NIS 2 Deutschland — Meldepflicht

Vorfallsmeldung an das BSI: die NIS-2-Meldepflicht nach § 32 BSIG

Besonders wichtige und wichtige Einrichtungen muessen erhebliche Sicherheitsvorfaelle dem BSI melden — in drei Stufen: Fruehwarnung binnen 24 Stunden, bewertende Meldung binnen 72 Stunden, Abschlussmeldung binnen eines Monats. Diese Pflicht gilt seit dem Inkrafttreten des NIS2UmsuCG am 6. Dezember 2025 unmittelbar.

Wann ist ein Vorfall „erheblich“?

Ein Sicherheitsvorfall ist erheblich, wenn er schwerwiegende Betriebsstoerungen der Dienste oder finanzielle Verluste verursacht oder verursachen kann, oder andere Personen durch erhebliche materielle oder immaterielle Schaeden beeintraechtigt oder beeintraechtigen kann. Nur erhebliche Vorfaelle loesen die Meldepflicht nach § 32 BSIG aus.

Die dreistufige Meldung

binnen 24 Stunden

Fruehwarnung (Erstmeldung)

Unverzueglich, spaetestens 24 Stunden nach Kenntnis des erheblichen Sicherheitsvorfalls. Die Fruehwarnung gibt an, ob ein rechtswidriger/boeswilliger Verdacht besteht und ob grenzueberschreitende Auswirkungen moeglich sind — Details folgen spaeter.

binnen 72 Stunden

Bewertende Meldung

Unverzueglich, spaetestens 72 Stunden nach Kenntnis: eine erste Bewertung des Vorfalls einschliesslich Schweregrad, Auswirkungen und — soweit verfuegbar — Kompromittierungsindikatoren.

binnen 1 Monat

Abschlussmeldung

Spaetestens einen Monat nach der bewertenden Meldung: ausfuehrliche Beschreibung, Art der Bedrohung/Grundursache, ergriffene und laufende Abhilfemassnahmen sowie etwaige grenzueberschreitende Auswirkungen. Dauert der Vorfall an, ist stattdessen eine Fortschrittsmeldung und nach Abschluss eine Abschlussmeldung zu uebermitteln.

Alle Fristen laufen ab Kenntnis des Vorfalls. Gemeldet wird an das BSI (operativ: CERT-Bund) ueber das BSI-Meldeportal.

Wer meldet, wie und mit welchen Folgen

Wer: besonders wichtige und wichtige Einrichtungen im Sinne des BSIG 2025.
Wohin: an das BSI (operativ unterstuetzt durch das CERT-Bund) ueber das BSI-Meldeportal; der Zugang laeuft ueber „Mein Unternehmenskonto“.
Voraussetzung: eine vorherige Registrierung beim BSI (§ 33 BSIG) — die Frist hierfuer lief fuer bereits betroffene Einrichtungen bis zum 6. Maerz 2026.
Bei Versaeumnis: eine unterlassene oder verspaetete Meldung ist eine Ordnungswidrigkeit und kann nach § 65 BSIG mit Bussgeldern bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes geahndet werden; die Geschaeftsleitung haftet persoenlich (§ 38).

Haeufige Fragen

Was ist ein erheblicher Sicherheitsvorfall (§ 32 BSIG)?

Ein Sicherheitsvorfall ist erheblich, wenn er schwerwiegende Betriebsstoerungen der Dienste oder finanzielle Verluste verursacht oder verursachen kann, oder andere natuerliche/juristische Personen durch erhebliche materielle oder immaterielle Schaeden beeintraechtigt oder beeintraechtigen kann. Nur erhebliche Vorfaelle loesen die Meldepflicht aus.

Welche Fristen gelten fuer die NIS-2-Meldung?

Die Meldung erfolgt in drei Stufen an das BSI: Fruehwarnung binnen 24 Stunden, bewertende Meldung binnen 72 Stunden und Abschlussmeldung binnen eines Monats nach der bewertenden Meldung. Alle Fristen laufen ab Kenntnis des Vorfalls.

Wer muss melden und an wen?

Besonders wichtige und wichtige Einrichtungen melden erhebliche Sicherheitsvorfaelle an das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) — operativ unterstuetzt durch das CERT-Bund. Gemeldet wird ueber das BSI-Meldeportal; der Zugang laeuft ueber „Mein Unternehmenskonto“.

Was passiert, wenn nicht oder zu spaet gemeldet wird?

Eine unterlassene oder verspaetete Meldung ist eine Ordnungswidrigkeit und kann mit Bussgeldern nach § 65 BSIG geahndet werden (bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes bei besonders wichtigen Einrichtungen). Die Geschaeftsleitung traegt nach § 38 eine persoenliche Verantwortung.

Meldeprozess vorbereiten — bevor es ernst wird

Reglyze fuehrt Vorfaelle strukturiert durch die 24h/72h/1-Monat- Fristen, haelt die Meldeinhalte vor und dokumentiert den Audit-Trail. So ist die § 32-Meldung vorbereitet, bevor der erste Vorfall eintritt. EU-Hosting (Hetzner, Deutschland).

Reglyze ist eine SaaS-Plattform fuer NIS-2-Compliance und ersetzt keine qualifizierte Rechtsberatung. Verbindliche Auskuenfte und das Meldeportal finden Sie beim BSI unter bsi.bund.de.