Zum Inhalt springen
Home » NIS2-Meldepflicht: Was muss bei einem Sicherheitsvorfall gemeldet werden?

NIS2-Meldepflicht: Was muss bei einem Sicherheitsvorfall gemeldet werden?

NIS2-Meldepflicht: Was muss bei einem Sicherheitsvorfall gemeldet werden?

Ein Ransomware-Angriff wird nachts entdeckt, zentrale Systeme sind verschlüsselt, erste Kundenprozesse stehen still. Während IT, Dienstleister und Geschäftsleitung noch klären, was genau passiert ist, läuft bereits die Meldefrist.

Für betroffene Unternehmen ist deshalb nicht nur entscheidend, den Sicherheitsvorfall technisch zu bewältigen. Sie müssen auch schnell bewerten, ob ein erheblicher Sicherheitsvorfall vorliegt, welche Stelle zu informieren ist und welche Angaben innerhalb von 24 und 72 Stunden übermittelt werden müssen.

Die NIS2-Meldepflicht ist damit ein zentraler Risikopunkt. Wer zu spät meldet, unklare Zuständigkeiten hat oder widersprüchliche Informationen übermittelt, riskiert Aufsichtsmaßnahmen, Bußgelder und Haftungsfragen für die Geschäftsleitung.

Dieser Beitrag erklärt, wann eine Meldung erforderlich ist, welche Fristen nach § 32 BSIG gelten, welche Inhalte vorbereitet werden sollten und wie Unternehmen ihren Meldeprozess praktisch organisieren. § 32 BSIG sieht ein gestuftes Verfahren mit früher Erstmeldung, 72-Stunden-Meldung, möglichen Zwischenmeldungen und Abschlussmeldung vor. 

Dieser Beitrag ist Teil unserer NIS2-Beitragsreihe. Einen allgemeinen Überblick über Rechtslage, Pflichten, Fristen und Umsetzung finden Sie im Hauptbeitrag NIS2 in Deutschland: Was Unternehmen jetzt wissen und umsetzen müssen. Wenn Sie zunächst klären möchten, ob Ihr Unternehmen überhaupt betroffen ist, lesen Sie den Beitrag Bin ich von NIS2 betroffen? Betroffenheitscheck für Unternehmen.

Das Wichtigste in Kürze

  • Die NIS2-Meldepflicht betrifft wichtige und besonders wichtige Einrichtungen nach dem BSIG.
  • Bei erheblichen Sicherheitsvorfällen gilt ein mehrstufiges Meldeverfahren: frühe Erstmeldung innerhalb von 24 Stunden, weitere Meldung innerhalb von 72 Stunden und Abschlussmeldung spätestens einen Monat nach der 72-Stunden-Meldung.
  • Die erste Meldung muss nicht vollständig sein. Sie soll früh warnen und den Vorfall einordnen. Details können später ergänzt werden.
  • Meldepflichten sind Organisationspflichten. Unternehmen müssen vorab klären, wer Vorfälle bewertet, wer eskaliert, wer meldet und wer die Geschäftsleitung informiert.
  • DSGVO und DORA können parallel relevant sein. Bei personenbezogenen Daten oder Finanzunternehmen müssen Meldewege besonders sorgfältig koordiniert werden.
  • Zusätzlich zur Behördenmeldung kann auch eine Information von Kunden, Nutzern oder anderen Empfängern der Dienste erforderlich sein.

NIS2-Beratung für Unternehmen

Ist Ihr Unternehmen im Ernstfall meldefähig?

Wir prüfen Rollen, Fristen, Meldewege, Vorlagen, BSI-Portal-Zugänge und Schnittstellen zu DSGVO, DORA, Dienstleistern und Kundenkommunikation.

Unverbindliches Erstgespräch anfragen Persönliche Ersteinschätzung

Praxisfrage: Ist Ihr Unternehmen meldefähig?

Ist in Ihrem Unternehmen klar, wer einen Sicherheitsvorfall bewertet, wer die Geschäftsleitung informiert und wer die externe Meldung auslöst?

