Meldepflichten nach NIS2

Seit dem 06.12.2025 ist die europäische NIS‑2‑Richtlinie in Deutschland im BSI‑Gesetz (BSIG) umgesetzt. Mit dem BSIG entstehen erstmals für viele Unternehmen in betroffenen Sektoren verbindliche Pflichten im Bereich IT- und Cybersicherheit. Ein wesentlicher Punkt dabei sind die Meldepflichten bei erheblichen Sicherheitsvorfällen nach § 32 BSIG.

Das BSIG unterscheidet zwischen „wichtigen“ und „besonders wichtigen“ Einrichtungen. Dazu müssen Unternehmen bestimmten festgelegten Sektoren unterliegen und zusätzlich Schwellenwerte (Mitarbeiter und Jahresumsatz) überschreiten. Die Bandbreite der betroffenen Sektoren reicht von Medizinprodukteherstellern zu sog. Managed Service Providern, die IT-Dienstleistungen (auch im eigenen Konzern) erbringen.

Was gilt als Sicherheitsvorfall nach dem BSIG – und wann ist er „erheblich“?

Ein Sicherheitsvorfall liegt vor, wenn die Verfügbarkeit, Integrität oder Vertraulichkeit von Daten oder IT‑gestützten Diensten beeinträchtigt wird - entscheidend ist also der Bezug zur IT‑Infrastruktur. Erheblich ist ein Sicherheitsvorfall, wenn er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betroffene Einrichtung verursacht oder verursachen kann oder andere Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann. Für digitale Dienste konkretisiert die EU‑Durchführungsverordnung (EU) 2024/2690 die Bewertung, wann ein Vorfall als erheblich gilt.

Meldeprozess und Fristen nach § 32 BSIG

Der Meldeprozess ist mehrstufig und beginnt mit der Kenntniserlangung über einen erheblichen Sicherheitsvorfall (fristauslösend).

• Die frühe Erstmeldung muss unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntnis gemacht werden. Anzugeben ist insbesondere, ob der Vorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen sein könnte oder grenzüberschreitende Auswirkungen haben kann.
• Daraufhin muss eine bewertende Meldung unverzüglich, spätestens innerhalb von 72 Stunden getätigt werden. Sie ist eine Bestätigung bzw. Update der Erstmeldung und enthält eine erste Bewertung von Schweregrad und Auswirkungen.
• Spätestens einen Monat nach Übermittlung der bewertenden Meldung muss eine Abschlussmeldung gemacht werden. Sie enthält u. a. eine ausführliche Beschreibung, Schweregrad, Ursache, Bedrohung, Abhilfemaßnahmen und ggf. grenzüberschreitende Auswirkungen.

Unternehmen und Organisationen können den Vorfall über das Meldeformular des BSI‑Melde‑ und Informationsportals übermitteln; hierfür ist eine vorherige Registrierung im BSI‑Portal notwendig.

Was hat die NIS2‑Meldepflicht mit einer Meldung nach der DSGVO zu tun?

Ein meldepflichtiger Datenschutzvorfall ist nicht automatisch ein erheblicher Sicherheitsvorfall nach § 32 BSIG; die Schwellen unterscheiden sich deutlich: Bereits ein Datenschutzvorfall, der voraussichtlich ein Risiko für Rechte und Freiheiten natürlicher Personen begründet, löst die Meldung an die Datenschutzaufsicht nach Art. 33 DSGVO aus.

Die Erheblichkeitsschwelle für Meldungen nach dem BSIG ist höher, weil es u.a. auf schwerwiegende Betriebsstörungen/finanzielle Verluste bzw. erhebliche Schäden ankommt.

Je nach Vorfall können beide Meldepflichten parallel greifen (z. B. IT‑Sicherheitsvorfall mit Personenbezug) gegenüber unterschiedlichen Behörden - Unternehmen sollten entsprechende Prozesse vorbereitet haben.

Wer entgegen § 32 Abs. 1 BSIG nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig meldet, handelt ordnungswidrig. Das BSIG sieht hohe Bußgelder dafür vor.

Praxistipps für Unternehmen

• Seien Sie intern vorbereitet für die kurzen Meldefristen und klären Sie intern die Zuständigkeiten. Checklisten können hierbei helfen. Auch banale Fragen müssen jederzeit geklärt sein: Wer meldet an das BSI über das Portal, wer koordiniert ggf. parallele Meldungen (z. B. DSGVO)?
• Machen Sie sich mit den Kriterien (wie das Ausmaß der Dienstbeeinträchtigung) zur Meldepflicht vertraut.
• Beachten Sie Branchenspezifika: Für digitale Dienste gelten zusätzliche Kriterien (EU‑Durchführungsverordnung 2024/2690).  

Die NIS2‑Meldepflicht nach § 32 BSIG verlangt eine schnelle, strukturierte Reaktion auf erhebliche Sicherheitsvorfälle – mit klaren Fristen, Inhalten und einem mehrstufigen Prozess. Betroffene Unternehmen sollten ihre Incident‑Response und Meldeprozesse jetzt „BSIG‑fit“ machen, um rechtssicher zu handeln und spürbare Sanktionen zu vermeiden.