Cybernotfall
Pillar-Ratgeber NIS2 · Stand: Juni 2026

NIS2-Meldepflichten: 24-Stunden-Frühwarnung und 72-Stunden-Meldung

Erhebliche Sicherheitsvorfälle sind nach NIS2 zweistufig zu melden und mit Zwischen- und Abschlussbericht zu ergänzen. Wer die Fristen und das Verhältnis zur DSGVO nicht klar führt, riskiert hohe Bußgelder und persönliche Haftung.

Die dreistufige Meldekette nach NIS2

Das NIS2-Umsetzungsgesetz (§ 32 BSIG) etabliert eine dreistufige Meldekette für erhebliche Sicherheitsvorfälle. In der ersten Stufe ist binnen 24 Stunden ab Kenntnis eine Frühwarnung an das BSI zu übermitteln. Sie informiert das BSI knapp über den Vorfall, einschließlich der Einschätzung, ob er auf rechtswidrige oder böswillige Handlungen zurückgeht und ob grenzüberschreitende Auswirkungen wahrscheinlich sind. In der zweiten Stufe folgt binnen 72 Stunden die eigentliche Vorfallmeldung mit einer ersten Bewertung, einschließlich Schweregrad, Auswirkungen und — soweit verfügbar — Kompromittierungsindikatoren. In der dritten Stufe ist innerhalb eines Monats ein Abschlussbericht zu übermitteln, der den Vorfall, seine Ursachen, die ergriffenen Maßnahmen und mögliche grenzüberschreitende Auswirkungen darstellt.

Erheblichkeitsschwelle: nicht jeder Vorfall ist meldepflichtig

Meldepflichtig sind nur „erhebliche" Sicherheitsvorfälle. Das BSIG definiert Erheblichkeit anhand zweier alternativer Kriterien: schwerwiegende Betriebsstörungen oder finanzielle Verluste für die betroffene Einrichtung oder erhebliche Beeinträchtigungen anderer Personen durch materielle oder immaterielle Schäden. Die Bewertung ist im Einzelfall schwierig. Die BSI-Leitlinien geben hier wichtige Auslegungshinweise, ersetzen aber nicht die Bewertung durch den Krisenstab und den anwaltlichen Beistand. In Zweifelsfällen empfiehlt sich die Meldung, weil eine unterbliebene Meldung im Nachhinein deutlich schwerer zu verteidigen ist als eine — gegebenenfalls revidierte — vorsorgliche Meldung.

NIS2-Meldekette in sechs Schritten

  1. 24-Stunden-Frühwarnung an das BSI
    Innerhalb von 24 Stunden ab Kenntnis eines erheblichen Sicherheitsvorfalls eine Frühwarnung über das Meldeportal des BSI absetzen. Inhalt: Verdacht auf Rechtswidrigkeit oder grenzüberschreitende Auswirkungen, erste Einschätzung des Sachverhalts.
  2. 72-Stunden-Vorfallmeldung
    Binnen 72 Stunden eine eigentliche Vorfallmeldung folgen lassen: Bewertung des Vorfalls, Indikatoren, Schweregrad, betroffene Dienste, ergriffene und geplante Maßnahmen.
  3. Zwischenbericht auf Anforderung
    Auf Anforderung des BSI einen Zwischenbericht mit aktualisierten Informationen erstellen. In der Praxis sollte ein interner Statusbericht ohnehin täglich geführt werden.
  4. Abschlussbericht innerhalb eines Monats
    Spätestens einen Monat nach der Vorfallmeldung einen Abschlussbericht übermitteln: detaillierte Beschreibung des Vorfalls, Ursachen, ergriffene Maßnahmen, grenzüberschreitende Auswirkungen.
  5. Parallele DSGVO-Meldung prüfen
    Liegt zugleich eine Datenschutzverletzung vor, läuft Art. 33 DSGVO parallel mit eigener 72-Stunden-Frist. Die NIS2-Meldung ersetzt die DSGVO-Meldung nicht.
  6. Dokumentation der Meldekette
    Alle Meldungen, Empfangsbestätigungen und interne Entscheidungen in einem geordneten Vorgang ablegen — Grundlage für mögliche Aufsichtsverfahren und Bußgeldverteidigung.

Verhältnis zu Art. 33 DSGVO

In der Krisenstabspraxis wird die NIS2-Meldung regelmäßig parallel zur DSGVO-Meldung relevant. Beide Regimes haben eine eigene 72-Stunden-Frist, beide richten sich an unterschiedliche Behörden und beide verfolgen unterschiedliche Schutzzwecke: Die NIS2-Meldung schützt die Betriebsfähigkeit kritischer Sektoren, die DSGVO-Meldung schützt die Rechte und Freiheiten der betroffenen Personen. Eine Meldung an das BSI ersetzt deshalb nicht die Meldung an die Datenschutzaufsicht und umgekehrt. Wer beide Pflichten hat, sollte im Notfallplan eine Meldematrix führen, die beide Spuren getrennt dokumentiert. Eine vertiefte Darstellung der DSGVO-Seite findet sich im Beitrag 72-Stunden-Frist nach Art. 33 DSGVO.

Wer adressiert wird, wer mitliest

Adressat der NIS2-Meldung ist das BSI als nationale Cybersicherheitsbehörde. In bestimmten Sektoren werden Meldungen zusätzlich an die zuständigen Aufsichtsbehörden weitergeleitet (Energie: BNetzA, Finanzwesen: BaFin, Telekommunikation: BNetzA). Das BSI kann betroffene Einrichtungen anweisen, die Empfänger ihrer Dienste über den Vorfall zu informieren — etwa Geschäftskunden eines IT-Dienstleisters. Wer den Empfängerkreis kennt, kann eine entsprechende Kommunikation vorbereiten, bevor die Anordnung kommt.

Bußgeldrisiko bei Fristversäumnis

§ 60 BSIG sieht Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Vorjahresumsatzes für wesentliche Einrichtungen vor. Bei wichtigen Einrichtungen liegen die Höchstgrenzen bei 7 Mio. Euro bzw. 1,4 %. Daneben kann eine persönliche Verantwortung der Geschäftsleitung in Betracht kommen, die im Beitrag NIS2-Geschäftsleitungshaftung vertieft ist. Eine konsequent dokumentierte Meldekette ist der wichtigste Baustein, um diese Risiken zu vermeiden.

Häufige Fragen

Was ist ein 'erheblicher' Sicherheitsvorfall?
Erheblich ist ein Vorfall, der schwerwiegende Betriebsstörungen oder finanzielle Verluste verursacht oder verursachen kann oder andere Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt. Maßgeblich ist die Auslegung in den BSI-Leitlinien.
Was passiert bei Fristversäumnis?
§ 60 BSIG sieht Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Vorjahresumsatzes vor. Daneben besteht die Gefahr der persönlichen Haftung der Geschäftsleitung.
Über welchen Kanal wird gemeldet?
Das BSI hat ein Meldeportal eingerichtet. Die Meldung erfolgt elektronisch, idealerweise vorbereitet mit einer Meldungsvorlage, die im Notfallplan hinterlegt ist.
Müssen wir Kunden über den Vorfall informieren?
Bei bestimmten Vorfällen kann das BSI eine Information der Empfänger der eigenen Dienste anordnen. Daneben bestehen vertragliche Informationspflichten gegenüber Kunden und ggf. eine Art-34-DSGVO-Pflicht.
Reicht eine zentrale Meldung im Konzern?
Nein. Jede betroffene Einrichtung meldet für sich, auch wenn eine Konzernmutter die Meldungen koordiniert. Die Verantwortung verbleibt bei der jeweiligen Einrichtung.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Google
4.7 ★★★★★
50 Bewertungen
ProvenExpert
4.78 ★★★★★
156 Bewertungen · 100% Empfehlungen
Der SpiegelTagesspiegelMannheimer MorgenAllgemeine ZeitungDarmstädter Echo
Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil