In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
NIS2: Wann gilt ein Vorfall als erheblich?

NIS2: Wann gilt ein Vorfall als erheblich?

Niklas Hanitsch

Volljurist und Compliance-Experte

14 Mar 2026

4 Minuten

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Key Takeaways

Eine praxisnahe NIS2-Matrix schafft Klarheit und ermöglicht die sichere Einstufung von Sicherheitsvorfällen.

Klare Bewertungskriterien schützen vor Fehlentscheidungen und rechtlichen Risiken.

Im Incident-Management verankert, sorgt die Matrix für schnellere Entscheidungen und höhere Cyber-Resilienz.

Standardisierte Bewertungen stärken Vertrauen und machen Cybersicherheit messbar.

Aktualisierung vom 21.11.2025: NIS2 gilt in Deutschland ab dem Tag der Veröffentlichung des Umsetzungsgesetzes im Bundesgesetzblatt, was derzeit für Ende 2025 oder Anfang 2026 erwartet wird. Dann werden die Pflichten für Unternehmen rechtlich verbindlich.

Es ist 3 Uhr morgens. Ein Alarm geht los – nicht der Wecker, sondern der rote Bereich in Ihrem System-Monitoring. Ein zentraler Server ist ausgefallen, der Webshop ist offline, und die ersten Support-Anfragen laufen ein. Inmitten des Chaos der Krisenbewältigung schießt Ihnen ein Gedanke durch den Kopf: „Ist das ein meldepflichtiger Vorfall nach NIS2?“

Diese Frage ist mehr als nur eine administrative Formalität. Von Ihrer Antwort hängen nicht nur empfindliche Bußgelder für Ihr Unternehmen ab, sondern potenziell auch die persönliche Haftung der Geschäftsführung. Die NIS2-Richtlinie verlangt die Meldung „erheblicher“ Sicherheitsvorfälle innerhalb von 24 Stunden. Aber was genau macht einen Vorfall „erheblich“? Die offiziellen Texte bleiben oft vage und lassen die Verantwortlichen im Ernstfall mit einer unsicheren Einschätzung allein.

Dieser Artikel schließt diese Lücke. Wir übersetzen die juristischen Anforderungen in eine praxisnahe Anleitung und stellen Ihnen ein konkretes Werkzeug an die Hand: eine Bewertungsmatrix, mit der Sie im Krisenfall schnell, sicher und nachvollziehbar entscheiden können.

Foundation: Die Grundlagen in 90 Sekunden

Bevor wir in die Details der Bewertung eintauchen, lassen Sie uns das Fundament klären. Die NIS Richtlinie zielt darauf ab, das allgemeine Niveau der Cybersicherheit in der EU zu erhöhen. Ein zentrales Element dabei ist die Pflicht zur Meldung von Sicherheitsvorfällen.

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gilt ein Sicherheitsvorfall als erheblich, wenn er:

  1. Schwerwiegende Betriebsstörungen wesentlicher Dienste verursacht oder verursachen kann.
  2. Erhebliche finanzielle Verluste für die betroffene Einrichtung zur Folge hat.
  3. Erhebliche Schäden für andere natürliche oder juristische Personen durch Auswirkungen auf andere Dienste verursacht hat.

Diese Definitionen sind der offizielle Rahmen. Doch sie werfen sofort die entscheidenden Fragen auf: Wann ist eine Betriebsstörung „schwerwiegend“? Wie hoch ist ein „erheblicher“ finanzieller Verlust? Hier beginnt die Grauzone, die wir nun beleuchten werden.

Building: Die Bewertungsmatrix in der Praxis

Um von einer vagen Definition zu einer klaren Entscheidung zu gelangen, benötigen Sie ein System. Die folgende Bewertungsmatrix hilft Ihnen dabei, einen Vorfall anhand von fünf Schlüsselkriterien objektiv zu bewerten. Jedes Kriterium wird auf einer Skala von 1 (gering) bis 5 (kritisch) bewertet. Die Summe der Punkte gibt Ihnen eine klare Indikation zur Meldepflicht.

Die 5 Bewertungskriterien im Detail

1. Dauer der Störung / Zeit bis zur Wiederherstellung

Hier geht es um die reine Zeit, in der Ihr wesentlicher Dienst nicht verfügbar war oder beeinträchtigt wurde.

  •  1 Punkt: Störung unter 1 Stunde (z.B. kurzer Server-Neustart)
  •  2 Punkte: Störung zwischen 1 und 4 Stunden
  •  3 Punkte: Störung zwischen 4 und 12 Stunden (betrifft einen halben Arbeitstag)
  •  4 Punkte: Störung zwischen 12 und 24 Stunden
  •  5 Punkte: Störung dauert länger als 24 Stunden an

2. Anzahl betroffener Nutzer / Systeme

Dieses Kriterium misst die Reichweite des Vorfalls. Sind nur wenige interne Systeme betroffen oder Tausende von Kunden?

  •  1 Punkt: Weniger als 1 % der Nutzer oder nur interne Testsysteme
  •  2 Punkte: 1-10 % der Nutzer oder eine einzelne Abteilung
  •  3 Punkte: 10-30 % der Nutzer oder mehrere kritische Abteilungen
  •  4 Punkte: 30-70 % der Nutzer oder das gesamte Unternehmen
  •  5 Punkte: Über 70 % der Nutzer oder externe Kunden in großer Zahl

3. Finanzielle Auswirkungen

Schätzen Sie den direkten finanziellen Schaden durch Umsatzausfall, Wiederherstellungskosten oder Vertragsstrafen.

  •  1 Punkt: Vernachlässigbarer finanzieller Schaden (< 0,1 % des Monatsumsatzes)
  •  2 Punkte: Spürbarer Schaden (0,1 - 1 % des Monatsumsatzes)
  •  3 Punkte: Signifikanter Schaden (1 - 5 % des Monatsumsatzes)
  •  4 Punkte: Kritischer Schaden (5 - 10 % des Monatsumsatzes)
  •  5 Punkte: Existenzbedrohender Schaden (> 10 % des Monatsumsatzes)

4. Art der kompromittierten Daten

Nicht alle Daten sind gleich. Ein Leck von öffentlichen Marketing-Daten ist weniger kritisch als der Verlust sensibler Gesundheitsdaten.

  •  1 Punkt: Keine personenbezogenen oder sensiblen Daten betroffen
  •  2 Punkte: Anonymisierte oder nicht-sensible Geschäftsdaten
  •  3 Punkte: Allgemeine personenbezogene Daten (Namen, E-Mail-Adressen)
  •  4 Punkte: Sensible Geschäftsdaten (Finanzdaten, geistiges Eigentum)
  •  5 Punkte: Besonders schützenswerte Daten nach DSGVO (Gesundheitsdaten, biometrische Daten)

5. Auswirkungen auf Dritte (Lieferkette, Kunden)

Ein Vorfall in Ihrem Unternehmen kann eine Kettenreaktion auslösen. Wenn Ihre Kunden oder Partner durch Ihren Ausfall ihre Dienste ebenfalls nicht erbringen können, erhöht das die Erheblichkeit.

  •  1 Punkt: Keine direkten Auswirkungen auf Dritte
  •  2 Punkte: Geringfügige Verzögerungen für einzelne Partner
  •  3 Punkte: Spürbare Beeinträchtigung für mehrere Partner
  •  4 Punkte: Kritische Dienstleistungen für Partner sind unterbrochen
  •  5 Punkte: Ausfall verursacht eine Kettenreaktion in der Branche oder bei kritischer Infrastruktur

Auswertung der Matrix

Addieren Sie die Punkte aller fünf Kategorien.

  • 5-10 Punkte (Gering): Eine Meldung ist wahrscheinlich nicht erforderlich. Dokumentieren Sie den Vorfall und Ihre Bewertung sorgfältig für interne Zwecke und Audits.
  • 11-17 Punkte (Mittel): Erhebliche Auswirkungen sind möglich. Eine Meldung wird dringend empfohlen. Beginnen Sie sofort mit der Vorbereitung der 24-Stunden-Erstmeldung.
  • 18-25 Punkte (Hoch): Der Vorfall hat eindeutig erhebliche Auswirkungen. Die sofortige NIS2 Meldung von Vorfällen ist zwingend erforderlich.

Diese Matrix dient als fundierte Entscheidungshilfe. Wichtig ist, dass Sie Ihre Bewertung gut dokumentieren, um Ihre Entscheidung im Nachhinein gegenüber Behörden wie dem BSI rechtfertigen zu können. Mehr zur Rolle der Behörden finden Sie in unserem Artikel zu BSI und NIS2.

Mastery: Anwendung an realen Fallbeispielen

Theorie ist gut, Praxis ist besser. Lassen Sie uns die Matrix an drei fiktiven, aber realistischen Szenarien testen.

Szenario 1: DDoS-Angriff auf einen E-Commerce-Shop

Ein Online-Händler für Spezialwerkzeuge wird von einem DDoS-Angriff getroffen. Der Webshop ist für 6 Stunden nicht erreichbar.

  •  Dauer: 6 Stunden = 3 Punkte
  •  Betroffene Nutzer: 100 % der potenziellen Kunden können nicht bestellen = 5 Punkte
  •  Finanzielle Auswirkung: Umsatzausfall eines halben Tages, geschätzt auf 2 % des Monatsumsatzes = 3 Punkte
  •  Daten: Keine Daten kompromittiert, nur die Verfügbarkeit ist betroffen = 1 Punkt
  •  Auswirkungen auf Dritte: Gering, da Endkunden auf andere Anbieter ausweichen können = 1 Punkt

Gesamtpunktzahl: 13 Punkte.

Ergebnis: Mittel. Der Vorfall hat potenziell erhebliche Auswirkungen, vor allem wegen der vollständigen Nichterreichbarkeit für Kunden. Eine Meldung ist dringend zu empfehlen.

Szenario 2: Ransomware auf internen Dateiserver

Ein Produktionsunternehmen entdeckt Ransomware auf einem internen Dateiserver. Die Produktion steht still, da die Fertigungspläne verschlüsselt sind. Die IT-Abteilung kann die Daten aus einem Backup von letzter Nacht wiederherstellen. Der Produktionsausfall beträgt 10 Stunden.

  •  Dauer: 10 Stunden = 3 Punkte
  •  Betroffene Nutzer: Nur die Produktionsabteilung ist betroffen = 2 Punkte
  •  Finanzielle Auswirkung: Kosten für Produktionsausfall und Wiederherstellung sind signifikant = 3 Punkte
  •  Daten: Sensible Geschäftsdaten (Baupläne) waren betroffen (verschlüsselt, aber nicht nachweislich abgeflossen) = 4 Punkte
  •  Auswirkungen auf Dritte: Lieferzusagen an zwei Großkunden können nicht eingehalten werden = 3 Punkte

Gesamtpunktzahl: 15 Punkte.

Ergebnis: Mittel. Obwohl "nur" interne Systeme betroffen waren, sind die finanziellen und die Lieferketten-Auswirkungen signifikant. Eine Meldung ist auch hier geboten.

Szenario 3: Datenleck bei einem SaaS-Anbieter

Ein Software-as-a-Service-Anbieter stellt fest, dass durch eine Sicherheitslücke auf eine Datenbank mit Nutzerinformationen (Namen, E-Mail-Adressen, gehashte Passwörter) von 5 % seiner Kunden zugegriffen wurde. Der Dienst selbst war jederzeit verfügbar.

  •  Dauer: Nicht anwendbar (Verfügbarkeit war nicht betroffen) = 1 Punkt
  •  Betroffene Nutzer: 5 % der Kundenbasis = 2 Punkte
  •  Finanzielle Auswirkung: Kosten für Untersuchung und Kommunikation, aber kein direkter Umsatzausfall = 2 Punkte
  •  Daten: Allgemeine personenbezogene Daten = 3 Punkte
  •  Auswirkungen auf Dritte: Kunden müssen ihre Passwörter ändern und ihre Nutzer informieren, was einen erheblichen Aufwand bedeutet = 4 Punkte

Gesamtpunktzahl: 12 Punkte.

Ergebnis: Mittel. Obwohl die direkten Auswirkungen auf den Dienst gering waren, sind die Folgen für die betroffenen Kunden und der Vertrauensverlust erheblich. Die Meldung ist stark zu empfehlen, auch aufgrund der parallelen Meldepflichten aus der DSGVO.

Action: Ihre nächsten Schritte zur NIS2-Compliance

Die Bewertungsmatrix gibt Ihnen Sicherheit im Ernstfall. Doch die beste Vorbereitung findet statt, bevor der Alarm losgeht.

  1. Integrieren Sie die Matrix: Machen Sie diese Bewertungsmatrix zum festen Bestandteil Ihres Notfall- und Vorfallmanagement-Prozesses.
  2. Definieren Sie Zuständigkeiten: Wer im Unternehmen füllt die Matrix aus? Wer trifft die endgültige Entscheidung zur Meldung? Klären Sie diese Rollen im Voraus.
  3. Schulen Sie Ihr Team: Führen Sie Planspiele mit den oben genannten Szenarien durch. Je öfter Ihr Team den Prozess trainiert, desto ruhiger und effektiver agiert es im Krisenfall.
  4. Dokumentieren Sie alles: Führen Sie ein Vorfall-Logbuch. Notieren Sie jeden Vorfall, Ihre Bewertung anhand der Matrix und Ihre Entscheidung (melden vs. nicht melden) mit Begründung. Diese Dokumentation ist bei einer Prüfung Gold wert.

Für eine umfassende Strategie, die über die Meldepflichten hinausgeht, ist ein tiefes Verständnis der allgemeinen Anforderungen an die Cybersicherheit in der EU entscheidend. Gerade für die Führungsebene bietet unser Leitfaden NIS2 für KMU wertvolle Einblicke.

Die Einschätzung der Erheblichkeit eines Sicherheitsvorfalls ist eine der größten Herausforderungen unter NIS2. Doch mit einem systematischen Ansatz und den richtigen Werkzeugen können Sie diese Unsicherheit überwinden. Nutzen Sie unsere Bewertungsmatrix, um im entscheidenden Moment Klarheit zu schaffen, Ihre Organisation zu schützen und Ihre Compliance-Pflichten souverän zu erfüllen.

Häufig gestellte Fragen (FAQ)

Frage: Mein Webshop war 4 Stunden down wegen eines DDoS-Angriffs. Ist das meldepflichtig?

Antwort: Wahrscheinlich ja. Nach unserer Matrix wäre die Dauer (2 Punkte) und die Anzahl der betroffenen Nutzer (5 Punkte) bereits signifikant. Selbst bei geringen finanziellen Schäden (z.B. 2 Punkte) erreichen Sie schnell eine Gesamtpunktzahl von 10-11, was den Vorfall in den meldepflichtigen Bereich rückt.

Frage: Bei uns wurden die Adressdaten von 500 Kunden kompromittiert. Sind die Auswirkungen „erheblich“?

Antwort: Das hängt vom Kontext ab. Wenn 500 Kunden nur 0,1 % Ihrer Gesamtkundenzahl ausmachen, ist die Reichweite gering (1-2 Punkte). Die Art der Daten (allgemeine pD) ergibt 3 Punkte. Wenn keine weiteren Systeme oder Dritte betroffen sind, landen Sie wahrscheinlich im unteren Punktebereich. Aber Achtung: Die DSGVO-Meldepflicht an die Datenschutzbehörde besteht hier sehr wahrscheinlich unabhängig von NIS2!

Frage: Wie dokumentiere ich meine Entscheidung, einen Vorfall nicht zu melden?

Antwort: Das ist ein extrem wichtiger Punkt. Nutzen Sie die Bewertungsmatrix als Vorlage. Füllen Sie sie für den Vorfall aus, kommen Sie zu Ihrer Gesamtpunktzahl und schreiben Sie eine kurze Begründung, warum Sie den Vorfall als "nicht erheblich" eingestuft haben. Heften Sie diese Bewertung in Ihrem internen Vorfall-Register ab. So können Sie bei einer späteren Prüfung jederzeit nachweisen, dass Sie eine sorgfältige und fundierte Entscheidung getroffen haben.

Frage: Muss ich bei der 24-Stunden-Meldung schon alle Details kennen?

Antwort: Nein. Die Erstmeldung innerhalb von 24 Stunden dient als "Frühwarnung". Sie müssen nur angeben, dass ein potenziell erheblicher Vorfall stattgefunden hat, welche Art von Vorfall es ist (z.B. Ransomware, DDoS) und welche Bereiche betroffen sind. Detaillierte Analysen und Abschlussberichte folgen später (innerhalb von 72 Stunden bzw. einem Monat). Der häufigste Fehler ist, auf vollständige Informationen zu warten und dadurch die 24-Stunden-Frist zu verpassen.

