In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
NIS2: Wann gilt ein Vorfall als erheblich?

NIS2: Wann gilt ein Vorfall als erheblich?

Niklas Hanitsch

Volljurist und Compliance-Experte

November 4, 2025

4 Minuten

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Key Takeaways

Eine praxisnahe NIS2-Matrix schafft Klarheit und ermöglicht die sichere Einstufung von Sicherheitsvorfällen.

Klare Bewertungskriterien schützen vor Fehlentscheidungen und rechtlichen Risiken.

Im Incident-Management verankert, sorgt die Matrix für schnellere Entscheidungen und höhere Cyber-Resilienz.

Standardisierte Bewertungen stärken Vertrauen und machen Cybersicherheit messbar.

Es ist 3 Uhr morgens. Ein Alarm geht los – nicht der Wecker, sondern der rote Bereich in Ihrem System-Monitoring. Ein zentraler Server ist ausgefallen, der Webshop ist offline, und die ersten Support-Anfragen laufen ein. Inmitten des Chaos der Krisenbewältigung schießt Ihnen ein Gedanke durch den Kopf: „Ist das ein meldepflichtiger Vorfall nach NIS2?“

Diese Frage ist mehr als nur eine administrative Formalität. Von Ihrer Antwort hängen nicht nur empfindliche Bußgelder für Ihr Unternehmen ab, sondern potenziell auch die persönliche Haftung der Geschäftsführung. Die NIS2-Richtlinie verlangt die Meldung „erheblicher“ Sicherheitsvorfälle innerhalb von 24 Stunden. Aber was genau macht einen Vorfall „erheblich“? Die offiziellen Texte bleiben oft vage und lassen die Verantwortlichen im Ernstfall mit einer unsicheren Einschätzung allein.

Dieser Artikel schließt diese Lücke. Wir übersetzen die juristischen Anforderungen in eine praxisnahe Anleitung und stellen Ihnen ein konkretes Werkzeug an die Hand: eine Bewertungsmatrix, mit der Sie im Krisenfall schnell, sicher und nachvollziehbar entscheiden können.

Foundation: Die Grundlagen in 90 Sekunden

Bevor wir in die Details der Bewertung eintauchen, lassen Sie uns das Fundament klären. Die NIS Richtlinie zielt darauf ab, das allgemeine Niveau der Cybersicherheit in der EU zu erhöhen. Ein zentrales Element dabei ist die Pflicht zur Meldung von Sicherheitsvorfällen.

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gilt ein Sicherheitsvorfall als erheblich, wenn er:

  1. Schwerwiegende Betriebsstörungen wesentlicher Dienste verursacht oder verursachen kann.
  2. Erhebliche finanzielle Verluste für die betroffene Einrichtung zur Folge hat.
  3. Erhebliche Schäden für andere natürliche oder juristische Personen durch Auswirkungen auf andere Dienste verursacht hat.

Diese Definitionen sind der offizielle Rahmen. Doch sie werfen sofort die entscheidenden Fragen auf: Wann ist eine Betriebsstörung „schwerwiegend“? Wie hoch ist ein „erheblicher“ finanzieller Verlust? Hier beginnt die Grauzone, die wir nun beleuchten werden.

Building: Die Bewertungsmatrix in der Praxis

Um von einer vagen Definition zu einer klaren Entscheidung zu gelangen, benötigen Sie ein System. Die folgende Bewertungsmatrix hilft Ihnen dabei, einen Vorfall anhand von fünf Schlüsselkriterien objektiv zu bewerten. Jedes Kriterium wird auf einer Skala von 1 (gering) bis 5 (kritisch) bewertet. Die Summe der Punkte gibt Ihnen eine klare Indikation zur Meldepflicht.

Die 5 Bewertungskriterien im Detail

1. Dauer der Störung / Zeit bis zur Wiederherstellung

Hier geht es um die reine Zeit, in der Ihr wesentlicher Dienst nicht verfügbar war oder beeinträchtigt wurde.

