Meldepflichten

Mit EU NIS2 kommen auf betroffene Unternehmen viele Informations- und Meldepflichten zu, die über die bisherigen KRITIS-Meldepflichten hinausgehen. Betreiber und Einrichtungen müssen erhebliche Sicherheitsvorfälle in ihrer Infrastruktur und kritischen Anlagen an das BSI melden – in sehr kurzen Fristen (24h) und mit stufenweisen Folgemeldungen.

Meldepflichten NIS2
Meldepflichten KRITIS-Dachgesetz
Meldepflichten KRITIS (alt)

Meldepflichtige Störungen können Prozesse, Komponenten und IT im Geltungsbereich der registrierten Anlagen und Einrichtungen betreffen. Um Störungen melden zu können, sind Prozesse und Systeme zur Erkennung notwendig, welche dem ISMS oder der NIS2-Stabstelle die notwendigen Informationen für zentrale Meldungen ans BSI liefern.

Bereich	NIS2 DachG	KdA BSIG alt	Anforderung
Kontaktstelle	§32 (1) §8 (1)	100 §8b (3)	Kontaktstelle zum Austausch mit Behörden
Meldepflichten	§33 (2) §18	97 §8b (4)	Meldepflicht Sicherheitsvorfälle NIS2 Meldepflicht Vorfälle KRITIS-Dachgesetz
Informationspflichten	§35		Unterrichtung Kunden und Öffentlichkeit

Das NIS2-Umsetzungsgesetz von Ende 2025 hat keine Übergangsfristen für Security-Maßnahmen und Pflichten. Das Meldewesen ist ab Registrierung nach Inkrafftreten der NIS2-Umsetzung zu befolgen.

Meldepflichten in NIS2

Sicherheitsvorfälle

Die NIS2-Umsetzung verpflichtet Einrichtungen und Betreiber, Sicherheitsvorfälle und Störungen an Behörden zu melden. Nach NIS2 meldepflichtige Vorfälle betreffen die gesamte Einrichtung, abhängig vom Schweregrad.

Die verschiedenen Arten von potenziell meldepflichtigen Vorfällen regulierter Einrichtungen sind in der NIS2-Umsetzung definiert: §2 (1) BSIG-E

Erheblicher Sicherheitsvorfall: Ein Sicherheitsvorfall, der entweder –
- schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht oder verursachen kann,
- andere durch erhebliche materielle oder immaterielle Schäden beeinträchtigt oder beeinträchtigen kann.
Sicherheitsvorfall: Beeinträchtigt die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von über IT angebotenen Daten oder Diensten.
IT meint hier informationstechnische Systeme, Komponenten und Prozesse.
Beinahevorfall: Ein potenzieller Sicherheitsvorfall, der verhindert wurde oder nicht eintrat.
Erhebliche Cyberbedrohung: Eine Cyberbedrohung (nach Art. 2 Nr. 8 EU 2019/881), die das Potenzial besitzt, die IT erheblich zu beeinträchtigen; erheblich = wenn sie erheblichen materiellen oder immateriellen Schaden verursachen kann.

Die Definition erheblicher Sicherheitsvorfälle kann entweder durch eine Rechtsverordnung des Innenministeriums oder einen Implementing Act der EU angepasst oder konkretisiert werden. Im Zweifel haben die Implementings Acts Vorrang vor Rechtsverordnung und Gesetz. §2 (2)

Da die bisherigen Definitionen im Gesetz vage sind, müssen Unternehmen "schwerwiegende Betriebsstörungen" oder "erhebliche Schäden" selbst konkretisieren und so definieren, wann ein Vorfall erheblich und somit meldepflicht ist.

Meldewesen

Das BSI richtet mit dem BBK eine gemeinsame Meldestelle ein, auch für das KRITIS-Dachgesetz. Vorraussichtlich wird dazu das bestehende Melde- und Informationsportal (MIP) des BSI genutzt. Zusätzlich kann das BSI weitere Vorgaben zum Meldeverfahren erlassen. §32 (4)

Besonders wichtige Einrichtungen (damit auch Betreiber kritischer Anlagen) und wichtige Einrichtungen müssen dann dem BSI erhebliche Sicherheitsvorfälle melden – in sehr kurzen Fristen, innerhalb von 24 Stunden, und mit stufenweisen Folgemeldungen: §32

