NIS2-Meldepflicht: 24h/72h/30-Tage Meldekette nach § 32 BSIG

NIS2 verlangt eine dreistufige Meldekette nach § 32 BSIG bei "erheblichen Sicherheitsvorfällen": Frühwarnung innerhalb von 24 Stunden, Meldung innerhalb von 72 Stunden und Abschlussbericht innerhalb von 30 Tagen. Wer eine dieser Fristen reisst, riskiert ein Bußgeld von bis zu 500.000 EUR pro Vorfall nach § 65 Abs. 1 Nr. 3 BSIG. Dieser Leitfaden erklärt jede Stufe im Detail, die erforderlichen Pflichtinhalte und bietet eine CC-BY-lizenzierte Vorlage als PDF-Download für deine interne Vorbereitung.

Wann greift die Meldepflicht?

Die Meldepflicht greift bei "erheblichen Sicherheitsvorfällen" nach § 32 Abs. 2 BSIG. Ein Vorfall gilt als erheblich, wenn er zu einer schwerwiegenden Betriebsunterbrechung des Dienstes geführt hat oder führen kann, erhebliche finanzielle Verluste verursacht, andere natürliche oder juristische Personen erheblich beeinträchtigt oder Daten unbefugt abgeflossen sind.

Entscheidend ist der tatsächliche oder potenzielle Einfluss auf die Kontinuität des Dienstes. Die Einschätzung liegt zunächst beim Unternehmen selbst. Im Zweifelsfall gilt: lieber melden und nachkorrigieren, als nicht melden und das Bußgeldrisiko eingehen.

Beispiele für meldepflichtige Vorfälle:

• •Ransomware-Verschlüsselung kritischer Systeme mit Produktionsausfall
• •DDoS-Angriff mit messbarem Verfügbarkeitseinbruch
• •Kompromittierung privilegierter Accounts (Admin, Domain Admin, Root)
• •Unberechtigter Datenabfluss aus Produktivsystemen
• •Sabotage durch Insider mit Zugang zu kritischen Systemen
• •Ausfall einer kritischen Infrastrukturkomponente durch Cyberangriff

Nicht meldepflichtige Ereignisse:

• •Erfolgte Phishing-Versuche ohne erfolgreiche Kompromittierung
• •Tägliche Malware-Erkennungen und -Blockierungen durch Endpoint-Schutz
• •Port-Scans und automatisierte Reconnaissance ohne Einbruch
• •Intern entdeckte und sofort behobene Konfigurationsfehler ohne Auswirkung

Stufe 1: Frühwarnung (24 Stunden)

Frist: 24 Stunden ab Kenntnis des erheblichen Sicherheitsvorfalls nach § 32 Abs. 1 Nr. 1 BSIG. Die 24-Stunden-Uhr beginnt zu laufen, sobald eine verantwortliche Person im Unternehmen Kenntnis erlangt, nicht erst wenn der Vorfall vollständig analysiert ist.

Adressat: Bundesamt für Sicherheit in der Informationstechnik (BSI) über das BSI-Portal unter portal.bsi.bund.de.

Pflichtangaben für die Frühwarnung:

• 1.Einrichtungsnummer aus der BSI-Registrierung
• 2.Zeitpunkt der Kenntnis (nicht unbedingt des Vorfalls selbst)
• 3.Erste Einschätzung: böswillig (Angriff) oder unbeabsichtigt (technisches Versagen)
• 4.Grenzüberschreitende Auswirkungen: Sind andere EU-Mitgliedstaaten betroffen?
• 5.Kontaktdaten der meldenden Person

Die Frühwarnung muss keine vollständige Analyse enthalten. Das BSI versteht, dass 24 Stunden nach einem Sicherheitsvorfall keine lückenlose Aufklärung möglich ist. Entscheidend ist die frühzeitige Information, damit das BSI koordinierend eingreifen kann.