Wenn diese Fragen im Ernstfall erst geklärt werden müssen, ist das Risiko hoch, Fristen zu versäumen oder widersprüchlich zu kommunizieren.

Wer muss Sicherheitsvorfälle nach NIS2 melden?

Die NIS2-Meldepflicht betrifft Unternehmen und Einrichtungen, die nach dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen, kurz BSIG, als wichtige oder besonders wichtige Einrichtungen einzuordnen sind.

Ob das der Fall ist, hängt insbesondere von Sektor, konkreter Tätigkeit, Größe, Konzernstruktur und möglichen Sonderregeln ab. § 28 BSIG regelt, welche Einrichtungen als besonders wichtige oder wichtige Einrichtungen gelten. 

Die genaue Betroffenheit sollte vor einem Sicherheitsvorfall geprüft und dokumentiert werden. Wer erst während eines Angriffs klärt, ob NIS2 gilt, verliert wertvolle Zeit.

Eine ausführliche Einordnung finden Sie im Beitrag „Bin ich von NIS2 betroffen? Betroffenheitscheck für Unternehmen“. Einen allgemeinen Überblick über Rechtslage, Pflichten, Registrierung und Umsetzung bietet der Hauptbeitrag „NIS2 in Deutschland: Was Unternehmen jetzt wissen und umsetzen müssen“. Für kleinere und mittlere Unternehmen ist ergänzend der Beitrag „NIS2 Mittelstand: Was gilt für kleine und mittlere Unternehmen?“relevant. 

In diesem Beitrag geht es darum, was passiert, wenn ein betroffenes Unternehmen einen erheblichen Sicherheitsvorfall erkennt oder erkennen muss.

Wann ist ein Sicherheitsvorfall meldepflichtig?

Meldepflichtig ist nicht jede IT-Störung. Entscheidend ist, ob ein erheblicher Sicherheitsvorfall vorliegt.

Ein Sicherheitsvorfall ist insbesondere dann erheblich, wenn er schwerwiegende Betriebsstörungen der Dienste oder erhebliche finanzielle Verluste für die betroffene Einrichtung verursacht hat oder verursachen kann. Erheblich kann ein Vorfall außerdem sein, wenn andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt wurden oder beeinträchtigt werden können. Diese Schwelle knüpft an die Meldepflicht für erhebliche Sicherheitsvorfälle nach NIS2 und BSIG an. 

Typische Beispiele sind:

  • Ransomware-Angriff mit verschlüsselten Systemen,
  • erfolgreicher Zugriff unbefugter Dritter auf zentrale Systeme,
  • Ausfall kritischer IT-Dienste,
  • Kompromittierung von Administratorzugängen,
  • Angriff auf Produktions- oder Logistiksysteme,
  • Sicherheitsvorfall bei einem zentralen IT-Dienstleister,
  • Datenabfluss oder Verdacht auf Datenabfluss,
  • schwerwiegende Störung eines digitalen Dienstes.

Nicht jeder Verdacht führt automatisch zu einer vollständigen Meldung. Unternehmen müssen aber in der Lage sein, schnell zu bewerten, ob die Schwelle zum erheblichen Sicherheitsvorfall erreicht ist.

Praxisempfehlung: Legen Sie interne Bewertungskriterien fest. Dazu gehören Auswirkungen auf Betrieb, Kunden, Daten, Lieferketten, Dauer der Störung, betroffene Systeme, mögliche Folgeschäden und die Frage, ob andere Organisationen oder Nutzer handeln müssen.

Welche Fristen gelten bei der NIS2-Meldepflicht?

Die Meldepflicht läuft in mehreren Stufen. Unternehmen sollten diese Fristen nicht erst im Ernstfall klären.

Meldestufe

Frist

Zweck

Typischer Inhalt

Frühe Erstmeldung

Unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung

Frühe Warnung und erste Einordnung

Verdacht, Art des Vorfalls, betroffene Dienste, erste Einschätzung

Weitere Meldung / 72-Stunden-Meldung

Unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntniserlangung

Aktualisierung und erste Bewertung

Ausmaß, Auswirkungen, wahrscheinliche Ursache, erste Gegenmaßnahmen

Zwischenmeldung

Auf Ersuchen des BSI oder der zuständigen Stelle

Statusaktualisierung

Aktueller Stand, weitere Erkenntnisse, laufende Maßnahmen

Abschlussmeldung

Spätestens einen Monat nach Übermittlung der 72-Stunden-Meldung

Abschließende Bewertung

Ursache, Auswirkungen, Maßnahmen, Abhilfeschritte

Fortschrittsmeldung

Wenn der Vorfall nach einem Monat noch andauert

Vorläufiger Abschluss bei laufender Bearbeitung

Stand der Bearbeitung, offene Punkte, weiterer Zeitplan

Wichtig: Die erste Meldung muss noch nicht alle Details enthalten. Sie sollte aber zeigen, dass das Unternehmen den Vorfall erkannt, bewertet und die zuständige Stelle informiert hat.

Was muss in der 24-Stunden-Erstmeldung stehen?

Die 24-Stunden-Erstmeldung dient der frühen Warnung. Sie soll der zuständigen Stelle ermöglichen, den Vorfall einzuordnen und bei Bedarf weitere Schritte einzuleiten.

Typische Angaben sind:

  • Name und Kontaktdaten des Unternehmens,
  • betroffene Einrichtung oder Gesellschaft,
  • Zeitpunkt der Kenntniserlangung,
  • kurze Beschreibung des Vorfalls,
  • betroffene Systeme, Dienste oder Standorte,
  • erste Einschätzung der Auswirkungen,
  • Verdacht auf rechtswidrige oder böswillige Handlung,
  • mögliche grenzüberschreitende Auswirkungen,
  • erste ergriffene Sofortmaßnahmen,
  • Kontaktperson für Rückfragen.

Die Erstmeldung darf knapp sein. Sie sollte aber belastbar genug sein, damit später nachvollziehbar bleibt, wann das Unternehmen den Vorfall erkannt und wie es reagiert hat.

Praxisfehler: Viele Unternehmen warten zu lange, weil sie erst alle technischen Details klären wollen. Das ist riskant. Die erste Meldung ist gerade dafür gedacht, früh und noch nicht vollständig zu informieren.

Was gehört in die 72-Stunden-Meldung?

Die 72-Stunden-Meldung aktualisiert die Erstmeldung und enthält eine erste fachliche Bewertung des Vorfalls.

Typische Inhalte sind:

  • Bestätigung oder Korrektur der Erstmeldung,
  • genauere Beschreibung des Vorfalls,
  • betroffene Systeme, Dienste, Kunden oder Lieferketten,
  • bisher bekannte Ursache oder Angriffsart,
  • Bewertung von Schwere und Auswirkungen,
  • Stand der Eindämmung,
  • bereits ergriffene Maßnahmen,
  • geplante weitere Maßnahmen,
  • mögliche grenzüberschreitende Auswirkungen,
  • Schnittstelle zu DSGVO-, DORA- oder Kundenmeldungen.

Die 72-Stunden-Meldung ist der erste belastbare Nachweis einer strukturierten Vorfallsteuerung. Spätestens hier muss das Unternehmen zeigen, dass es nicht nur technisch reagiert, sondern den Vorfall organisatorisch, rechtlich und kommunikativ steuert.

Was muss die Abschlussmeldung enthalten?

Die Abschlussmeldung, häufig auch als Abschlussbericht bezeichnet, soll den Vorfall abschließend bewerten. Sie ist spätestens einen Monat nach Übermittlung der 72-Stunden-Meldung zu übermitteln.

Sie sollte insbesondere enthalten:

  • detaillierte Beschreibung des Vorfalls,
  • Ursache oder wahrscheinliche Ursache,
  • Zeitraum und Verlauf,
  • betroffene Systeme, Dienste und Daten,
  • tatsächliche Auswirkungen auf Betrieb, Kunden und Dritte,
  • ergriffene Sofortmaßnahmen,
  • langfristige Abhilfemaßnahmen,
  • Bewertung der Wirksamkeit der Maßnahmen,
  • gewonnene Erkenntnisse aus dem Vorfall,
  • geplante Anpassungen von Sicherheitskonzept, Meldeprozess oder Dienstleistersteuerung.

