Ein erheblicher Sicherheitsvorfall tritt ein – und von diesem Moment an läuft die Uhr. Das NIS2UmsuCG verpflichtet betroffene Einrichtungen, den Vorfall in drei aufeinanderfolgenden Stufen an das BSI zu melden: innerhalb von 24 Stunden, innerhalb von 72 Stunden und abschließend innerhalb eines Monats. Wer diese Fristen verpasst oder unvollständige Meldungen einreicht, riskiert Bußgelder nach §65 BSIG von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Dieser Artikel erklärt den Ablauf im BSI-Meldeportal Schritt für Schritt: Welche Vorfälle meldepflichtig sind, was inhaltlich in jede der drei Meldestufen gehört, wie die Einreichung praktisch funktioniert – und welche Fehler Unternehmen beim Meldeprozess häufig machen. Den übergeordneten rechtlichen Rahmen der NIS2-Vorfallmeldung – Fristen, Anforderungen und meldepflichtige Ereignisse erklärt unser ausführlicher Grundlagenleitfaden.
Was gilt als erheblicher Sicherheitsvorfall nach NIS2?
Die zentrale Frage jedes Meldeprozesses lautet: Liegt überhaupt ein meldepflichtiger Vorfall vor? Nach §32 Abs. 1 BSIG i.V.m. Artikel 23 der NIS-2-Richtlinie (EU) 2022/2555 ist ein Sicherheitsvorfall dann erheblich, wenn er mindestens eines der folgenden Kriterien erfüllt:
- Erhebliche Betriebsstörung: Der Vorfall hat zu einer bedeutenden Unterbrechung der Dienstleistungserbringung geführt oder kann dazu führen – gemessen an der Anzahl betroffener Nutzer, der Dauer der Störung oder dem betroffenen geografischen Gebiet.
- Erhebliche finanzielle Verluste: Der Vorfall verursacht oder kann erhebliche finanzielle Verluste für die betroffene Einrichtung verursachen.
- Erhebliche Auswirkungen auf andere Personen: Der Vorfall hat zu erheblichem materiellem oder immateriellem Schaden bei anderen natürlichen oder juristischen Personen geführt oder kann dazu führen.
Für konkrete Schwellenwerte in bestimmten Sektoren gilt ergänzend die Durchführungsverordnung (EU) 2024/2690 der Kommission. Sie legt fest, welche technischen Kriterien – etwa die Anzahl gleichzeitig betroffener Nutzer oder die Dauer einer Dienstunterbrechung – als erheblich einzustufen sind.
Praktische Daumenregel: Im Zweifelsfall melden. Das BSI wertet eine unvollständige oder verzögerte Meldung strenger als eine vorsorglich eingereichte Frühwarnung, die sich im Nachhinein als nicht erheblich herausstellt. Die Frühwarnung ist ausdrücklich als erste Einschätzung konzipiert – eine Sicherheitsüberprüfung muss nicht abgeschlossen sein, bevor die 24-Stunden-Frist gilt.
| Ereignis | Meldepflichtig? | Begründung |
|---|---|---|
| Ransomware legt Produktionssysteme für 8 Stunden lahm | Ja | Erhebliche Betriebsstörung |
| Phishing-Angriff ohne Datenzugriff, intern gestoppt | Nein (prüfen) | Kein Schaden entstanden – Frühwarnung trotzdem empfohlen |
| Datenpanne mit personenbezogenen Daten von >500 Kunden | Ja | Erheblicher immaterieller Schaden bei betroffenen Personen |
| DDoS-Angriff, der Webdienst für 4 Stunden ausfallen lässt | Ggf. ja | Abhängig von Nutzerzahl und Kritikalität des Dienstes |
| Kompromittierung eines Dienstleister-Accounts ohne Datenzugriff | Prüfen | Potenzielle Lieferkettenauswirkung ist relevanter Faktor |
Hinweis zu Datenpannen: Wenn ein Sicherheitsvorfall personenbezogene Daten betrifft, gilt parallel zur BSI-Meldung nach §32 BSIG auch die DSGVO-Meldepflicht nach Art. 33 DSGVO gegenüber der zuständigen Datenschutzbehörde. Beide Meldewege sind unabhängig voneinander zu bedienen.
