NIS2-Meldepflicht für Unternehmen: Fristen und praktische Umsetzung
- Von NIS2 betroffene Unternehmen müssen dem BSI erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden melden.
- Vorfälle gelten als meldepflichtig, wenn sie den Geschäftsbetrieb erheblich stören, finanzielle Verluste verursachen oder Dritte schädigen.
- Die Frist beginnt bereits mit Kenntnis des Vorfalls und das BSI rät: Schnelligkeit geht vor Vollständigkeit.
- NIS2 sieht einen dreistufigen Meldeprozess vor: 24 Stunden für die Frühwarnung, 72 Stunden für die Folgemeldung, ein Monat für den Abschlussbericht.
- Verstöße gegen die Meldepflicht können mit Bußgeldern bis zu 10 Millionen Euro geahndet werden.
- Item A
- Item B
- Item C
Was ist die NIS2-Meldepflicht?
Die NIS2-Meldepflicht ist in §32 NIS2UmsuCG geregelt und verpflichtet wichtige und besonders wichtige Einrichtungen dazu, erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Die Pflicht gilt für Unternehmen
- ab 50 Mitarbeitern
- oder 10 Millionen Euro Jahresumsatz,
- die in einem der 18 regulierten Sektoren tätig sind.
Betroffene Unternehmen sollten die Meldepflichten und -fristen besonders ernst nehmen: Das BSI hat mehrfach mitgeteilt, dass es Bußgelder gegen Unternehmen verhängen wird, die ihrer Meldepflicht nicht nachkommen. Organisationen riskieren dadurch nicht nur finanzielle Verluste, sondern geraten dadurch in den Fokus des BSI. Einen Fauxpas dürfen sie sich dann erst recht nicht mehr erlauben.
Wenn Sie bei NIS2 noch am Anfang stehen, starten Sie mit unserem NIS2-Schnell-Check. Sie sehen innerhalb weniger Minuten, wo Ihr Unternehmen steht und was zu tun ist.
Wann wird ein Vorfall laut NIS2 meldepflichtig?
Nicht jeder Sicherheitsvorfall löst die Meldepflicht aus. Was ein „erheblicher Sicherheitsvorfall“ sein kann, definiert §32 NIS2UmsuCG anhand von drei Kriterien:
Schwerwiegende Betriebsstörung
🚧 Dienste sind nicht oder nur eingeschränkt verfügbar
👉 Beispiel: Ransomware verschlüsselt Produktionssysteme, der Betrieb steht für 48 Stunden still.
Finanzielle Verluste
💸 Erheblicher wirtschaftlicher Schaden für die Einrichtung.
👉 Beispiel: CEO-Fraud mit Überweisung von 500.000 Euro.
Schäden an Dritten
🤕 Materielle oder immaterielle Schäden bei natürlichen oder juristischen Personen
👉 Beispiel: Datenleak mit 50.000 Kundendatensätzen.
Wichtig zu wissen: Ein Vorfall muss nicht bereits Schaden angerichtet haben. Es reicht, dass ein erhebliches Schadenspotenzial besteht. Ein DDoS-Angriff, der den Webshop für zwei Stunden lahmlegt, ist nicht automatisch meldepflichtig. Ein Ransomware-Angriff, der Produktionssysteme verschlüsselt, fast immer. Im Zweifelsfall empfiehlt das BSI: Eher melden als abwarten.
Wenn der Ernstfall eintritt: Der dreistufige Meldeprozess und die NIS2-Meldefristen
Die NIS2-Meldepflicht beginnt mit dem Moment, in dem Sie oder Ihr Team von einem Sicherheitsvorfall erfahren und nicht erst, wenn die Analyse abgeschlossen ist. Die erste Meldung muss deshalb nicht perfekt sein, sondern sollte vor allem pünktlich abgegeben werden.
Wann das BSI welche Informationen von einem angegriffenen Unternehmen fordert, zeigt die folgende Übersicht.
So läuft die Meldung über das BSI-Portal praktisch ab
Die Meldung eines NIS2-Vorfalls erfolgt online über das zentrale BSI-Melde- und Informationsportal (MIP). Wichtig zu wissen:
- Ist Ihr Unternehmen bereits registriert? nehmen Sie die Meldung direkt über Ihren Portalzugang vor.
- Ihr Unternehmen ist noch nicht registriert? Dann sind Vorfälle über ein Online-Formular im MIP zu melden.
Im Zusammenhang mit der NIS2-Meldung sollten Unternehmen folgende Punkte beachten:
- Bestätigung und Erreichbarkeit: Das BSI bestätigt den Eingang jeder Meldung innerhalb von 24 Stunden und kontaktiert gegebenenfalls die in der Meldung benannte Kontaktperson mit Rückfragen oder Handlungsempfehlungen. Deshalb sollte die Kontaktperson in den Stunden nach der Frühmeldung auch außerhalb der Geschäftszeiten erreichbar sein.
- Stornierungen sind nicht möglich: Meldungen können nicht zurückgezogen werden. Fehlerhafte Informationen können jedoch in der Folgemeldung berichtigt werden. Gerade bei der Frühwarnung gilt jedoch: Eine fehlerhafte Meldung ist besser als gar keine.
- Dokumentation im ISMS: Haben Sie bereits ein Informationssicherheitsmanagementsystem (ISMS) etabliert? Dann sollten die Meldewege Teil Ihrer Incident-Management-Dokumentation sein. Das schafft Klarheit und Nachvollziehbarkeit.
Wer darf die NIS2-Meldung an das BSI vornehmen?
Grundsätzlich darf jeder Mitarbeiter Ihres Unternehmens Vorfälle melden. Sie können auch externe Dienstleister mit der Meldung beauftragen. Dabei sollten Sie beachten, dass die Verantwortung bei Ihrem Unternehmen bleibt.
So halten Unternehmen die NIS2-Meldefristen und -pflichten effizient ein
Um im Falle eines Vorfalls nicht schon an der Erstmeldung zu scheitern, ist gute Vorbereitung unverzichtbar. So verlieren Sie im Ernstfall keine Zeit und können sich auf die Behebung des Schadens und die Beantwortung von Betroffenenfragen konzentrieren. Folgende Maßnahmen unterstützen Sie bei der Vorbereitung:
- Melde-Template vorbereiten: Erstellen Sie ein vorausgefülltes Formular mit allen BSI-Pflichtfeldern. Im Ernstfall füllen Sie nur die variablen Informationen aus. Das spart wertvolle Zeit, die Sie stattdessen für die Incident Response nutzen können.
- Entscheidungshilfe erstellen: Nicht jeder Vorfall ist meldepflichtig. Erstellen Sie eine leicht verständliche Übersicht, die bei Sicherheitsvorfällen Klarheit darüber bringt, wann Vorfälle mit welcher Frist ans BSI zu melden sind und ob auch Datenschutzbehörden oder internationale Behörden zu informieren sind.
- Zuständigkeiten klar verteilen: Definieren Sie frühzeitig, wer melden darf, wer Entscheidungen mit der Geschäftsleitung koordiniert und wer Zugang zum BSI-Meldeportal hat. Benennen Sie auch Backups für jeden Posten.
Beispiel: Das ist in der ersten Stunde nach Kenntnis eines Vorfalls zu tun
Hacker greifen ein Industrieunternehmen mit Ransomware an und verschlüsseln die Produktionssysteme. Die IT meldet den Vorfall um 14:30 Uhr. Ab jetzt bleiben dem Unternehmen 24 Stunden, um eine Frühwarnung beim BSI einzureichen.
Im Ernstfall läuft der Prozess nach Bekanntwerden eines Vorfalls wie folgt ab:
- Vorab definiertes Incident-Response-Team zusammenrufen
- Geschäftsleitung mit Fakten informieren
- Prüfen, ob personenbezogene Daten betroffen sind
- Template ausfüllen und an BSI senden
So bereiten Sie Ihr Unternehmen auf die NIS2-Meldung vor
Die NIS2-Meldepflicht ist kein bürokratischer Akt, den Sie im Ernstfall improvisieren können. 24 Stunden sind zu kurz.
- Etablieren Sie einen sauber dokumentierten Incident-Response-Prozess mit klaren Eskalationsstufen.
- Erstellen Sie ein vorausgefülltes Melde-Template mit allen BSI-Pflichtfeldern.
- Benennen Sie primäre Verantwortliche für die Meldungsabgabe und Stellvertreter als Backup.
- Koordinieren Sie Ihre Prozesse für NIS2- und DSGVO-Meldungen.
- Führen Sie mindestens eine Tabletop-Übung pro Jahr durch.
- Schulen Sie die Mitarbeiter, die Vorfälle erkennen und melden müssen.
Welche Konsequenzen drohen bei Verstößen gegen die NIS2 Meldepflicht?
Wer die Meldepflicht versäumt, riskiert erhebliche Bußgelder.
- Für besonders wichtige Einrichtungen liegt die Obergrenze bei 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
- Für wichtige Einrichtungen bei 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.
Das BSI kann bei besonders wichtigen Einrichtungen proaktiv prüfen, ob die Meldeprozesse funktionieren. Bei wichtigen Einrichtungen greift die Aufsicht reaktiv ein, also bei konkreten Hinweisen auf Versäumnisse.
Neben den Bußgeldern hat ein versäumter Meldeprozess operative Konsequenzen: Das BSI kann keine Warnung an andere Einrichtungen herausgeben und der Vorfall bleibt länger unentdeckt im Sektor. Ihr Unternehmen verliert an Glaubwürdigkeit gegenüber Kunden und Partnern.
Wie Proliance Sie beim Einhalten der NIS2-Meldepflichten unterstützt
Die Umsetzung der NIS2-Meldepflicht ist komplex. Besonders die Koordination von Informationssicherheit und Datenschutz erfordert einen ganzheitlichen Blick.
Proliance bietet deshalb ganzheitliche Beratung zu NIS2-Anforderungen und Meldepflichten, damit Sie Ihre Prozesse so gestalten können, dass im Ernstfall alle Beteiligten wissen, was zu tun ist. Wir unterstützen Sie außerdem dabei, Prozesse und Meldungen sauber zu dokumentieren und Ihr Team zu schulen, damit Datenschutzvorfälle, IT-Sicherheitslücken und verpasste Meldefristen gar nicht erst passieren.
Fazit: Gut vorbereitet keine NIS2-Meldefrist verpassen
Die NIS2-Meldepflicht erfordert von regulierten Unternehmen schnelle Reaktionsfähigkeit im Falle eines Sicherheitsvorfalls. Damit Sie von der ersten Meldung bis zum abschließenden Bericht keine Frist verpassen, beraten wir Sie dazu, wie Sie die NIS2-Vorgaben in Ihrem Unternehmen gewissenhaft und pünktlich umsetzen können.
Sie haben noch Fragen? Wir haben die Antworten
Die NIS2-Meldepflicht verpflichtet Unternehmen in regulierten Sektoren, erhebliche Sicherheitsvorfälle dem BSI zu melden. Der Meldeprozess nach §32 NIS2UmsuCG ist dreistufig: Frühwarnung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden und Abschlussbericht innerhalb eines Monats.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
-und-datenschutz.avif)
