+49 (0) 30 28047033

NIS‑2 Meldepflichten bei einem Sicherheitsvorfall

Kategorie: IT-Recht, IT-Sicherheit

Sie müssen Cybervorfälle künftig deutlich schneller und strukturierter melden. Die NIS‑2‑Richtlinie führt dafür klare Zeitvorgaben ein: erstmelden binnen 24 Stunden, nachmelden binnen 72 Stunden, Abschlussbericht binnen eines Monats. Dieser Beitrag zeigt Ihnen, welche Meldepflichten genau gelten, was Sie melden müssen und wie Sie typische Fehler vermeiden.

weiterlesen
NIS-2 Sicherheitsfristen für Unternehmen

Warum die NIS‑2‑Meldepflichten so wichtig sind

Wenn Ihr Unternehmen unter NIS‑2 fällt, reicht es nicht, einen Sicherheitsvorfall intern zu lösen. Die EU verlangt, dass Sie relevante Vorfälle an das BSI melden. Hintergrund ist, dass Cyberangriffe massiv zunehmen und die Behörden ein Lagebild brauchen, um kritische Bereiche schnell schützen zu können. Falls Sie noch unsicher sind, ob NIS‑2 überhaupt für Sie gilt, finden Sie hier Hintergrundinfos: Gilt NIS‑2 für mein Unternehmen?

Wann besteht eine Meldepflicht?

Eine Meldepflicht besteht, sobald ein Sicherheitsvorfall Ihre Netz- oder Informationssysteme beeinträchtigt oder beeinträchtigen könnte. In der Praxis bedeutet das:

  • Sie müssen nicht abwarten, bis Schäden feststehen.
  • Schon der Verdacht auf einen relevanten Angriff löst Handlungsbedarf aus. 

In der Regel liegt zusätzlich auch ein Datenschutzvorfall nahe, da selten auszuschließen ist, dass personenbezogene Daten betroffen sind. In vielen Fällen müssen Sie daher parallel sowohl eine NIS‑2‑Meldung als auch eine Datenschutzmeldung (Art. 33 DSGVO) abgeben.

Die drei zentralen Meldefristen

Die NIS‑2‑Richtlinie arbeitet mit einem gestuften Meldesystem. Sie müssen folgende Fristen unbedingt einhalten:

1. Erstmeldung innerhalb von 24 Stunden

Binnen 24 Stunden nach Bekanntwerden eines Vorfalls müssen Sie dem BSI ein erstes „Early Warning“ übermitteln. Diese Meldung muss noch keine Details enthalten. Entscheidend ist nur, **dass Sie melden, dass etwas passiert ist**. Typische Inhalte der Erstmeldung sind: • kurzer Hinweis auf Art des Vorfalls • Zeitpunkt der Entdeckung • erste potenzielle Auswirkungen • Einschätzung, ob weitere Risiken bestehen

2. Ergänzende Meldung innerhalb von 72 Stunden

Bis spätestens 72 Stunden müssen Sie weitere Informationen nachreichen, soweit diese bis dahin ermittelbar sind. Gerade in den ersten Tagen ist oft unklar, wer genau Zugriff hatte oder was manipuliert wurde. Trotzdem erwartet das BSI möglichst konkrete Angaben.

3. Abschlussbericht innerhalb eines Monats

Spätestens nach einem Monat müssen Sie einen vollständigen Vorfallsbericht liefern. Dieser enthält:

  • Was genau ist passiert?
  • Welche Systeme waren betroffen?
  • Welche Maßnahmen wurden ergriffen?
  • Wie wurde der Vorfall eingegrenzt und behoben?

In Ausnahmefällen ist eine Verlängerung möglich, aber Sie müssen das begründen.

Kostenfreier Datenschutz Check

Finden Sie mit unserem kostenlosen Datenschutz Check heraus, wo Ihr Unternehmen steht – anwaltlich geprüft & verständlich erklärt.

Check starten

Welche Stellen müssen informiert werden?

In vielen Fällen müssen Sie mehrere Behörden einbinden:

  • BSI (NIS‑2‑Meldung)
  • Datenschutzaufsichtsbehörde (sofern personenbezogene Daten betroffen sein können)
  • ggf. die Staatsanwaltschaft (bei strafrechtlicher Relevanz)

Gerade in den ersten 72 Stunden laufen diese Stränge parallel. Deshalb ist ein funktionierender interner Prozess entscheidend.

Was muss Ihr internes Meldekonzept leisten?

Die NIS‑2‑Richtlinie verlangt, dass Sie klare Prozesse schriftlich vorhalten – nicht nur im Notfall improvisieren. Ihr Konzept sollte unter anderem abdecken:

  • klare Zuständigkeiten (IT, Geschäftsführung, Datenschutz, externe IT‑Forensik)
  • definierten Ablauf vom ersten Alarm bis zur Meldung
  • interne Kommunikationswege
  • Checklisten für die 24‑ und 72‑Stunden‑Fristen
  • Dokumentation aller Schritte
  • Schnittstellen zum Datenschutzmanagement

Wenn Sie bereits ein solides Datenschutz‑Compliance‑System haben, decken Sie erfahrungsgemäß viele Elemente schon ab. Die NIS‑2‑Pflichten gehen aber teilweise tiefer, insbesondere bei technischen und organisatorischen Maßnahmen. Mehr dazu finden Sie hier: Welche Pflichten NIS‑2 im Detail vorgibt

Praktische Herausforderungen in der Realität

In der Praxis ist es normal, dass in den ersten Stunden wenig klar ist. Oft weiß niemand, wer auf das System zugegriffen hat, welche Daten betroffen sind oder wie weit Angreifer gekommen sind. Genau dafür gibt es die gestuften Meldefristen. Wichtig ist allein, dass Sie melden – nicht, dass Sie sofort alles wissen.

Fazit: Ohne Vorbereitung geht es nicht

Die Meldepflichten unter NIS‑2 sind streng und lassen sich nur einhalten, wenn Ihr Unternehmen fertige Prozesse hat. Zwischen Erstmeldung und Abschlussbericht vergehen 30 Tage, in denen Sie: • ermitteln, • dokumentieren, • melden, • technische Maßnahmen umsetzen müssen. Wenn Sie sich zunächst einen Überblick über die gesamte Richtlinie verschaffen möchten, finden Sie hier eine kompakte Einführung: Was ist NIS‑2?

Individuelle Fragen zum Thema oder sonstige Anliegen?

Jetzt kontaktieren
Beitragsautor
Dr. Jonas Jacobsenhttps://datenrecht-kompass.de/
Beitrag teilen:
Vorheriger Beitrag
NIS‑2 Pflichten: Was Unternehmen jetzt zwingend umsetzen müssen
Nächster Beitrag
IT-Recht: Ein Überblick über ein komplexes Querschnittsgebiet