Mehr erfahren
Niklas Hanitsch

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Häufig gestellte Fragen

Die häufigsten Fragen zum Thema

Was ist ISO 27001 Kosten?

Die Kosten für eine ISO 27001 Zertifizierung setzen sich aus internen und externen Kosten zusammen.

Wie hoch sind die Zertifizierungskosten?

Die reinen Auditkosten liegen je nach Unternehmensgröße zwischen 5.000 und 30.000 Euro.

Welche laufenden Kosten fallen an?

Überwachungsaudits, Schulungen und kontinuierliche Verbesserung des ISMS.

Lohnt sich die Investition?

Ja, durch Vermeidung von Sicherheitsvorfällen und Wettbewerbsvorteile.

Weiterlesen

November 26, 2025
5 Minuten
NIS2-Audit: Kriterien für Governance und Management

Mit NIS2 wird die Management-Verantwortung für Cybersicherheit erstmals konkret prüf- und haftungsrelevant. Dieser Leitfaden zeigt, welche Governance-Nachweise Auditoren wirklich verlangen, von Genehmigung über Überwachung bis Schulung der Geschäftsleitung. Erfahren Sie praxisnah, wie Sie sich mit klaren Protokollen, KPIs und Management-Reviews auditsicher aufstellen. So verwandeln Sie Haftungsrisiken in eine belastbare NIS2-Governance-Struktur.

Lesen
November 18, 2025
5 Minuten
ISO 27001 & Agilität: Versionskontrolle sicher meistern

Agile Teams fürchten oft, dass ISO 27001 ihre Geschwindigkeit bremst, doch das Gegenteil ist wahr. Dieser Leitfaden zeigt, wie moderne Versionskontrolle in Confluence oder Git Ihre Dokumentation auditfest macht, ohne die Agilität zu verlieren. Erfahren Sie, wie Sie Änderungen transparent steuern, Freigaben sauber dokumentieren und Ihr ISMS nahtlos in den Entwicklungsfluss integrieren – für mehr Sicherheit, Effizienz und echte Compliance im Alltag.

Lesen
June 6, 2023
8 min
CEO Fraud – Informationssicherheitsexperten geben 3 Tipps zur Abwehr

‍Der CEO-Fraud ist eine Variante des „Social Engineerings“, bei welchem die Täter auf das oft schwächste Glied in der IT-Sicherheitskette setzen: Den Menschen. Infolge der immer besseren technischen Schutzmaßnahmen, angefangen bei einer einfachen Firewall bis hin zu Verschlüsselungsmethoden, ist es schwieriger geworden, auf „klassischem“ Weg, wie beispielsweise Hacking, an vertrauliche Informationen zu gelangen. Wie schützt man sich als CEO?

Lesen
Related Resources
EU AI Act: Datenherkunft als Schlüssel zur KI-Compliance
January 5, 2026
5 Minuten
ISO 27001: Aufbewahrungsfristen zwischen GoBD und DSGVO
November 17, 2025
5 Minuten
ISO 27001: Stakeholder-Analyse verständlich erklärt
November 12, 2025
5 Minuten
Marketing Tips for Niche Industries
TISAX Assessment Levels: Level 1, 2 und 3 im Vergleich
March 19, 2026
7 min
NIS1 vs NIS2: Was hat sich geändert?
November 6, 2023
7 min
EU AI Act: Haftung und Sanktionen für Nicht-EU-Anbieter
January 7, 2026
Nicht-EU-Anbieter von KI sind durch den EU AI Act voll haftbar, sobald ihre Systeme in der EU genutzt werden. Dieser Leitfaden zeigt, wie das Marktortprinzip, hohe Bußgelder und neue Beweislastregeln internationale Unternehmen zwingen, ihre KI-Governance, Dokumentation und Risikoklassifizierung EU-konform aufzustellen. Erfahren Sie, wie Sie Haftungsfallen vermeiden, einen EU-Bevollmächtigten korrekt einsetzen und Compliance in einen echten Marktvorteil verwandeln.
TO TOP