Meldepflichten in der NIS2-Umsetzung, Stand Dezember 2025
Zeit	Frist	Art	Umfang
24h	unverzüglich nach Kenntnis	Frühe Erstmeldung	Verdacht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist Verdacht auf grenzüberschreitende Auswirkungen
72h	nach Kenntnis	Detaillierte Erstmeldung	Bestätigung oder Aktualisierung der Angaben der frühen Erstmeldung erste Bewertung des erheblichen Sicherheitsvorfalls inkl. Schweregrad, Auswirkungen, ggf. Kompromittierungsindikatoren
auf Nachfrage des BSI		Zwischenmeldung	relevante Statusaktualisierungen
1 Monat	nach der detaillierten Erstmeldung	Abschlussmeldung	ausführliche Beschreibung des Sicherheitsvorfalls inkl. Schweregrad und Auswirkungen Art der Bedrohung beziehungsweise ihrer zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat Getroffene und laufende Abhilfemaßnahmen ggf. grenzüberschreitende Auswirkungen des Sicherheitsvorfalls

Falls der Vorfall nach einem Monat noch andauert, melden Unternehmen eine Fortschrittsmeldung. Die Abschlussmeldung erfolgt dann nach abschließender Bearbeitung des Sicherheitsvorfalls durch die betreffende Einrichtung. Betreiber kritischer Anlagen müssen zusätzliche Angaben zur Art der betroffenen Anlage, kritischen Dienstleistung und den Auswirkungen auf die Dienstleistung melden.

Kunden und Öffentlichkeit

Bei erheblichen Sicherheitsvorfällen kann das BSI besonders wichtige und wichtige Einrichtungen anweisen, ihre Kunden (Empfänger ihrer Dienste) unverzüglich zu unterrichten, wenn der erbrachte Dienst beeinträchtigt werden könnte. §35 (1)

Einrichtungen der Sektoren Finanz- und Versicherungswesen, IT und TK, und Digitale Dienste müssen von einer erheblichen Cyberbedrohung potenziell betroffenen Kunden unverzüglich informieren, einschließlich möglicher Gegenmaßnahmen. §35 (2)

Das BSI meldet sich nach Möglichkeit innerhalb von 24h bei Unternehmen nach Eingang der Meldung zurück, ggf. mit möglichen Nachfragen, Unterstützungsangeboten und Informationen. Falls eine Sensibilisierung der Öffentlichkeit erforderlich oder im öffentlichen Interesse ist, so kann das BSI Betreiber auffordern, dies zu tun.

Meldepflichten KRITIS-Dachgesetz

Vorfälle Resilienz

Betreiber kritischer Anlagen müssen nach dem Dachgesetz Sicherheitsvorfälle und Störungen an Behörden melden. Nach dem KRITIS-DachG meldepflichtige Vorfälle betreffen nur Vorfälle, die Einfluss auf die kritische Anlage oder die erbrachte kritische Dienstleistung haben. §18 KRITIS-Dachgesetz

Das KRITIS-DachG definiert im Unterschied zur NIS2-Umsetzung eine Art von meldepflichtigem Vorfall: ein Ereignis, das die Erbringung einer kritischen Dienstleistung erheblich beeinträchtigt oder beeinträchtigen könnte. §2 Nr. 9

Ausgenommen davon sind Sicherheitsvorfälle nach §2 Nr. 40 BSIG und Vorfälle nach TKG.

Meldewesen

Betreiber kritischer Anlagen müssen Vorfälle nach dem KRITIS-Dachgesetz über die vom BSI und BBK für NIS2 eingerichtete gemeinsame Meldestelle melden – in sehr kurzen Fristen, innerhalb von 24 Stunden, und mit stufenweisen Folgemeldungen: §18 (1)

Meldepflichten im KRITIS-Dachgesetz, Stand Dezember 2025
Zeit	Frist	Art	Umfang
24h	unverzüglich nach Kenntnis	Erstmeldung Vorfall	Alle Meldezeitpunkt verfügbaren Informationen über: Art Ursache mögliche, auch grenzüberschreitende Auswirkungen und Folgen Anzahl und Anteil der vom Vorfall Betroffenen bisherige und voraussichtliche Dauer betroffenes geografisches Gebiet
bei Andauern		Aktualisierung	Aktualisierte Informationen
1 Monat	nach Kenntnis	Ausführlicher Bericht	Aktualisierte Informationen

Das BBK konkretisiert die Ausgestaltung der Meldwege und Inhalte der Meldungen im Einvernehmen mit dem BSI und veröffentlicht Informationen dazu auf der Internetseite des BBK.

Meldepflichten KRITIS (alt)

Meldepflichtige Störungen

Nach der KRITIS-Regulierung bis 2025, §8b (4) BSIG, müssen KRITIS-Betreiber zwei Klassen von IT-Störungen melden, definiert als Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse:

Störungen, die zum Ausfall oder erheblichen Beeinträchtigung der KRITIS-Anlage geführt haben.
Erhebliche Störungen, die zum Ausfall oder erheblichen Beeinträchtigung der KRITIS-Anlage führen können.

