Links überspringen
Kontakt
scroll
tacticx Consulting GmbH
ai generated, glasses, office, business, desk, work, sunlight, corporate, books, reports

Meldepflichten nach NIS2

Mit der NIS2-Richtlinie (EU) 2022/2555 und ihrer Umsetzung in deutsches Recht ergeben sich umfassende Meldepflichten für wichtige und besonders wichtige Einrichtungen. Diese Meldepflichten gelten seit dem Inkrafttreten des NIS2-Umsetzungsgesetzes am 06. Dezember 2025, mit dem die Vorgaben der Richtlinie in das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) überführt wurden. Die Verpflichtung zur Meldung erheblicher Sicherheitsvorfälle ergibt sich aus Artikel 23 der Richtlinie sowie § 32 BSIG. Danach sind wichtige und besonders wichtige Einrichtungen verpflichtet, erhebliche Sicherheitsvorfälle unverzüglich nach Kenntniserlangung an die zuständige Meldestelle zu übermitteln. Diese betreffen insbesondere auch IT-Dienstleister. Maßgeblich für den Beginn der Meldefristen ist der Zeitpunkt der erstmaligen Kenntniserlangung innerhalb der Organisation, unabhängig von Wochenenden oder Feiertagen. Im Folgenden geben wir Ihnen einen praxisnahen Überblick über die rechtlichen Anforderungen, die Kriterien für erhebliche Sicherheitsvorfälle sowie die einzuhaltenden Meldefristen.

Nach dem NIS2-Umsetzungsgesetz sind betroffene Einrichtungen verpflichtet, erhebliche Sicherheitsvorfälle an eine gemeinsame Meldestelle von Bundesamt für Sicherheit in der Informationstechnik (BSI) und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe zu melden.

Ein erheblicher Sicherheitsvorfall liegt vor, wenn dieser schwerwiegende Betriebsstörungen oder finanzielle Verluste verursacht bzw. verursachen kann oder erhebliche materielle oder immaterielle Schäden bei Dritten verursacht bzw. verursachen kann.

Das Bundesministerium des Innern kann diese Kriterien weiter konkretisieren. Bis dahin sowie ergänzend verweist das BSI auf europäische Vorgaben.

Abbildung 1: Meldekriterien für IT-Störungen
Quelle: Bundesamt für Sicherheit in der Informationstechnik

Das BSI stellt klar, dass für alle Sektoren die Kriterien der Durchführungsverordnung (EU) 2024/2690 maßgeblich sind. Diese konkretisieren, wann ein Sicherheitsvorfall als erheblich einzustufen ist.

Nach Artikel 3 Absatz 1 gilt ein Sicherheitsvorfall als erheblich, wenn unter anderem:

  • ein finanzieller Schaden von mehr als 500.000 EUR oder 5 % des Jahresumsatzes droht oder entsteht (Artikel 3, Absatz 1, Buchstabe a),
  • Geschäftsgeheimnisse abgeflossen sind (Artikel 3, Absatz 1, Buchstabe b),
  • erhebliche Gesundheitsbeeinträchtigungen oder Todesfälle verursacht werden können (Artikel 3, Absatz 1, Buchstaben c und d),
  • ein erfolgreicher unbefugter Zugriff mit potenziell gravierenden Auswirkungen erfolgt ist (Artikel 3, Absatz 1, Buchstabe e).

Zusätzlich werden wiederholte Vorfälle berücksichtigt. Treten ähnliche Vorfälle mindestens zweimal innerhalb von sechs Monaten auf und erreichen gemeinsam die Schwellenwerte, gelten diese ebenfalls als erheblich (Artikel 4).

Für bestimmte Anbieter, die in der Durchführungsverordnung (EU) 2024/2690 unter Artikel 3 Absatz 1 Buchstabe g geregelt sind, gelten zusätzliche Anforderungen.

Beispielsweise gelten für IT-Dienstleister (Anbieter verwalteter Dienste und Anbieter verwalteter Sicherheitsdienste) zusätzliche spezifische Kriterien (Artikel 10). Ein Sicherheitsvorfall ist insbesondere dann erheblich, wenn bei Verwaltungssystemen des Dienstleisters:

  • ein verwalteter Dienst länger als 30 Minuten vollständig ausfällt,
  • mehr als 5 % oder mehr als 1 Million Nutzer (je nachdem, welcher Wert niedriger ist) für über eine Stunde betroffen sind,
  • die Vertraulichkeit, Integrität oder Authentizität von Daten durch eine mutmaßlich böswillige Handlung beeinträchtigt wird,
  • oder eine solche Beeinträchtigung große Nutzerzahlen betrifft.

Diese Kriterien sind für IT-Dienstleister besonders relevant, da sie direkt an Verfügbarkeit und Sicherheit ihrer Services anknüpfen.

Neben den formalen Kriterien können weitere Aspekte auf einen erheblichen Sicherheitsvorfall hindeuten, zum Beispiel:

  • Einsatz zusätzlicher Ressourcen über den Regelbetrieb hinaus,
  • Aktivierung von Incident-Response-Teams,
  • Abschaltung kritischer Systeme zur Schadensbegrenzung,
  • erhebliche betriebliche Anpassungen,
  • Hinweise auf gezielte oder neuartige Angriffe (z. B. Advanced Persistent Threats).

Diese Faktoren helfen insbesondere bei der ersten internen Bewertung.

Die Meldefristen sind strikt und beginnen mit der erstmaligen Kenntniserlangung eines Vorfalls, unabhängig von Wochenenden oder Feiertagen.

Die wichtigsten Fristen sind:

  • Innerhalb von 24 Stunden: Erstmeldung des Vorfalls (Bewertung auf rechtswidrige oder böswillige Handlungen oder grenzüberschreitende Auswirkungen)
  • Innerhalb von 72 Stunden: Erste Bewertung des erheblichen Sicherheitsvorfalls (Schweregrad, Auswirkungen, ggf. Kompromittierungsindikatoren)
  • Zwischenmeldungen: Auf Anfrage des BSI jederzeit möglich
  • Nach spätestens einem Monat:
    • Ausführliche Beschreibung inklusive Schweregrad und Auswirkungen
    • Einschätzung zu böswilligen Handlungen und möglichen grenzüberschreitenden Auswirkungen
    • Abschlussbericht mit detaillierter Beschreibung, Ursachenanalyse und Maßnahmen

Wichtig zu beachten ist, dass als Kenntnis bereits Hinweise wie SIEM-Alerts, Meldungen durch Mitarbeitende oder externe Hinweise gelten.

Abbildung 2: Meldeprozess Sicherheitsvorfall
Quelle:  Bundesamt für Sicherheit in der Informationstechnik

Für IT-Dienstleister bedeutet dies vor allem, dass Meldeprozesse klar aufgebaut und Schwellenwerte und Eskalationsmechanismen definiert werden sollten. Weiter ist die Schulung von Mitarbeitenden hinsichtlich Meldungen von Sicherheitsereignissen auszuarbeiten und regelmäßig durchzuführen. Auch Monitoring- und Incident-Response-Prozesse sollten im geschäftlichen Ablauf voll integriert werden. Die Herausforderung liegt insbesondere in der schnellen Bewertung und Klassifizierung von Vorfällen sowie der fristgerechten Meldung. Die NIS2-Richtlinie selbst unterstreicht dabei die Bedeutung eines strukturierten und zeitnahen Meldesystems für die Cybersicherheit. Nach Artikel 23 der Richtlinie sind Einrichtungen verpflichtet, Sicherheitsvorfälle nicht nur zu melden, sondern diese auch fortlaufend zu bewerten und mit den zuständigen Behörden zu kooperieren. Ziel ist es, ein einheitliches Lagebild zu schaffen, grenzüberschreitende Auswirkungen frühzeitig zu erkennen und koordinierte Gegenmaßnahmen zu ermöglichen. Die Richtlinie betont dabei ausdrücklich, dass Meldungen nicht als rein formale Pflicht zu verstehen sind, sondern als essenzieller Bestandteil eines wirksamen Risikomanagements und einer resilienten Sicherheitsarchitektur. Insbesondere für IT-Dienstleister ergibt sich daraus die Verantwortung, Vorfälle nicht isoliert zu betrachten, sondern stets auch deren potenzielle Auswirkungen auf Kunden, Lieferketten und andere abhängige Systeme einzubeziehen.

Zusammenfassend lässt sich sagen, dass die NIS2-Meldepflichten erhöhte Anforderungen an Organisation, Prozesse und Reaktionsfähigkeit stellen. Durch die Kombination aus gesetzlichen Vorgaben und technischen Kriterien entsteht ein klarer, aber anspruchsvoller Rahmen. Insbesondere IT-Dienstleister sollten frühzeitig geeignete Strukturen etablieren, um sowohl die regulatorischen Anforderungen zu erfüllen als auch die eigene Resilienz nachhaltig zu stärken.

Home
Kontakt
Account
0