  •  1 Punkt: Störung unter 1 Stunde (z.B. kurzer Server-Neustart)
  •  2 Punkte: Störung zwischen 1 und 4 Stunden
  •  3 Punkte: Störung zwischen 4 und 12 Stunden (betrifft einen halben Arbeitstag)
  •  4 Punkte: Störung zwischen 12 und 24 Stunden
  •  5 Punkte: Störung dauert länger als 24 Stunden an

2. Anzahl betroffener Nutzer / Systeme

Dieses Kriterium misst die Reichweite des Vorfalls. Sind nur wenige interne Systeme betroffen oder Tausende von Kunden?

  •  1 Punkt: Weniger als 1 % der Nutzer oder nur interne Testsysteme
  •  2 Punkte: 1-10 % der Nutzer oder eine einzelne Abteilung
  •  3 Punkte: 10-30 % der Nutzer oder mehrere kritische Abteilungen
  •  4 Punkte: 30-70 % der Nutzer oder das gesamte Unternehmen
  •  5 Punkte: Über 70 % der Nutzer oder externe Kunden in großer Zahl

3. Finanzielle Auswirkungen

Schätzen Sie den direkten finanziellen Schaden durch Umsatzausfall, Wiederherstellungskosten oder Vertragsstrafen.

  •  1 Punkt: Vernachlässigbarer finanzieller Schaden (< 0,1 % des Monatsumsatzes)
  •  2 Punkte: Spürbarer Schaden (0,1 - 1 % des Monatsumsatzes)
  •  3 Punkte: Signifikanter Schaden (1 - 5 % des Monatsumsatzes)
  •  4 Punkte: Kritischer Schaden (5 - 10 % des Monatsumsatzes)
  •  5 Punkte: Existenzbedrohender Schaden (> 10 % des Monatsumsatzes)

4. Art der kompromittierten Daten

Nicht alle Daten sind gleich. Ein Leck von öffentlichen Marketing-Daten ist weniger kritisch als der Verlust sensibler Gesundheitsdaten.

  •  1 Punkt: Keine personenbezogenen oder sensiblen Daten betroffen
  •  2 Punkte: Anonymisierte oder nicht-sensible Geschäftsdaten
  •  3 Punkte: Allgemeine personenbezogene Daten (Namen, E-Mail-Adressen)
  •  4 Punkte: Sensible Geschäftsdaten (Finanzdaten, geistiges Eigentum)
  •  5 Punkte: Besonders schützenswerte Daten nach DSGVO (Gesundheitsdaten, biometrische Daten)

5. Auswirkungen auf Dritte (Lieferkette, Kunden)

Ein Vorfall in Ihrem Unternehmen kann eine Kettenreaktion auslösen. Wenn Ihre Kunden oder Partner durch Ihren Ausfall ihre Dienste ebenfalls nicht erbringen können, erhöht das die Erheblichkeit.

  •  1 Punkt: Keine direkten Auswirkungen auf Dritte
  •  2 Punkte: Geringfügige Verzögerungen für einzelne Partner
  •  3 Punkte: Spürbare Beeinträchtigung für mehrere Partner
  •  4 Punkte: Kritische Dienstleistungen für Partner sind unterbrochen
  •  5 Punkte: Ausfall verursacht eine Kettenreaktion in der Branche oder bei kritischer Infrastruktur

Auswertung der Matrix

Addieren Sie die Punkte aller fünf Kategorien.

  • 5-10 Punkte (Gering): Eine Meldung ist wahrscheinlich nicht erforderlich. Dokumentieren Sie den Vorfall und Ihre Bewertung sorgfältig für interne Zwecke und Audits.
  • 11-17 Punkte (Mittel): Erhebliche Auswirkungen sind möglich. Eine Meldung wird dringend empfohlen. Beginnen Sie sofort mit der Vorbereitung der 24-Stunden-Erstmeldung.
  • 18-25 Punkte (Hoch): Der Vorfall hat eindeutig erhebliche Auswirkungen. Die sofortige NIS2 Meldung von Vorfällen ist zwingend erforderlich.

