NIS2 / BSIG § 32

NIS2-Meldepflichten: Sicherheitsvorfälle ans BSI

Welche Vorfälle müssen wann und mit welchen Inhalten ans BSI gemeldet werden? Wir erklären die dreistufige Meldepflicht nach § 32 BSIG.

Beratung anfragen NIS2-Übersicht

§ 32 BSIG

Wann entsteht eine Meldepflicht?

Nicht jedes Sicherheitsereignis ist meldepflichtig. Meldepflichtig sind ausschließlich erhebliche Sicherheitsvorfälle im Sinne des § 2 Nr. 11 BSIG — Ereignisse, die erhebliche Betriebsstörungen oder Schäden verursacht haben oder verursachen können.

Kein erheblicher Vorfall

Keine Meldepflicht, aber interne Dokumentation empfohlen:

Spam-E-Mail ohne Schadwirkung
Fehlgeschlagener Anmeldeversuch (einzeln)
Technische Fehler ohne Sicherheitsbezug

Potenziell erheblicher Vorfall

Sofort bewerten, Meldepflicht prüfen:

Unbekannte Software auf Systemen entdeckt
Ungewöhnliche Datenbewegungen
Kompromittierte Zugangsdaten

Erheblicher Vorfall — meldepflichtig

Meldepflicht ausgelöst, Fristen laufen sofort:

Ransomware mit Systemverschlüsselung
Datenabfluss mit Serviceausfall
Angriff mit nachweisbarer Betriebsstörung

Dreistufige Meldepflicht

Die Meldefristen nach § 32 BSIG

Die Meldepflicht ist dreistufig. Entscheidend: Die Uhr läuft ab dem Moment, in dem die Einrichtung Kenntnis von einem erheblichen Vorfall erlangt — nicht ab Abschluss der internen Untersuchung.

Stufe 1 — 24 Stunden

Frühwarnung

Erste Meldung ans BSI: Vorfall bestätigt, Ersteinschätzung, Auswirkungen soweit bekannt.

Stufe 2 — 72 Stunden

Detailmeldung

Aktualisierte Informationen: Ursache, Ausmaß, ergriffene Gegenmaßnahmen.

Stufe 3 — 1 Monat

Abschlussbericht

Vollständige Analyse, Ursachenforschung, Lessons Learned, Präventivmaßnahmen.

Kritischer Fehler in der Praxis: Viele Unternehmen warten mit der Erstmeldung, bis intern alles geklärt ist. Das verstößt gegen die 24-Stunden-Frist. Die Frühwarnung muss auch mit unvollständigen Informationen abgegeben werden — fehlende Details sind kein Ausschlussgrund.

Was in die Meldung gehört

Inhalte einer NIS2-konformen Vorfallmeldung

Bezeichnung der betroffenen Einrichtung und Kontaktdaten
Zeitpunkt der Entdeckung und (soweit bekannt) des Vorfallbeginns
Art des Vorfalls und betroffene Systeme
Erste Einschätzung der Schwere und Auswirkungen
Bisher ergriffene Sofortmaßnahmen
Grenzüberschreitende Auswirkungen (falls zutreffend)
Ob personenbezogene Daten betroffen sind (DSGVO-Koordination)

Hinweis: Viele erhebliche Sicherheitsvorfälle sind gleichzeitig meldepflichtige Datenschutzverletzungen nach DSGVO. Beide Meldewege müssen parallel bedient werden — der Datenschutzbeauftragte gehört deshalb von Beginn an ins Vorfall-Team.

Verwandte Themen

Weiterführende NIS2-Themen

Meldeprozesse rechtssicher aufbauen

Wir richten Ihre internen Meldewege ein, schulen das Vorfall-Team und stellen sicher, dass Sie im Ernstfall alle Fristen einhalten können.

Jetzt Beratung anfragen