Wenn der Vorfall zu diesem Zeitpunkt noch andauert, kann zunächst eine Fortschrittsmeldung erforderlich sein. Die endgültige Abschlussmeldung folgt dann nach abschließender Bearbeitung.

An wen muss gemeldet werden?

In vielen Fällen ist das BSI die zentrale Stelle für NIS2-Meldungen. Unternehmen sollten aber prüfen, ob im konkreten Sektor Besonderheiten gelten oder weitere Behörden einzubeziehen sind.

In der Praxis erfolgt die Meldung regelmäßig über das BSI-Portal. Unternehmen sollten deshalb vorab klären, wer Zugriff auf das Portal hat, wer die Meldung vorbereitet, wer sie autorisiert und welche Informationen im Ernstfall kurzfristig bereitgestellt werden können. Das BSI stellt eine Anleitung zur Meldung im BSI-Portal bereit. 

Besonders wichtig sind diese Schnittstellen:

  • Finanzsektor: Für viele Banken, Versicherungen, Zahlungsdienstleister und andere Finanzunternehmen enthält DORA ein eigenes, sektorspezifisches Meldewesen.
  • Telekommunikation und Energie: Je nach Sektor können zusätzliche Vorgaben oder Behördenzuständigkeiten zu beachten sein.
  • Datenschutz: Wenn personenbezogene Daten betroffen sind, kann zusätzlich eine Meldung an die Datenschutzaufsicht erforderlich sein.
  • Kunden und Nutzer: Wenn Empfänger von Diensten betroffen sind oder eigene Schutzmaßnahmen ergreifen müssen, kann auch eine Information dieser Empfänger erforderlich sein.

Unternehmen sollten deshalb vorab festlegen, wer im Ernstfall prüft, welche Behörde zuständig ist und ob mehrere Meldungen parallel erforderlich sind.

Müssen auch Kunden, Nutzer oder Empfänger der Dienste informiert werden?

Neben der Meldung an die zuständige Stelle kann auch eine Information von Kunden, Nutzern oder anderen Empfängern der Dienste erforderlich sein.

Das gilt insbesondere, wenn der Sicherheitsvorfall die Erbringung der Dienste beeinträchtigen kann oder wenn Empfänger Maßnahmen ergreifen sollten, um eigene Schäden zu vermeiden. Art. 23 NIS2 sieht neben der Behördenmeldung auch Informationspflichten gegenüber Empfängern der Dienste vor, wenn erhebliche Sicherheitsvorfälle oder erhebliche Cyberbedrohungen diese betreffen können. 

Diese Kommunikation sollte mit Behördenmeldung, Datenschutzmeldung, Kundenkommunikation und externer Krisenkommunikation abgestimmt werden. Widersprüche zwischen Behördenmeldung und Kundeninformation können später zu erheblichen Nachfragen führen.

Wie verhalten sich NIS2-Meldung und DSGVO-Meldung zueinander?

NIS2 und DSGVO können bei demselben Sicherheitsvorfall parallel relevant sein.

Das ist vor allem dann der Fall, wenn ein Cyberangriff oder IT-Vorfall personenbezogene Daten betrifft. Dann kann neben der NIS2-Meldung auch eine Meldung nach Art. 33 DSGVO erforderlich sein. Außerdem kann eine Information betroffener Personen nach Art. 34 DSGVO notwendig werden.

Ein personenbezogener Bezug allein genügt allerdings noch nicht automatisch für eine DSGVO-Meldung. Entscheidend ist, ob eine Verletzung des Schutzes personenbezogener Daten vorliegt und ob daraus ein Risiko für Rechte und Freiheiten natürlicher Personen folgt.

Wichtig ist: Die Fristen und Bewertungsmaßstäbe sind nicht identisch. Die DSGVO kennt ebenfalls eine 72-Stunden-Frist für Meldungen an die Datenschutzaufsichtsbehörde. NIS2 verlangt zusätzlich die frühe Erstmeldung innerhalb von 24 Stunden.

Praxisempfehlung: Unternehmen sollten keinen getrennten NIS2- und DSGVO-Prozess bauen, der im Ernstfall nebeneinanderläuft. Besser ist ein gemeinsamer Incident-Prozess mit unterschiedlichen Meldepfaden.

Frage

NIS2 / BSIG

DSGVO

Auslöser

Erheblicher Sicherheitsvorfall

Verletzung des Schutzes personenbezogener Daten

Erste externe Frist

24 Stunden für frühe Erstmeldung

Grundsätzlich 72 Stunden an die Datenschutzaufsicht

Zuständige Stelle

Häufig BSI oder sektorspezifische Stelle

Datenschutzaufsichtsbehörde

Fokus

Dienste, IT-Sicherheit, Betrieb, Cybersicherheit

Personenbezogene Daten und Risiken für Betroffene

Mögliche Zusatzkommunikation

Empfänger der Dienste

Betroffene Personen bei hohem Risiko

Was gilt für Finanzunternehmen und DORA?

Für viele Finanzunternehmen enthält DORA ein eigenes, sektorspezifisches Meldewesen. Das betrifft insbesondere Banken, Zahlungsinstitute, Versicherungen, Wertpapierfirmen und weitere Finanzmarktakteure.

Im Meldeprozess sollte deshalb früh geprüft werden, ob ein Vorfall nach DORA, NIS2/BSIG, DSGVO oder mehreren Regelwerken parallel zu behandeln ist. Die BaFin weist darauf hin, dass schwerwiegende IKT-bezogene Vorfälle unter DORA über ihre Melde- und Veröffentlichungsplattform einzureichen sind. 

Das bedeutet nicht, dass NIS2 in Konzernstrukturen oder bei Dienstleisterrollen immer irrelevant ist. Gerade in Unternehmensgruppen können einzelne IT-Gesellschaften, Dienstleister oder andere Einheiten eigenständig unter NIS2 fallen. Außerdem müssen Vorfallprozesse so organisiert sein, dass DORA-, NIS2- und Datenschutzanforderungen zusammenpassen.

Einen allgemeinen Überblick zur Rolle von DORA im NIS2-Kontext enthält der Hauptbeitrag „NIS2 in Deutschland: Was Unternehmen jetzt wissen und umsetzen müssen“.

Welche Rolle hat die Geschäftsleitung bei der NIS2-Meldepflicht?

Die Geschäftsleitung muss die Meldung nicht selbst technisch erstellen. Sie muss aber sicherstellen, dass das Unternehmen organisatorisch in der Lage ist, erhebliche Sicherheitsvorfälle fristgerecht zu erkennen, zu bewerten, zu eskalieren und zu melden.

Dazu gehören insbesondere:

  • klare Rollen,
  • definierte Eskalationswege,
  • Meldevorlagen,
  • erreichbare Ansprechpartner,
  • Einbindung von IT, Recht, Datenschutz, Compliance und Kommunikation,
  • rechtzeitige Information der Geschäftsleitung,
  • nachvollziehbare Dokumentation.

Fehlt ein solcher Prozess, kann ein verspätetes oder fehlerhaftes Melden auch zur Frage der Geschäftsleiterverantwortung werden.

Die persönliche Verantwortung der Geschäftsleitung behandeln wir ausführlich im Beitrag „NIS2-Haftung: Pflichten für Geschäftsführer und Vorstände“.

Welche Folgen drohen bei Meldefehlern?

Verstöße gegen Meldepflichten können aufsichtsrechtliche Folgen haben. Dazu gehören Nachfragen, Nachweispflichten, Anordnungen und je nach Einzelfall auch Bußgelder.

Entscheidend ist nicht der Sicherheitsvorfall als solcher. Maßgeblich ist vielmehr, ob das Unternehmen seine Organisations-, Melde- und Dokumentationspflichten eingehalten hat.

Gerade deshalb ist die Dokumentation wichtig. Unternehmen sollten nachvollziehbar festhalten:

  • wann der Vorfall erkannt wurde,
  • welche Informationen zu welchem Zeitpunkt vorlagen,
  • wie die Meldepflicht bewertet wurde,
  • wer intern eingebunden war,
  • welche Entscheidungen getroffen wurden,
  • wann und mit welchem Inhalt gemeldet wurde.