Diese Matrix dient als fundierte Entscheidungshilfe. Wichtig ist, dass Sie Ihre Bewertung gut dokumentieren, um Ihre Entscheidung im Nachhinein gegenüber Behörden wie dem BSI rechtfertigen zu können. Mehr zur Rolle der Behörden finden Sie in unserem Artikel zu BSI und NIS2.

Mastery: Anwendung an realen Fallbeispielen

Theorie ist gut, Praxis ist besser. Lassen Sie uns die Matrix an drei fiktiven, aber realistischen Szenarien testen.

Szenario 1: DDoS-Angriff auf einen E-Commerce-Shop

Ein Online-Händler für Spezialwerkzeuge wird von einem DDoS-Angriff getroffen. Der Webshop ist für 6 Stunden nicht erreichbar.

  •  Dauer: 6 Stunden = 3 Punkte
  •  Betroffene Nutzer: 100 % der potenziellen Kunden können nicht bestellen = 5 Punkte
  •  Finanzielle Auswirkung: Umsatzausfall eines halben Tages, geschätzt auf 2 % des Monatsumsatzes = 3 Punkte
  •  Daten: Keine Daten kompromittiert, nur die Verfügbarkeit ist betroffen = 1 Punkt
  •  Auswirkungen auf Dritte: Gering, da Endkunden auf andere Anbieter ausweichen können = 1 Punkt

Gesamtpunktzahl: 13 Punkte.

Ergebnis: Mittel. Der Vorfall hat potenziell erhebliche Auswirkungen, vor allem wegen der vollständigen Nichterreichbarkeit für Kunden. Eine Meldung ist dringend zu empfehlen.

Szenario 2: Ransomware auf internen Dateiserver

Ein Produktionsunternehmen entdeckt Ransomware auf einem internen Dateiserver. Die Produktion steht still, da die Fertigungspläne verschlüsselt sind. Die IT-Abteilung kann die Daten aus einem Backup von letzter Nacht wiederherstellen. Der Produktionsausfall beträgt 10 Stunden.

  •  Dauer: 10 Stunden = 3 Punkte
  •  Betroffene Nutzer: Nur die Produktionsabteilung ist betroffen = 2 Punkte
  •  Finanzielle Auswirkung: Kosten für Produktionsausfall und Wiederherstellung sind signifikant = 3 Punkte
  •  Daten: Sensible Geschäftsdaten (Baupläne) waren betroffen (verschlüsselt, aber nicht nachweislich abgeflossen) = 4 Punkte
  •  Auswirkungen auf Dritte: Lieferzusagen an zwei Großkunden können nicht eingehalten werden = 3 Punkte

Gesamtpunktzahl: 15 Punkte.

Ergebnis: Mittel. Obwohl "nur" interne Systeme betroffen waren, sind die finanziellen und die Lieferketten-Auswirkungen signifikant. Eine Meldung ist auch hier geboten.

Szenario 3: Datenleck bei einem SaaS-Anbieter

Ein Software-as-a-Service-Anbieter stellt fest, dass durch eine Sicherheitslücke auf eine Datenbank mit Nutzerinformationen (Namen, E-Mail-Adressen, gehashte Passwörter) von 5 % seiner Kunden zugegriffen wurde. Der Dienst selbst war jederzeit verfügbar.

  •  Dauer: Nicht anwendbar (Verfügbarkeit war nicht betroffen) = 1 Punkt
  •  Betroffene Nutzer: 5 % der Kundenbasis = 2 Punkte
  •  Finanzielle Auswirkung: Kosten für Untersuchung und Kommunikation, aber kein direkter Umsatzausfall = 2 Punkte
  •  Daten: Allgemeine personenbezogene Daten = 3 Punkte
  •  Auswirkungen auf Dritte: Kunden müssen ihre Passwörter ändern und ihre Nutzer informieren, was einen erheblichen Aufwand bedeutet = 4 Punkte

Gesamtpunktzahl: 12 Punkte.