Stufe 1 – Frühwarnung: Was innerhalb von 24 Stunden ans BSI muss
Die 24-Stunden-Frist beginnt nicht mit dem Eintreten des Vorfalls, sondern mit der Kenntnisnahme durch die betroffene Einrichtung. Dieser Unterschied ist juristisch und praktisch entscheidend: Wenn ein Sicherheitsteam einen Vorfall um 14:00 Uhr identifiziert, läuft die Frist ab diesem Zeitpunkt – nicht ab dem Zeitpunkt, zu dem der Angriff begann.
Die Frühwarnung ist kein abgeschlossener Bericht. Sie dient dazu, das BSI frühzeitig zu informieren, damit die Behörde – falls nötig – koordinierende Maßnahmen einleiten kann. Der Inhalt ist bewusst minimal gehalten:
- Art des Vorfalls: Kurze Beschreibung der Art des Sicherheitsvorfalls (z.B. Ransomware, DDoS, unbefugter Zugriff)
- Verdacht auf kriminelle Handlung: Ob der Verdacht besteht, dass der Vorfall auf illegale oder böswillige Handlungen zurückzuführen ist
- Mögliche grenzüberschreitende Auswirkungen: Ob der Vorfall voraussichtlich andere EU-Mitgliedstaaten betreffen könnte
- Erstzeitpunkt der Kenntnis (damit das BSI die 72-Stunden-Frist überwachen kann)
Was in der Frühwarnung noch nicht enthalten sein muss: eine vollständige Ursachenanalyse, Kompromittierungsindikatoren (IoC) oder eine Schätzung des Gesamtschadens. Diese Informationen gehören in die zweite Meldestufe.
Praktischer Ablauf: Die Frühwarnung sollte von einer autorisierten Person (CISO, IT-Sicherheitsbeauftragter oder Geschäftsführung) eingereicht werden. Einige Einrichtungen legen intern fest, dass ein Bereitschaftsdienst die Frühwarnung auch außerhalb der Geschäftszeiten einreichen darf, um die 24-Stunden-Frist zu wahren. Diese interne Zuständigkeit sollte vorab in einem Incident-Response-Plan geregelt sein.
Kritische Stolperfalle: Die Frühwarnung ist keine Anerkennung, dass ein meldepflichtiger Vorfall vorliegt. Unternehmen können die Frühwarnung einreichen und in der Meldung (72h) erläutern, dass der Vorfall nach vertiefter Prüfung die Erheblichkeitsschwelle nicht erreicht. Eine vorsorgliche Frühwarnung ist deutlich besser als eine verspätete.
Stufe 2 – Meldung: Der vollständige Bericht nach 72 Stunden
Innerhalb von 72 Stunden nach Kenntnisnahme ist eine inhaltlich deutlich umfangreichere Meldung einzureichen. Diese aktualisiert die Frühwarnung und liefert dem BSI eine erste fundierte Einschätzung des Vorfalls. §32 Abs. 2 BSIG i.V.m. der Durchführungsverordnung (EU) 2024/2690 legt folgende Mindestinhalte fest:
- Erste Bewertung des Vorfalls: Schweregrad (gering / erheblich / schwerwiegend), aktuelle Entwicklung, ob der Vorfall noch andauert
- Betroffene Systeme und Dienste: Welche IT-Systeme, Netzwerke oder Dienste sind betroffen?
- Auswirkungen: Quantitative und qualitative Angaben – Anzahl betroffener Nutzer, Ausfalldauer, betroffene Standorte
- Kompromittierungsindikatoren (IoC): Sofern bereits identifiziert – IP-Adressen, Hash-Werte, Malware-Signaturen, verdächtige Domainnamen
- Angriffsvektor: Erste Erkenntnisse zur Ursache (z.B. ungepatchte Schwachstelle, Phishing, Supply-Chain-Angriff)
- Ergriffene Sofortmaßnahmen: Welche Eindämmungsmaßnahmen wurden eingeleitet?
- Ob grenzüberschreitende Auswirkungen vorliegen
Nicht erwartet wird innerhalb von 72 Stunden eine abgeschlossene forensische Analyse. Das BSI weiß, dass Untersuchungen Zeit brauchen. Die Meldung ist eine Momentaufnahme des Wissenstands zum Zeitpunkt der Einreichung – sie kann und soll aktualisiert werden.
Wichtig: Wenn sich zwischen Frühwarnung und 72-Stunden-Meldung herausstellt, dass der Vorfall die Erheblichkeitsschwelle doch nicht erreicht, ist dies in der Meldung zu erläutern. Das BSI schließt den Meldevorgang dann entsprechend ab.
Stufe 3 – Abschlussbericht: Die Dokumentation nach einem Monat
Innerhalb von einem Monat nach der Erstmeldung ist ein Abschlussbericht einzureichen. Dauert der Sicherheitsvorfall zu diesem Zeitpunkt noch an, tritt an die Stelle des Abschlussberichts ein Zwischenbericht – der eigentliche Abschlussbericht folgt dann spätestens einen Monat nach Ende des Vorfalls, maximal jedoch drei Monate nach der Erstmeldung.
Der Abschlussbericht ist das umfangreichste Dokument im Meldeprozess. Er soll eine vollständige Aufarbeitung des Vorfalls liefern:
- Detaillierte Beschreibung des Vorfalls: Chronologischer Ablauf, Zeitpunkt der ersten Kompromittierung (falls feststellbar), Zeitpunkt der Entdeckung, Zeitpunkt der Eindämmung
- Art der Bedrohung und vermutliche Ursache: Technische Analyse der Angriffsmethode, verwendeter Malware, ausgenutzter Schwachstellen
- Tatsächliche Auswirkungen: Endgültige Schadenseinschätzung – betroffene Datensätze, Betriebsausfallzeiten, finanzielle Folgekosten
- Ergriffene und laufende Abhilfemaßnahmen: Was wurde zur Eindämmung getan? Welche Maßnahmen sind noch in der Umsetzung?
- Lessons Learned: Welche Schwachstellen wurden identifiziert? Welche Prozesse oder Kontrollen werden angepasst?
- Aktualisierte IoC: Vollständige Liste aller bekannten Kompromittierungsindikatoren
Das BSI kann den Abschlussbericht nutzen, um Warnhinweise und Handlungsempfehlungen für andere betroffene Einrichtungen zu erstellen – sofern keine Rückschlüsse auf die meldende Organisation möglich sind. Eine anonymisierte Weitergabe ist ausdrücklich vorgesehen.
Das BSI-Meldeportal: So läuft die Einreichung praktisch ab
Alle drei Meldestufen werden über das BSI-Meldeportal (MELDP) unter portal.bsi.bund.de eingereicht. Das Portal ist die zentrale Plattform für NIS2-Meldungen in Deutschland – dasselbe Portal, über das auch die verpflichtende BSI-Registrierung von betroffenen Einrichtungen erfolgt.
Voraussetzung: Die Einrichtung muss vor dem ersten Meldefall registriert sein. Die Registrierung ist nach §33 BSIG verpflichtend und war bis zum 6. März 2026 abzuschließen. Eine Meldung ist technisch nur nach erfolgter Registrierung möglich. Informationen zum deutschen Rechtsrahmen und den BSI-Aufsichtsbefugnissen finden Sie in unserem Leitfaden zur NIS2-Umsetzung in Deutschland.
Wer darf melden? Einreichungsberechtigt sind Personen mit einer aktiven Nutzerkennung im MELDP. Die Einrichtung sollte mindestens zwei Personen für den Meldeportal-Zugang autorisieren, um Ausfälle (Krankheit, Urlaub) abzudecken – gerade dann, wenn ein Vorfall außerhalb der Geschäftszeiten eintritt.
Format: Frühwarnungen und Meldungen werden über ein strukturiertes Formular eingereicht. Das MELDP unterstützt auch die Einreichung unterstützender Dateien (Logs, Malware-Samples, Netzwerkmitschnitte). Für Lagebesprechungen bei schwerwiegenden Vorfällen bietet das BSI direkten Kontakt über seine Hotline an.
Automatische Benachrichtigungen: Das BSI bestätigt den Eingang jeder Meldestufe automatisch. Einreichende erhalten eine Eingangsbestätigung mit Vorgangsnummer, die für alle weiteren Schritte im Meldeprozess relevant ist.
Häufige Fehler bei der NIS2-Meldung ans BSI – und wie Sie sie vermeiden
Die Auswertung realer Meldeprozesse zeigt wiederkehrende Muster, die Unternehmen in Schwierigkeiten bringen. Die folgenden Fehler sind in der Praxis am häufigsten:
Fehler 1: Die 24-Stunden-Frist falsch berechnen
Viele Einrichtungen glauben, die Frühwarnung sei noch fristgerecht, wenn sie „am nächsten Tag“ eingereicht wird. Die Frist beginnt jedoch mit der Kenntnisnahme des Vorfalls – also dem Moment, in dem ein Mitarbeiter, eine automatische Warnung oder ein externes CERT den Vorfall identifiziert. Wird ein Vorfall um 22:00 Uhr festgestellt, endet die 24-Stunden-Frist um 22:00 Uhr des Folgetages. Eine Bereitschaftsregelung für Meldungen außerhalb der Geschäftszeiten ist unerlässlich.
Fehler 2: Interne Abstimmung vor der Frühwarnung
Es ist verständlich, dass Unternehmen vor einer BSI-Meldung interne Freigabeprozesse durchlaufen möchten. In der Praxis führt dies jedoch häufig zur Überschreitung der 24-Stunden-Frist: Technik wartet auf Rechtsabteilung, Rechtsabteilung wartet auf Geschäftsführung, Geschäftsführung ist nicht erreichbar. Die Lösung ist ein Incident-Response-Plan, der die Meldezuständigkeit und den internen Eskalationsweg klar regelt – und der autorisierten Personen erlaubt, eine Frühwarnung auch ohne vollständige interne Freigabe einzureichen.
Fehler 3: Unvollständige 72-Stunden-Meldung
Die 72-Stunden-Meldung ist keine Erweiterung der Frühwarnung um einen Satz. Sie muss konkrete Angaben zu betroffenen Systemen, Auswirkungen auf den Betrieb und ersten Kompromittierungsindikatoren enthalten. Fehlende Angaben zum Angriffsvektor oder zur Anzahl betroffener Nutzer können das BSI dazu veranlassen, Nachfragen zu stellen – was Zeit kostet und den Druck erhöht.
Fehler 4: Den Abschlussbericht zu früh oder zu oberflächlich einreichen
Einige Einrichtungen reichen den Abschlussbericht unmittelbar nach dem Einleiten erster Abhilfemaßnahmen ein – bevor die Ursachenanalyse abgeschlossen ist. Ein Abschlussbericht, der lediglich die 72-Stunden-Meldung wiederholt, ohne vertiefte forensische Erkenntnisse, wird vom BSI als unvollständig eingestuft. Dauert die Untersuchung länger, ist ein Zwischenbericht die bessere Option.
Fehler 5: Keine parallele DSGVO-Meldung bei Datenpannen
Wenn ein Sicherheitsvorfall personenbezogene Daten betrifft, laufen die BSI-Meldepflicht (§32 BSIG) und die DSGVO-Meldepflicht (Art. 33 DSGVO) parallel. Die 72-Stunden-Frist gilt für beide – und die Adressaten sind unterschiedlich. Wer nur eine Meldung einreicht, riskiert Bußgelder nach zwei Rechtsregimes. Unter Umständen sind auch betroffene Personen selbst zu informieren (Art. 34 DSGVO). Informationen zu den möglichen Bußgeldern bei Pflichtverletzungen finden Sie in unserem Leitfaden zu NIS2-Bußgeldern und Sanktionen.
Fehler 6: Nicht melden aus Unsicherheit über die Erheblichkeit
Der häufigste Fehler überhaupt: Unternehmen entscheiden intern, dass ein Vorfall „wohl nicht erheblich“ ist – und verzichten auf eine Meldung. Wenn das BSI im Rahmen von Prüfungen oder Rückmeldungen anderer Stellen von dem Vorfall erfährt und keine Meldung vorliegt, ist die Rechtfertigungslage schwierig. Im Zweifel gilt: Eine vorsorgliche Frühwarnung ist kein Eingeständnis und erzeugt keinen Bußgelddruck. Das Fehlen einer Meldung hingegen kann als Pflichtverletzung gewertet werden.
Häufig gestellte Fragen zur BSI-Meldung nach NIS2
Gilt die 24-Stunden-Frist auch an Wochenenden und Feiertagen?
Ja. Die gesetzliche Frist gilt ohne Ausnahme für Wochenenden oder Feiertage. Das BSI-Meldeportal ist rund um die Uhr erreichbar. Einrichtungen müssen sicherstellen, dass die zuständigen Personen auch außerhalb der regulären Geschäftszeiten Zugang zum Portal haben und meldebereit sind.
Muss auch gemeldet werden, wenn der Angriff erfolgreich abgewehrt wurde?
Nicht automatisch. Entscheidend ist, ob der Vorfall erhebliche Auswirkungen hatte oder hätte haben können. Ein Angriffsversuch ohne tatsächliche Kompromittierung und ohne Betriebsstörung erfüllt in der Regel nicht die Erheblichkeitsschwelle. Bestand jedoch die reale Möglichkeit erheblicher Auswirkungen – z.B. ein nur knapp abgewehrter Ransomware-Angriff auf kritische Infrastruktur – kann eine Frühwarnung geboten sein.
Was passiert, wenn ein Vorfall nach der Erstmeldung als nicht erheblich eingestuft wird?
Die Einrichtung informiert das BSI in der 72-Stunden-Meldung entsprechend. Das BSI schließt den Vorgang dann ohne weitere Konsequenzen ab. Eine zu Unrecht eingereichte Frühwarnung ist kein Bußgeldtatbestand.
Kann eine externe IT-Sicherheitsfirma die Meldung im Namen unserer Einrichtung einreichen?
Ja, sofern der betreffenden Person oder Organisation eine entsprechende Vollmacht erteilt wurde und diese einen eigenen MELDP-Zugang hat. Die rechtliche Verantwortung für die Einhaltung der Meldefristen verbleibt jedoch bei der betroffenen Einrichtung.
Gilt die Meldepflicht auch für laufende Sicherheitsübungen oder Penetrationstests?
Nein. Autorisierte Sicherheitstests, die im Einvernehmen mit der Einrichtung durchgeführt werden, sind keine Sicherheitsvorfälle im Sinne des §32 BSIG. Die Einrichtung sollte jedoch sicherstellen, dass alle Beteiligten über den Test informiert sind, damit keine irrtümliche interne Meldung ausgelöst wird.
Quellen
- BSIG (BSI-Gesetz) in der Fassung des NIS2UmsuCG, §32 – Bundesministerium der Justiz
- Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie), Artikel 23 – EUR-Lex
- Durchführungsverordnung (EU) 2024/2690, Artikel 2 – EUR-Lex (technische und methodische Anforderungen an Cybersicherheitsmaßnahmen)
- NIS-2 für Unternehmen und Organisationen – BSI
- BSI-Meldeportal (MELDP) – Bundesamt für Sicherheit in der Informationstechnik
- ENISA Threat Landscape 2024 – European Union Agency for Cybersecurity
