur Lagebilderstellung beiträgt und anderen Einrichtungen bei der Prävention hilft. Meldungen werden vom BSI in anonymisierter Form aufbereitet und in Lageprodukten für andere Einrichtungen bereitgestellt, ohne Rückschlüsse auf den Melder zu ermöglichen.
Der Meldeprozess nach §32 NIS2UmsuCG ist in drei Stufen gegliedert. Jede Stufe hat eigene Fristen und Inhaltsanforderungen. Das BSI-Prinzip lautet: "Schnelligkeit vor Vollständigkeit". Eine unvollständige Frühwarnung innerhalb der Frist ist besser als ein vollständiger Bericht nach 48 Stunden.
Die Logik dahinter: Das BSI braucht die Frühwarnung, um andere Einrichtungen im gleichen Sektor warnen zu können. Ein Ransomware-Angriff auf einen Energieversorger kann Hinweise auf eine laufende Kampagne geben, die weitere Energieversorger bedroht. Je schneller das BSI informiert ist, desto schneller können andere gewarnt werden. Die Detailtiefe kommt in den Folgemeldungen.
Die Frist beginnt mit der Kenntnis des Vorfalls, nicht mit dem Abschluss der Analyse. Das ist die Anforderung, an der Unternehmen in der Praxis am häufigsten scheitern. Der Grund ist selten technisch: Es fehlt an klaren Zuständigkeiten, wer die Meldung absetzt.
Was in die Frühwarnung gehört:
Die Folgemeldung aktualisiert die Frühwarnung mit den Erkenntnissen der ersten Analyse.
Was in die Folgemeldung gehört:
Der Abschlussbericht wird fällig, sobald der Vorfall beendet ist, spätestens aber einen Monat nach der Frühwarnung.
Was in den Abschlussbericht gehört:
"Die 24-Stunden-Frist ist das, woran Unternehmen am häufigsten scheitern. Nicht weil die Technik fehlt, sondern weil niemand weiß, wer die Meldung absetzt. Klären Sie die Zuständigkeiten, bevor der Ernstfall eintritt. Im Moment des Angriffs ist dafür keine Zeit."
Niklas Hanitsch, Gründer & Geschäftsführer bei SECJUR
Praxisbeispiel
Freitag, 22:30 Uhr: Das SIEM eines mittelständischen Logistikers schlägt Alarm. Ein Angreifer hat über eine Schwachstelle in der VPN-Appliance Zugriff auf das interne Netz erlangt. Der IT-Leiter wird um 23:15 Uhr informiert. Ab diesem Zeitpunkt läuft die 24-Stunden-Frist. Bis Samstag 23:15 Uhr muss die Frühwarnung beim BSI eingegangen sein. Der IT-Leiter setzt um 01:00 Uhr die Erstmeldung über das MIP ab: Einstufung als erheblicher Vorfall, vorläufige Beschreibung, betroffene Systeme, Kontaktdaten. Die Root-Cause-Analyse läuft parallel. Bis Montag 23:15 Uhr (72h) muss die Folgemeldung mit IOCs und Ursachenanalyse folgen.
Seit dem Inkrafttreten des NIS2UmsuCG ist das BSI-Melde- und Informationsportal (MIP) der zentrale Meldeweg. Registrierte Einrichtungen melden direkt über ihren Portalzugang. Unternehmen, die sich noch nicht registriert haben, können über ein Online-Formular im MIP melden. Die BSI-Informationsseite zur NIS2-Meldepflicht erklärt den Zugang im Detail.
Melden darf grundsätzlich jeder Mitarbeitende der Einrichtung. Unternehmen können auch externe Dienstleister (z. B. Managed Security Service Provider) zur Meldungsabgabe ermächtigen. Die Verantwortung bleibt aber beim Unternehmen. Das BSI bestätigt den Eingang jeder Meldung innerhalb von 24 Stunden und nimmt bei Rückfragen Kontakt auf.
Zwei Punkte, die in der Praxis oft übersehen werden: Erstens kann eine abgegebene Meldung nicht zurückgezogen werden. Fehlerhafte Informationen lassen sich nur durch eine korrigierende Folgemeldung berichtigen. Zweitens sollten Einrichtungen nach einer Meldung erreichbar sein. Das BSI kann Warnprodukte und Handlungsempfehlungen zurücksenden. Unternehmen brauchen interne Prozesse, die sicherstellen, dass BSI-Warnungen auch außerhalb der Geschäftszeiten die richtigen Personen erreichen.
Unternehmen, die ihren Incident-Response-Prozess über ein ISMS steuern, haben die Meldewege als Bestandteil ihrer Incident-Management-Dokumentation. Eine Plattform wie SECJUR bringt vorgefertigte Workflows mit, die den Meldeprozess von der Vorfallserkennung über die BSI-Kommunikation bis zum Abschlussbericht strukturieren.
Viele Sicherheitsvorfälle betreffen gleichzeitig personenbezogene Daten. In diesem Fall laufen zwei Meldepflichten parallel: Die NIS2-Meldung an das BSI (Frühwarnung innerhalb von 24 Stunden) und die DSGVO-Meldung an die zuständige Datenschutzaufsichtsbehörde (innerhalb von 72 Stunden nach Art. 33 DSGVO). Beide Meldungen haben unterschiedliche Adressaten, unterschiedliche Fristen und unterschiedliche inhaltliche Anforderungen.
Die NIS2-Frist ist mit 24 Stunden deutlich kürzer als die 72 Stunden der DSGVO. In der Praxis bedeutet das: Wenn ein Vorfall personenbezogene Daten betrifft, geht die NIS2-Frühwarnung zuerst raus, die DSGVO-Meldung folgt. Beide Meldungen sollten koordiniert vorbereitet werden, idealerweise mit einem einzigen internen Prozess, der automatisch beide Meldewege anstößt.
Der inhaltliche Fokus unterscheidet sich: Die NIS2-Meldung konzentriert sich auf die Betriebsstörung und IT-Sicherheitsaspekte. Die DSGVO-Meldung auf den Schutz personenbezogener Daten, betroffene Datenkategorien und Risiken für die Rechte der Betroffenen. Wer beide Meldungen vorbereitet, sollte ein gemeinsames Incident-Formular nutzen, das die Pflichtfelder beider Meldungen abdeckt. Unternehmen, die ihre NIS2-Anforderungen über ein ISMS umsetzen, haben die Incident-Response-Prozesse dafür bereits dokumentiert.
Die Anforderung klingt klar: Vorfall erkennen, BSI melden, fertig. In der Praxis scheitern Unternehmen an vier Stellen.
Wer die Meldepflicht versäumt, riskiert Bußgelder nach §65 NIS2UmsuCG. Für besonders wichtige Einrichtungen liegt die Obergrenze bei 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bei 7 Millionen Euro oder 1,4 %. Das BSI kann bei besonders wichtigen Einrichtungen proaktiv prüfen (§61), ob die Meldeprozesse funktionieren. Bei wichtigen Einrichtungen greift die Aufsicht reaktiv, also bei konkreten Hinweisen auf Versäumnisse (§62).
Neben den Bußgeldern hat ein versäumter Meldeprozess auch operative Konsequenzen: Das BSI kann keine Warnung an andere Einrichtungen herausgeben, der Vorfall bleibt länger unentdeckt im Sektor, und das Unternehmen verliert im Nachgang an Glaubwürdigkeit gegenüber Kunden und Partnern. Die Geschäftsleitung trägt nach §38 NIS2UmsuCG die persönliche Verantwortung dafür, dass die Meldeprozesse implementiert und funktionsfähig sind.
Die NIS2-Meldepflicht ist kein bürokratischer Akt, den man im Ernstfall improvisieren kann. 24 Stunden sind zu kurz, um Zuständigkeiten zu klären, Meldeformulare zu finden und die Geschäftsleitung zu informieren. Die Vorbereitung muss vorher stehen: ein dokumentierter Incident-Response-Prozess, ein vorausgefülltes Melde-Template, benannte Verantwortliche und mindestens eine Tabletop-Übung pro Jahr. Solche Übungen decken innerhalb von zwei Stunden Lücken auf, die im Alltag nicht auffallen.
Unternehmen, die ihre NIS2-Pflichten über ein ISMS umsetzen, haben den Incident-Response-Prozess als integralen Bestandteil. SECJUR Digital Compliance Office bringt Workflows und Vorlagen mit, die den Meldeprozess strukturieren, von der Vorfallserkennung bis zum Abschlussbericht. Das spart im Ernstfall die Stunden, die zwischen fristgerechter Meldung und Fristversäumnis liegen.
Die zehn Maßnahmenbereiche aus §30 NIS2UmsuCG, zu denen auch Incident Response gehört, erklären wir im Detail unter NIS2 Anforderungen. Welche persönliche Verantwortung die Geschäftsleitung nach §38 für die Umsetzung dieser Maßnahmen trägt, lesen Sie unter NIS2 Haftung Geschäftsführer.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
Die NIS2-Meldepflicht verpflichtet Unternehmen in regulierten Sektoren, erhebliche Sicherheitsvorfälle dem BSI zu melden. Der Meldeprozess nach §32 NIS2UmsuCG ist dreistufig: Frühwarnung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden und Abschlussbericht innerhalb eines Monats.
Die erste Meldung (Frühwarnung) muss innerhalb von 24 Stunden nach Kenntnis des Vorfalls beim BSI eingehen. Innerhalb von 72 Stunden folgt eine detaillierte Folgemeldung mit Ursachenanalyse. Nach spätestens einem Monat ist ein Abschlussbericht mit Root-Cause-Analyse fällig. Das BSI-Prinzip lautet: Schnelligkeit vor Vollständigkeit.
Verstöße gegen die Meldepflicht können mit Bußgeldern geahndet werden: bis zu 10 Millionen Euro für besonders wichtige Einrichtungen und bis zu 7 Millionen Euro für wichtige Einrichtungen. SECJUR unterstützt Unternehmen dabei, den Meldeprozess vorzubereiten und die Fristen einzuhalten.
§38 NIS2UmsuCG verpflichtet Geschäftsführer persönlich zur Cybersecurity-Überwachung. Alle Pflichten, Bußgelder und Enthaftungsstrategien.
Erfahren Sie alles Wichtige zum Thema SOC 2 in diesem Blogpost! Wenn Sie Geschäftskunden im angelsächsischen Raum gewinnen möchten, stehen Sie möglicherweise vor der Entscheidung zwischen dem Standard ISO27001 und dem US-Standard SOC 2. Aber was genau verbirgt sich hinter SOC 2 und was müssen Sie darüber wissen? In diesem Artikel erhalten Sie eine einfache und übersichtliche Erklärung zu SOC 2 sowie die entscheidenden Informationen, die Sie bei Ihrer Wahl berücksichtigen sollten. Finden Sie heraus, welcher Standard am besten zu Ihren Anforderungen und Zielen passt und setzen Sie Ihre Geschäftserfolge fort. Lesen Sie jetzt weiter!
Viele Unternehmen verwechseln Auditprogramm und Auditplan und verschenken dadurch wertvolles Potenzial. Erfahren Sie, wie Sie mit einem klar strukturierten ISO 9001 Auditprogramm Ihre Audits strategisch planen, Risiken gezielt steuern und Ressourcen optimal einsetzen. Dieser Leitfaden zeigt, wie Sie Ihr Auditprogramm in ein dynamisches Steuerungsinstrument verwandeln, das Qualität, Effizienz und kontinuierliche Verbesserung im Unternehmen stärkt.
.svg)
.svg)
.svg){kind=small}