Stufe 2: Meldung (72 Stunden)

Frist: 72 Stunden ab Kenntnis nach § 32 Abs. 1 Nr. 2 BSIG. Die 72-Stunden-Meldung ist eine Aktualisierung und Vertiefung der Frühwarnung mit einer ersten strukturierten Bewertung des Vorfalls. Das entspricht dem Rhythmus aus der DSGVO (Art. 33) und ist bewusst identisch gewählt, damit Unternehmen beide Meldungen parallel vorbereiten können.

Pflichtinhalt der 72-Stunden-Meldung:

• •Bewertung des Vorfalls: Kategorie, Schweregrad, Art des Angriffs
• •Bekannte Indikatoren für eine Kompromittierung (IoCs): IP-Adressen, Hash-Werte, Domains
• •Wirkungsabschätzung: Betroffene Systeme, Dienste, Datenkategorien
• •Getroffene Maßnahmen: Isolation, Patches, Passwort-Reset, Benachrichtigungen
• •Aktualisierung der 24h-Frühwarnung: Korrekturen oder neue Erkenntnisse
• •Ob grenzüberschreitende Auswirkungen vorliegen oder ausgeschlossen wurden

Format: strukturiertes Formular im BSI-Portal. Es empfiehlt sich, das interne Incident-Response-Team parallel zur Meldung arbeiten zu lassen und die Dokumentation in Echtzeit zu führen. Wer das Meldeformular während einer aktiven Krise zum ersten Mal ausfüllt, verliert wertvolle Zeit. Unsere Vorlage hilft beim Vorausfüllen der bekannten Felder.

Stufe 3: Abschlussbericht (30 Tage)

Frist: 30 Tage ab Kenntnis nach § 32 Abs. 1 Nr. 3 BSIG. Der Abschlussbericht ist die umfassendste Meldung und dient dem BSI als Grundlage für systemische Analysen und Empfehlungen an andere Einrichtungen.

Pflichtinhalt des Abschlussberichts:

• •Detaillierte technische Beschreibung des Vorfalls und seines Verlaufs
• •Ursachen (Root Cause Analysis): technische, organisatorische, menschliche Faktoren
• •Angewandte Abhilfemaßnahmen: was wurde getan, um den Schaden zu begrenzen
• •Ergriffene Sicherheitsmaßnahmen zur Vermeidung einer Wiederholung
• •Auswirkungen auf Dritte oder andere EU-Mitgliedstaaten
• •Lessons Learned und geplante strukturelle Verbesserungen

Format: strukturiertes BSI-Portal-Formular mit Möglichkeit zum Dokumentenupload. Bei besonders komplexen oder langanhaltenden Vorfällen kann das BSI Zwischenberichte anfordern. In solchen Fällen verlängert sich die Frist nicht automatisch, aber das BSI kann Ausnahmen gewähren, wenn eine nachvollziehbare Begründung vorliegt.

Meldeprozess intern einrichten

§ 33 BSIG verlangt eine 24/7-erreichbare Kontaktstelle. Das ist nicht nur ein formales Registrierungserfordernis, sondern die operative Voraussetzung dafür, dass die 24h-Meldepflicht überhaupt eingehalten werden kann. Ohne klare Rollen und Eskalationspfade verstreicht die Frist, bevor jemand zuständig ist.

Empfohlener Eskalationspfad:

1. 1.Security Operations / IT-Betrieb erkennt und dokumentiert den Vorfall, aktiviert das Incident-Response-Playbook
2. 2.Security-Lead / IT-Sicherheitsbeauftragter bewertet den Schweregrad und entscheidet über Meldepflicht
3. 3.CISO / CSO koordiniert die BSI-Meldung, informiert die Geschäftsleitung
4. 4.Geschäftsleitung wird informiert (Haftung nach § 38 BSIG) und trifft strategische Entscheidungen (Kundenkommunikation, Strafanzeige)

Kommunikationsverantwortung klar trennen: Wer meldet ans BSI? Wer informiert Kunden? Wer informiert den Datenschutzbeauftragten bei Datenabfluss? Wer kommuniziert gegenüber der Presse? Fehlende Klarheit hier führt in der Krise zu gefährlichen Verzögerungen. Dokumentiere alle Rollen in einem Incident-Response-Playbook.

Parallele Pflichten: DSGVO-Meldung

Sind bei einem NIS2-pflichtigen Sicherheitsvorfall personenbezogene Daten betroffen, greift zusätzlich die DSGVO. Art. 33 DSGVO verlangt eine Meldung an die zuständige Datenschutzaufsichtsbehörde innerhalb von 72 Stunden ab Kenntnis. Art. 34 DSGVO verpflichtet darüber hinaus zur Benachrichtigung der betroffenen Personen, wenn der Vorfall voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten verursacht.

Wichtige Unterscheidung: Die NIS2-Meldung geht ans BSI, die DSGVO-Meldung geht an den zuständigen Landesdatenschutzbeauftragten. Die Fristen sind zufällig identisch (72 Stunden), aber die Adressaten, Formulare und Inhalte unterscheiden sich. In der Praxis empfiehlt sich eine parallele Vorbereitung beider Meldungen, da sich viele Inhalte überschneiden. Stelle sicher, dass der Datenschutzbeauftragte im Eskalationspfad verankert ist.

Bußgeldrahmen bei Versäumnis

§ 65 Abs. 1 Nr. 3 BSIG sieht für Verstöße gegen die Meldepflichten nach § 32 BSIG ein Bußgeld von bis zu 500.000 EUR pro nicht gemeldetem oder verspätet gemeldetem Vorfall vor. Jede nicht eingehaltene Frist (24h, 72h, 30d) kann separat geahndet werden. Bei strukturellen Verstößen, also wenn Meldepflichtverletzungen wiederholt auftreten, greift § 65 Abs. 2 BSIG mit bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes.

Alle Details zum Bußgeldrahmen und zur persönlichen Haftung der Geschäftsleitung findest du auf unserer Seite zu NIS2-Strafen und Sanktionen.

Häufige Fehler vermeiden

• 1.Erst melden, nachdem der Vorfall gelöst ist: Die Meldefristen beginnen ab Kenntnis, nicht ab Behebung. Wer auf den Abschluss der Incident Response wartet, ist regelmäßig zu spät.
• 2.Nur die 24h-Stufe melden und vergessen: Die dreistufige Kette ist Pflicht. Eine Frühwarnung ohne 72h-Meldung und 30d-Bericht ist ein Rechtsverstoß, selbst wenn die 24h-Meldung korrekt abgegeben wurde.
• 3.Keine klare interne Zuständigkeit: "Zuständigkeit ungeklärt" ist in einer Krise keine Verteidigung. Rollen und Eskalationspfade müssen vorab definiert und regelmäßig geübt werden.
• 4.DSGVO-Meldung vergessen: Bei Vorfällen mit Personenbezug müssen BSI-Meldung und DSGVO-Meldung parallel vorbereitet werden. Eine vergessene DSGVO-Meldung kann zu einem eigenständigen Bußgeld führen.
• 5.BSI-Portal nicht vorab getestet: Das Portal-Login und das Meldeformular zum ersten Mal in einer Krise zu öffnen, kostet wertvolle Zeit. Teste den Prozess im ruhigen Betrieb.

Download: NIS2-Meldevorlage (CC-BY-4.0)

Lade unsere strukturierte NIS2-Meldevorlage als PDF herunter. Die Vorlage enthält drei Abschnitte für die Stufen 24h, 72h und 30d mit vorausgefüllten Feldbeschriftungen entsprechend den BSI-Portal-Feldern. So kannst du im Ernstfall schnell die bekannten Informationen eintragen und die Meldung strukturiert vorbereiten.

Lizenz: CC-BY-4.0 — freie Nutzung mit Nennung "Kopexa GmbH, kopexa.com". Die Vorlage ist strukturell an die BSI-Portal-Felder angelehnt, kann aber das Portal-Formular nicht ersetzen.

Verwandte Ressourcen