Seit dem IT-Sicherheitsgesetz 2.0 müssen KRITIS-Betreiber dem BSI bei erheblichen Störungen auf Nachfrage Informationen zur Störungsbewältigung zur Verfügung stellen, einschließlich personenbezogener Daten — nach dem neuen §8b (4a) BSIG.

Das BSI hat im Portal eine Seite mit FAQ zur Erläuterung eingerichtet — die Leitfrage bei der Beurteilung sollte sein: Ist die (mögliche) Einschränkung relevant für die Versorgungslage?.

Diese Meldepflichten werden durch die obigen NIS2-Meldepflichten bei Inkrafttreten der NIS2-Umsetzung ersetzt.

Meldeweg

Die Störungsmeldungen an das BSI werden über das Melde- und Informationsportal (MIP) beim BSI abgegeben. Anleitungen zum MIP und beispielhaft ausgefüllte Formulare sowie Anlagen sind unten in den Links zu finden. Die Meldungen können im Portal mit S/MIME und PGP verschlüsselt werden, die Übermittlung erfolgt nach Traffic Light Protokoll (TLP).

Meldungen müssen unverzüglich nach Erkennen der IT-Störung abgesetzt werden, das BSI selbst schreibt: Für die Erstmeldung gilt grundsätzlich: Schnelligkeit vor Vollständigkeit.

Inhalt der Meldung

Im Portal werden die folgenden Inhalte für die Meldung in Formularen abgefragt:

Betreiber
Allgemeine Angaben zum KRITIS-Betreiber, betroffenen Anlage(n) und Kontaktdaten der Meldenden.
Vorfall
Allgemeine Angaben zur Meldung, Einschätzung der Lage und betroffener KRITIS-Anlage, KRITIS-Sektor und kritischen Dienstleistung.
IT-Störung
Beschreibung der betroffenen IT und Umstände der IT-Störung.
Ursachen
Beschreibung möglicher Ursachen der IT-Störung wie Schäden, technisches oder organisatorisches Versagen oder Angriffe.
IT-Angriff
Falls feststellbar, detaillierte Angaben zum IT-Angriff, Motivation und Hintergründe, und Informationen zu verfügbaren Daten und möglichen weiteren Schritten.
Ausfall Anlage oder Dienstleistung
Umfangreichere Angaben zu den (möglichen) Konsequenzen der Störung auf die KRITIS-Anlage und kritische Dienstleistung in der Versorgungssicherheit — betroffene Personen, Regionen, Zeiten etc.

Nach der Meldung

Der weitere Ablauf nach Absenden der Erst- und Folgemeldungen hängt vom Verlauf der Störung beim Betreiber und den genauen Sachverhalten ab.

Betreiber

Der Betreiber bewältigt die Störung alleine (z.B. Wiederherstellung der IT, Austausch von Komponenten) bzw. die Störung erledigt sich (z.B. Wiederherstellung vom Strom).
Die Betreiber entscheiden selbst über die Einbindung weiterer Behörden und mögliche Strafverfolgung, wenn nötig.

BSI

Das BSI wertet die Störung aus und erstellt, wenn notwendig, Warnmeldungen an andere Betreiber. Bei weiterem Informationsbedarf wendet sich das BSI wieder an den Betreiber.
Das BSI kann in speziellen Fällen Betreiber bei der Bewältigung unterstützen (MIRT).
Das BSI erstellt ein eigenes KRITIS-Lagebild und wertet Störungen mit BBK und weiteren Behörden für den Schutz Kritischer Infrastrukturen aus.
Das BSI kann von Amts wegen je nach Indikatoren in der Störungsmeldung weitere Aufsichts- oder Sicherheitsbehörden einbinden wie BKA oder BfV.

Weitere Informationen

Formulare und Links

BSI: Melde- und Informationsportal für meldepflichtige Betreiber nach IT-Sicherheitsgesetz, Bundesamt für Sicherheit in der Informationstechnik
Melde- und Informationsportal (MIP) Registrierung für die Meldestelle KRITIS des BSI, Bundesamt für Sicherheit in der Informationstechnik, o.D.

Literatur

KRITIS-Informationen - IT-Störungen melden, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik
KRITIS-FAQ: FAQ zur Meldepflicht, Fragen und Antworten für Betreiber Kritischer Infrastrukturen zur Meldepflicht nach dem IT-Sicherheitsgesetz, Bundesamt für Sicherheit in der Informationstechnik
Kritische Infrastrukturen und weitere meldepflichtige Unternehmen: Einen Vorfall bewältigen, Webseite des BSI, Bundesamt für Sicherheit in der Informationstechnik

Quellen

Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV), vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 73 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist