Meldepflichten

Call center picture

Mit EU NIS2 bestehen für betroffene Einrichtungen viele Informations- und Meldepflichten zu, die über die bisherigen KRITIS-Meldepflichten hinausgehen. Betreiber und Einrichtungen müssen erhebliche Sicherheitsvorfälle in ihrer Infrastruktur und kritischen Anlagen an das BSI melden – in sehr kurzen Fristen von 24h mit gestuften Folgemeldungen.

  1. Sicherheitsvorfälle
  2. Meldepflichten
  3. BSI-Portal
  4. Konkretisierung EU
  5. KRITIS-Dachgesetz

Meldepflichtige Störungen betreffen Prozesse, Komponenten und IT im Geltungsbereich der registrierten Anlagen und Einrichtungen. Mit der Registrierung bem BSI als regulierte Einrichtung werden Zugänge zum BSI-Portal zum Austausch von Meldungen eingerichtet.

Bereich NIS2  
DachG  		 KdA Anforderung
Meldepflichten §33 (2)
§18		 97 Meldepflicht Sicherheitsvorfälle NIS2
Meldepflicht Vorfälle KRITIS-Dachgesetz
Informationspflichten §35 Unterrichtung Kunden und Öffentlichkeit

Die Meldepflicht an das BSI gilt ab der Registrierung als regulierte Einrichtung.

Meldepflichten

Sicherheitsvorfälle

Die NIS2-Umsetzung verpflichtet Einrichtungen und Betreiber, Sicherheitsvorfälle und Störungen an Behörden zu melden. Nach NIS2 meldepflichtige Vorfälle betreffen die gesamte Einrichtung, abhängig vom Schweregrad. §32

Definitionen

Die verschiedenen Arten von potenziell meldepflichtigen Vorfällen regulierter Einrichtungen sind in der NIS2-Umsetzung definiert: §2 (1) BSIG

  • Erheblicher Sicherheitsvorfall: Ein Sicherheitsvorfall, der entweder –
    • schwerwiegende Betriebs­störungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht oder verursachen kann,
    • andere durch erhebliche materielle oder immaterielle Schäden beeinträchtigt oder beeinträchtigen kann.
    • siehe auch die EU-Konkretisierung unten
  • Sicherheitsvorfall: Beeinträchtigt die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von über IT angebotenen Daten oder Diensten.
    IT meint hier informationstechnische Systeme, Komponenten und Prozesse.
  • Beinahevorfall: Ein potenzieller Sicherheitsvorfall, der verhindert wurde oder nicht eintrat.
  • Erhebliche Cyberbedrohung: Eine Cyberbedrohung (nach Art. 2 Nr. 8 EU 2019/881), die das Potenzial besitzt, die IT erheblich zu beeinträchtigen; erheblich = wenn sie erheblichen materiellen oder immateriellen Schaden verursachen kann.

Die Definition erheblicher Sicherheitsvorfälle kann entweder durch eine Rechtsverordnung des Innenministeriums oder einen Implementing Act der EU angepasst oder konkretisiert werden. §2 (2)

Da die bisherigen Definitionen im Gesetz vage sind, müssen Unternehmen schwerwiegende Betriebsstörungen oder erhebliche Schäden selbst konkretisieren und so definieren, wann ein Vorfall erheblich und somit meldepflicht ist.

up

Meldewesen

Fristen und Meldungen

Regulierte Einrichtungen und Betreiber kritischer Anlagen müssen erhebliche Sicherheitsvorfälle an das BSI melden – innerhalb von 24 Stunden mit abgestuften Folge- und Abschlussmeldungen. Die Inhalte der Meldung sind vorgegeben – Betreiber kritischer Anlagen müssen zusätzliche Angaben zur betroffenen Anlage, kritischen Dienstleistung und Auswirkungen melden. §32

Meldepflichten in der NIS2-Umsetzung, Stand Dezember 2025
Zeit Frist Art Umfang
24h unverzüglich
nach Kenntnis		 Frühe Erstmeldung
  • Verdacht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist
  • Verdacht auf grenzüberschreitende Auswirkungen
72h nach Kenntnis Erstmeldung
Folgemeldung
  • Bestätigung oder Aktualisierung der Angaben der frühen Erstmeldung
  • Erste Bewertung des erheblichen Sicherheitsvorfalls inkl. Schweregrad, Auswirkungen, ggf. Kompromittierungsindikatoren
auf Nachfrage des BSI Zwischenmeldung
  • relevante Statusaktualisierungen
1 Monat nach der detaillierten Erstmeldung Abschlussmeldung
  • Ausführliche Beschreibung des Sicherheitsvorfalls inkl. Schweregrad und Auswirkungen
  • Art der Bedrohung beziehungsweise ihrer zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat
  • Getroffene und laufende Abhilfemaßnahmen
  • Ggf. Grenzüberschreitende Auswirkungen des Sicherheitsvorfalls

Falls der Vorfall nach einem Monat noch andauert, melden Unternehmen eine Fortschrittsmeldung. Die Abschlussmeldung erfolgt dann nach abschließender Bearbeitung des Sicherheitsvorfalls durch die betreffende Einrichtung.

up

Kunden und Öffentlichkeit

Bei erheblichen Sicherheitsvorfällen kann das BSI besonders wichtige und wichtige Einrich­tungen anweisen, ihre Kunden (Empfänger ihrer Dienste) unverzüglich zu unterrichten, wenn der erbrachte Dienst beeinträchtigt werden könnte. §35 (1)

Einrichtungen der Sektoren Finanz- und Versicherungswesen, IT und TK, und Digitale Dienste müssen von einer erheblichen Cyberbedrohung potenziell betroffenen Kunden unverzüglich informieren, einschließlich möglicher Gegenmaßnahmen. §35 (2)

Das BSI meldet sich nach Möglichkeit innerhalb von 24h bei Unternehmen nach Eingang der Meldung zurück, ggf. mit möglichen Nachfragen, Unterstützungsangeboten und Informationen. Falls eine Sensibilisierung der Öffentlichkeit erforderlich oder im öffentlichen Interesse ist, so kann das BSI Betreiber auffordern, dies zu tun.

up

BSI-Portal

Meldepflichtige Sicherheitsvorfälle werden über das BSI-Portal portal.bsi.bund.de an das BSI und die Verwaltung gemeldet. Dazu ist eine Registrierung als regulierte Einrichtung notwendig, die verschiedene Zertifikate und Zugänge vorraussetzt (ELSTER, MUK, Portal).

Im BSI-Portal können durch berechtigte Personen (Rollen) der registrierten Einrichtunge die folgenden Meldungen abgegeben werden:

  1. Frühe Erstmeldung
    unverzüglich, innerhalb von 24 Stunden
    • Einstufung des Vorfalls – Erheblichen Sicherheitsvorfall (Meldepflicht!), Sicherheitsvorfall oder Beinahevorfall
    • Beschreibung und Lageeinschätzung
    • Zeit und Dauer
    • Ausbreitung und Sektor/Einrichtung
    • Ursache
    • Ergriffene Maßnahmen
    • Meldende Person
  2. Folgemeldung
    unverzüglich, innerhalb von 72 Stunden nach Kenntnis
    • Aktualisierung der frühen Erstmeldung
    • Detaillierte Angaben zur Ursache
    • Angaben zur Schwachstelle und Systemen/Plattformen
    • Strafverfolgung
    • Sonstige Informationen (IDs, mehrfache Angriffe, Maßnahmen, Behörden)
    • Weitere Informationen zur Dienstleistung (maximale Lageeinschätzung, betroffene Dienstleistung, IT und Anlagenteile, betroffene Nutzer, Reputationsverlust, Schaden)
  3. Folgemeldung (Fortschrittsmeldung)
    falls einen Monat nach Erstmeldung andauert
    • wie Folgemeldung
  4. Abschlussmeldung
    spätestens einen Monat nach Erstmeldung oder nach Abschluss des Vorfalls
    • Angaben wie bei Folgemeldung

up

Konkretisierung der EU

In einer Durchführungsverordnung (Implementing Act) konkretisiert die EU die Definitionen und Schwellenwerte für erhebliche Sicherheitsvorfälle in NIS2. Die Durchführungsverordnung ist für bestimmte Betreiber in der Digitalen Infrastruktur verbindlich, für alle anderen empfiehl das BSI die Kriterien als Orientierung.

