NIS 2 Deutschland — Meldepflicht

Vorfallsmeldung an das BSI: die NIS-2-Meldepflicht nach § 32 BSIG

Besonders wichtige und wichtige Einrichtungen muessen erhebliche Sicherheitsvorfaelle dem BSI melden — in drei Stufen: Fruehwarnung binnen 24 Stunden, bewertende Meldung binnen 72 Stunden, Abschlussmeldung binnen eines Monats. Diese Pflicht gilt seit dem Inkrafttreten des NIS2UmsuCG am 6. Dezember 2025 unmittelbar.

Wann ist ein Vorfall „erheblich“?

Ein Sicherheitsvorfall ist erheblich, wenn er schwerwiegende Betriebsstoerungen der Dienste oder finanzielle Verluste verursacht oder verursachen kann, oder andere Personen durch erhebliche materielle oder immaterielle Schaeden beeintraechtigt oder beeintraechtigen kann. Nur erhebliche Vorfaelle loesen die Meldepflicht nach § 32 BSIG aus.

Die dreistufige Meldung

binnen 24 Stunden
Frühwarnung (Erstmeldung)
Unverzüglich, spätestens 24 Stunden nach Kenntnis des erheblichen Sicherheitsvorfalls. Die Frühwarnung gibt an, ob ein rechtswidriger/böswilliger Verdacht besteht und ob grenzüberschreitende Auswirkungen möglich sind — Details folgen später.
binnen 72 Stunden
Bewertende Meldung
Unverzüglich, spätestens 72 Stunden nach Kenntnis: eine erste Bewertung des Vorfalls einschließlich Schweregrad, Auswirkungen und — soweit verfügbar — Kompromittierungsindikatoren.
binnen 1 Monat
Abschlussmeldung
Spätestens einen Monat nach der bewertenden Meldung: ausführliche Beschreibung, Art der Bedrohung/Grundursache, ergriffene und laufende Abhilfemaßnahmen sowie etwaige grenzüberschreitende Auswirkungen. Dauert der Vorfall an, ist stattdessen eine Fortschrittsmeldung und nach Abschluss eine Abschlussmeldung zu übermitteln.

Alle Fristen laufen ab Kenntnis des Vorfalls. Gemeldet wird an das BSI (operativ: CERT-Bund) ueber das BSI-Meldeportal.

Wer meldet, wie und mit welchen Folgen

  • Wer: besonders wichtige und wichtige Einrichtungen im Sinne des BSIG 2025.
  • Wohin: an das BSI (operativ unterstuetzt durch das CERT-Bund) ueber das BSI-Meldeportal; der Zugang laeuft ueber „Mein Unternehmenskonto“.
  • Voraussetzung: eine vorherige Registrierung beim BSI (§ 33 BSIG) — die Frist hierfuer lief fuer bereits betroffene Einrichtungen bis zum 6. Maerz 2026.
  • Bei Versaeumnis: eine unterlassene oder verspaetete Meldung ist eine Ordnungswidrigkeit und kann nach § 65 BSIG mit Bussgeldern bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes geahndet werden; die Geschaeftsleitung haftet persoenlich (§ 38).

Haeufige Fragen

Was ist ein erheblicher Sicherheitsvorfall (§ 32 BSIG)?
Ein Sicherheitsvorfall ist erheblich, wenn er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste verursacht oder verursachen kann, oder andere natürliche/juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt oder beeinträchtigen kann. Nur erhebliche Vorfälle lösen die Meldepflicht aus.
Welche Fristen gelten für die NIS-2-Meldung?
Die Meldung erfolgt in drei Stufen an das BSI: Frühwarnung binnen 24 Stunden, bewertende Meldung binnen 72 Stunden und Abschlussmeldung binnen eines Monats nach der bewertenden Meldung. Alle Fristen laufen ab Kenntnis des Vorfalls.
Wer muss melden und an wen?
Besonders wichtige und wichtige Einrichtungen melden erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) — operativ unterstützt durch das CERT-Bund. Gemeldet wird über das BSI-Meldeportal; der Zugang läuft über „Mein Unternehmenskonto“.
Was passiert, wenn nicht oder zu spät gemeldet wird?
Eine unterlassene oder verspätete Meldung ist eine Ordnungswidrigkeit und kann mit Bußgeldern nach § 65 BSIG geahndet werden (bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes bei besonders wichtigen Einrichtungen). Die Geschäftsleitung trägt nach § 38 eine persönliche Verantwortung.

Meldeprozess vorbereiten — bevor es ernst wird

Reglyze fuehrt Vorfaelle strukturiert durch die 24h/72h/1-Monat- Fristen, haelt die Meldeinhalte vor und dokumentiert den Audit-Trail. So ist die § 32-Meldung vorbereitet, bevor der erste Vorfall eintritt. EU-Hosting (Hetzner, Deutschland).

Reglyze ist eine SaaS-Plattform fuer NIS-2-Compliance und ersetzt keine qualifizierte Rechtsberatung. Verbindliche Auskuenfte und das Meldeportal finden Sie beim BSI unter bsi.bund.de.