Ergebnis: Mittel. Obwohl die direkten Auswirkungen auf den Dienst gering waren, sind die Folgen für die betroffenen Kunden und der Vertrauensverlust erheblich. Die Meldung ist stark zu empfehlen, auch aufgrund der parallelen Meldepflichten aus der DSGVO.

Action: Ihre nächsten Schritte zur NIS2-Compliance

Die Bewertungsmatrix gibt Ihnen Sicherheit im Ernstfall. Doch die beste Vorbereitung findet statt, bevor der Alarm losgeht.

  1. Integrieren Sie die Matrix: Machen Sie diese Bewertungsmatrix zum festen Bestandteil Ihres Notfall- und Vorfallmanagement-Prozesses.
  2. Definieren Sie Zuständigkeiten: Wer im Unternehmen füllt die Matrix aus? Wer trifft die endgültige Entscheidung zur Meldung? Klären Sie diese Rollen im Voraus.
  3. Schulen Sie Ihr Team: Führen Sie Planspiele mit den oben genannten Szenarien durch. Je öfter Ihr Team den Prozess trainiert, desto ruhiger und effektiver agiert es im Krisenfall.
  4. Dokumentieren Sie alles: Führen Sie ein Vorfall-Logbuch. Notieren Sie jeden Vorfall, Ihre Bewertung anhand der Matrix und Ihre Entscheidung (melden vs. nicht melden) mit Begründung. Diese Dokumentation ist bei einer Prüfung Gold wert.

Für eine umfassende Strategie, die über die Meldepflichten hinausgeht, ist ein tiefes Verständnis der allgemeinen Anforderungen an die Cybersicherheit in der EU entscheidend. Gerade für die Führungsebene bietet unser Leitfaden NIS2 für KMU wertvolle Einblicke.

Die Einschätzung der Erheblichkeit eines Sicherheitsvorfalls ist eine der größten Herausforderungen unter NIS2. Doch mit einem systematischen Ansatz und den richtigen Werkzeugen können Sie diese Unsicherheit überwinden. Nutzen Sie unsere Bewertungsmatrix, um im entscheidenden Moment Klarheit zu schaffen, Ihre Organisation zu schützen und Ihre Compliance-Pflichten souverän zu erfüllen.

Häufig gestellte Fragen (FAQ)

Frage: Mein Webshop war 4 Stunden down wegen eines DDoS-Angriffs. Ist das meldepflichtig?

Antwort: Wahrscheinlich ja. Nach unserer Matrix wäre die Dauer (2 Punkte) und die Anzahl der betroffenen Nutzer (5 Punkte) bereits signifikant. Selbst bei geringen finanziellen Schäden (z.B. 2 Punkte) erreichen Sie schnell eine Gesamtpunktzahl von 10-11, was den Vorfall in den meldepflichtigen Bereich rückt.

Frage: Bei uns wurden die Adressdaten von 500 Kunden kompromittiert. Sind die Auswirkungen „erheblich“?

Antwort: Das hängt vom Kontext ab. Wenn 500 Kunden nur 0,1 % Ihrer Gesamtkundenzahl ausmachen, ist die Reichweite gering (1-2 Punkte). Die Art der Daten (allgemeine pD) ergibt 3 Punkte. Wenn keine weiteren Systeme oder Dritte betroffen sind, landen Sie wahrscheinlich im unteren Punktebereich. Aber Achtung: Die DSGVO-Meldepflicht an die Datenschutzbehörde besteht hier sehr wahrscheinlich unabhängig von NIS2!

Frage: Wie dokumentiere ich meine Entscheidung, einen Vorfall nicht zu melden?

Antwort: Das ist ein extrem wichtiger Punkt. Nutzen Sie die Bewertungsmatrix als Vorlage. Füllen Sie sie für den Vorfall aus, kommen Sie zu Ihrer Gesamtpunktzahl und schreiben Sie eine kurze Begründung, warum Sie den Vorfall als "nicht erheblich" eingestuft haben. Heften Sie diese Bewertung in Ihrem internen Vorfall-Register ab. So können Sie bei einer späteren Prüfung jederzeit nachweisen, dass Sie eine sorgfältige und fundierte Entscheidung getroffen haben.

Frage: Muss ich bei der 24-Stunden-Meldung schon alle Details kennen?

Antwort: Nein. Die Erstmeldung innerhalb von 24 Stunden dient als "Frühwarnung". Sie müssen nur angeben, dass ein potenziell erheblicher Vorfall stattgefunden hat, welche Art von Vorfall es ist (z.B. Ransomware, DDoS) und welche Bereiche betroffen sind. Detaillierte Analysen und Abschlussberichte folgen später (innerhalb von 72 Stunden bzw. einem Monat). Der häufigste Fehler ist, auf vollständige Informationen zu warten und dadurch die 24-Stunden-Frist zu verpassen.

Mehr erfahren
Niklas Hanitsch

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 7, 2023
12 min
TISAX®: Der Komplett-Guide für Ihr Unternehmen

TISAX® – dieses Wort fällt öfters, wenn es um Informationssicherheitsmanagementsysteme (ISMS) geht. Es handelt sich hierbei um einen speziellen Standard in der Informationssicherheit. Wir beleuchten, was es mit TISAX® auf sich hat. ‍In diesem Artikel erfahren Sie:‍ Was genau TISAX® ist und wer es entwickelt hat, für welche Unternehmen sich das sogenannte TISAX®-Label besonders eignet und welche Vorteile eine TISAX®-Zertifizierung mit sich bringt‍. Darüber hinaus zeigen wir Ihnen die Besonderheiten, Vorteile und Anforderungen von TISAX® auf und erklären Ihnen den damit einhergehenden Prozess.

Lesen
November 4, 2025
5 Minuten
NIS2 & DSGVO: Meldepflichten richtig koordinieren

Ein Cybervorfall kann nach NIS2 und DSGVO mehrere Meldepflichten gleichzeitig auslösen, mit unterschiedlichen Fristen, Behörden und Risiken. Erfahren Sie, wie Sie Doppelmeldungen vermeiden, Prioritäten richtig setzen und einen klaren, rechtssicheren Meldeplan etablieren. Dieser Leitfaden zeigt praxisnah, wie Sie Chaos im Ernstfall verhindern und Ihre Cyber- und Datenschutz-Compliance strategisch verbinden.

Lesen
June 2, 2023
5 min
Datenschutzgrundverordnung: ihre Vorgeschichte, ihr Impact

Seit 2011 wurde mit dem Gedanken gespielt, das Datenschutzrecht auf europäischer Ebene neu zu evaluieren und gegebenenfalls auf neue Beine zu stellen. Unsere Experten zeigen, wie die Datenschutzgrundverordnung unser Verständnis vom Datenschutz verändert hat.

Lesen
Related Resources
Integriertes Managementsystem: Vereinen Sie Ihre ISO-Standards
October 27, 2025
5 Minuten
EU AI Act: Warum Datenqualität der Schlüssel zur Compliance ist
October 28, 2025
3 Minuten
NIS2-Meldepflichten: So automatisieren Sie das Vorfallsmanagement
September 5, 2025
5 min
Marketing Tips for Niche Industries
ISMS Tool: Schnell zum zertifizierbaren ISMS
November 15, 2023
10 min
Videokonferenz-Datenschutz – 5 DSGVO-To-Dos für Calls!
June 5, 2023
4 min
DSGVO: Fotos auf Veranstaltungen und Co. - das ist zu beachten
June 5, 2023
TO TOP