Die Bußgeldrahmen und typischen Sanktionsrisiken behandeln wir ausführlich im Beitrag „NIS2-Bußgelder: Welche Strafen drohen Unternehmen bei Verstößen?“

Was müssen Unternehmen intern vorbereiten?

Unternehmen sollten vorab einen Meldeprozess festlegen. Im Ernstfall ist keine Zeit, Zuständigkeiten, Verteiler und Entscheidungswege neu zu klären.

Eine praxistaugliche Vorbereitung umfasst:

1. Incident-Klassifizierung
Legen Sie fest, welche Vorfälle intern als kritisch, erheblich oder meldepflichtig geprüft werden.

2. 24/7-Erreichbarkeit
Klären Sie, wer außerhalb normaler Geschäftszeiten erreichbar ist und wie externe Dienstleister eingebunden werden.

3. Eskalationsmatrix
Definieren Sie, wann IT, Recht, Datenschutz, Compliance, Geschäftsleitung und Kommunikation einzubeziehen sind.

4. Meldeverantwortung
Bestimmen Sie, wer externe Meldungen vorbereitet, prüft, autorisiert und übermittelt.

5. Vorlagen und Mindestinformationen
Erstellen Sie Vorlagen für Erstmeldung, 72-Stunden-Meldung, Zwischenmeldung, Fortschrittsmeldung und Abschlussmeldung.

6. BSI-Portal und Behördenkontakte
Klären Sie vorab, wer Zugriff auf relevante Meldeportale hat und welche Kontaktdaten aktuell gehalten werden müssen.

7. Dienstleistereinbindung
Regeln Sie, wann und wie IT-Dienstleister, Cloud-Anbieter oder Managed Service Provider Vorfälle melden müssen.

8. DSGVO- und DORA-Schnittstelle
Definieren Sie, wer Datenschutz- und sektorale Meldepflichten parallel prüft.

9. Kunden- und Nutzerkommunikation
Legen Sie fest, wann Empfänger von Diensten informiert werden und wer diese Kommunikation autorisiert.

10. Dokumentation
Halten Sie Zeitpunkt der Kenntniserlangung, Entscheidungen, Erkenntnisse und Maßnahmen nachvollziehbar fest.

11. Notfallsimulation
Simulieren Sie einen Sicherheitsvorfall und prüfen Sie, ob der Prozess innerhalb der Fristen funktioniert.

Welche Fehler passieren in der Praxis am häufigsten?

In der Beratungspraxis sind es selten einzelne technische Details, die Melderisiken auslösen. Häufiger fehlt ein klarer Ablauf.

Typische Fehler sind:

  • Betroffenheit wurde vor dem Vorfall nicht geprüft,
  • Zeitpunkt der Kenntniserlangung wird nicht dokumentiert,
  • niemand weiß, wer die Meldung autorisiert,
  • Datenschutz und NIS2 werden getrennt bewertet,
  • DORA- oder Sektorpflichten werden zu spät erkannt,
  • Dienstleister melden zu spät oder unvollständig,
  • die Geschäftsleitung wird zu spät informiert,
  • Unternehmen warten auf vollständige technische Analyse,
  • Abschlussmeldung wird vergessen,
  • Kundenkommunikation widerspricht Behördenmeldung,
  • Zugriff auf Meldeportale oder Kontaktdaten ist im Ernstfall unklar.

Der wichtigste Hebel ist ein getesteter Prozess. Wer im Ernstfall erst Rollen verteilt, verliert die Fristen.

Meldepflicht-Checkliste: Was sollte vorbereitet sein?

Aufgabe

Zweck

Typischer Nachweis

Betroffenheit klären

Wissen, ob NIS2-Meldepflichten gelten

Betroffenheitsvermerk

Vorfallkriterien definieren

Schnelle Einstufung ermöglichen

Incident-Klassifizierung

Meldeverantwortliche benennen

Zuständigkeit sichern

Rollenmatrix

Eskalationsweg festlegen

Geschäftsleitung rechtzeitig einbinden

Eskalationsplan

BSI-Portal-Zugriff klären

Meldung praktisch ermöglichen

Portalzugang / Rollenvergabe

DSGVO-Schnittstelle definieren

Doppelmeldungen koordinieren

Datenschutz-Incident-Prozess

DORA/Sektorregeln prüfen

Sondermeldewege erkennen

Sektorprüfung

Dienstleister verpflichten

Informationen rechtzeitig erhalten

Vertragsklauseln / SLA

Kundenkommunikation vorbereiten

Widersprüche vermeiden

Kommunikationsmatrix

Meldevorlagen erstellen

Fristen einhalten

Vorlagen für Meldestufen

Notfallsimulation durchführen

Prozess belastbar machen

Übungsprotokoll

Abschlussmeldung nachhalten

Meldeverfahren sauber schließen

Abschlussdokumentation

NIS2-Meldeprozess prüfen lassen

Klären Sie, ob Ihr Unternehmen im Ernstfall fristgerecht melden kann

Wir prüfen Meldewege, Zuständigkeiten, Fristen, Vorlagen und Schnittstellen zu Datenschutz, DORA, Dienstleistern, Kundenkommunikation und Geschäftsleitung.

Unverbindliches Erstgespräch anfragen Persönliche Ersteinschätzung

Häufige Fragen zur NIS2-Meldepflicht

Muss jeder IT-Vorfall nach NIS2 gemeldet werden?

Nein. Meldepflichtig sind erhebliche Sicherheitsvorfälle. Unternehmen sollten aber klare interne Kriterien haben, um kritische Vorfälle schnell einzustufen.

Wann beginnt die 24-Stunden-Frist?

Die Frist beginnt mit der Kenntniserlangung von einem erheblichen Sicherheitsvorfall. Deshalb sollte dokumentiert werden, wann wer welche Informationen erhalten hat.

Muss die Erstmeldung schon vollständig sein?

Nein. Die Erstmeldung dient der frühen Warnung. Details können in der 72-Stunden-Meldung, in Zwischenmeldungen und in der Abschlussmeldung ergänzt werden.

Was passiert, wenn der Vorfall nach einem Monat noch andauert?

Dann kann zunächst eine Fortschrittsmeldung erforderlich sein. Die abschließende Meldung folgt nach der endgültigen Bearbeitung des Vorfalls.

Muss zusätzlich nach DSGVO gemeldet werden?

Ja, wenn der Vorfall auch personenbezogene Daten betrifft und die Voraussetzungen einer Datenschutzmeldung erfüllt sind. NIS2- und DSGVO-Meldewege sollten deshalb gemeinsam organisiert werden.

Müssen Kunden oder Nutzer informiert werden?

Das kann erforderlich sein, wenn der Sicherheitsvorfall die Erbringung der Dienste beeinträchtigt oder wenn Kunden, Nutzer oder andere Empfänger Maßnahmen ergreifen sollten, um eigene Schäden zu vermeiden.

Wer sollte die Meldung autorisieren?

Das sollte vorab intern geregelt werden. In der Praxis sind häufig IT, Recht, Datenschutz, Compliance, Kommunikation und Geschäftsleitung beteiligt.

Wie fange ich an, einen NIS2-Meldeprozess aufzubauen?

Beginnen Sie mit einer klaren Rollen- und Eskalationsmatrix: Wer erkennt und bewertet Vorfälle, wer informiert die Geschäftsleitung, wer prüft DSGVO- oder DORA-Schnittstellen und wer autorisiert die externe Meldung? Danach sollten Meldevorlagen, Fristen, Portalzugänge und ein Testlauf ergänzt werden.

 

Hinweis

Dieser Beitrag bietet eine allgemeine Orientierung und ersetzt keine rechtliche oder technische Einzelfallprüfung. Er stellt keine Rechtsberatung dar und begründet kein Mandatsverhältnis. Ob und wann eine NIS2-Meldepflicht besteht, hängt von Betroffenheit, Vorfallart, Auswirkungen, Sektor, Datenbezug, Dienstleisterrolle und konkreter Behördenzuständigkeit ab.