Für Einrichtungen anderer Sektoren kann davon ausgegangen werden, dass es sich um einen erheblichen Sicherheitsvorfall handelt, wenn mindestens eines der Kriterien der Durchführungsverordnung (EU) 2024/2690 der Kommission Artikel 3 Absatz 1 erfüllt ist. Zudem ist immer dann von einem erheblichen Sicherheitsvorfall auszugehen, wenn die Erbringung kritischer Dienstleistungen ausgefallen oder beeinträchtigt ist. Quelle: BSI, Einstufung des Vorfalls

Die Kriterien zur Einstufung als erheblich nach Durchführungsverordnung (EU) 2024/2690 sind die folgenden tatsächlichen oder möglichen Konsequenzen eines Sicherheitsvorfalls: Art. 3 (1)

up

Meldepflichten KRITIS-Dachgesetz

Vorfälle

Betreiber kritischer Anlagen müssen nach dem Dachgesetz Sicherheitsvorfälle und Störungen an Behörden melden. Nach dem KRITIS-DachG meldepflichtige Vorfälle betreffen nur Vorfälle, die Einfluss auf die kritische Anlage oder die erbrachte kritische Dienstleistung haben. §18 KRITIS-Dachgesetz

Das KRITIS-DachG definiert im Unterschied zur NIS2-Umsetzung eine Art von meldepflichtigem Vorfall: ein Ereignis, das die Erbringung einer kritischen Dienstleistung erheblich beeinträchtigt oder beeinträchtigen könnte. §2 Nr. 9

Ausgenommen davon sind Sicherheitsvorfälle nach §2 Nr. 40 BSIG und Vorfälle nach TKG.

up

Meldewesen

Betreiber kritischer Anlagen müssen Vorfälle nach dem KRITIS-Dachgesetz über die vom BSI und BBK für NIS2 eingerichtete gemeinsame Meldestelle melden – in sehr kurzen Fristen, innerhalb von 24 Stunden, und mit stufenweisen Folgemeldungen: §18 (1)

Meldepflichten im KRITIS-Dachgesetz, Stand Dezember 2025
Zeit Frist Art Umfang
24h unverzüglich
nach Kenntnis		 Erstmeldung
Vorfall		 Alle Meldezeitpunkt verfügbaren Informationen über:
  • Art
  • Ursache
  • mögliche, auch grenzüberschreitende Auswirkungen und Folgen
  • Anzahl und Anteil der vom Vorfall Betroffenen
  • bisherige und voraussichtliche Dauer
  • betroffenes geografisches Gebiet
bei Andauern Aktualisierung Aktualisierte Informationen
1 Monat nach Kenntnis Ausführlicher Bericht Aktualisierte Informationen

Das BBK konkretisiert die Ausgestaltung der Meldwege und Inhalte der Meldungen im Einvernehmen mit dem BSI und veröffentlicht Informationen dazu auf der Internetseite des BBK.

up

Weitere Informationen

Informationen und Links

  1. BSI-Portal, die zentrale Anlaufstelle für Cybersicherheit, Bundesamt für Sicherheit in der Informationstechnik
  2. Anleitung zur Meldung im BSI-Portal, Bundesamt für Sicherheit in der Informationstechnik, o.D.
  3. Meldung ohne Registrierung abgeben , Bundesamt für Sicherheit in der Informationstechnik, o.D.

Quellen

  1. Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) von 2016, geändert 2025
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und die Sicherheit in der Informationstechnik von Einrichtungen, BSI-Gesetz vom 2. Dezember 2025
  3. DURCHFÜHRUNGSVERORDNUNG (EU)/DER KOMMISSION C(2024) 7151 final, EUR-Lex, Access to European Union law, 17/10/2024