Zum Hauptinhalt springen
Informationssicherheit / NIS2

Meldepflicht nach NIS2

Die Pflicht betroffener Einrichtungen, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständige Behörde zu melden.

Die Meldepflicht nach NIS2 verpflichtet wesentliche und wichtige Einrichtungen, erhebliche Sicherheitsvorfälle unverzüglich an die zuständige nationale Behörde zu melden. In Deutschland ist dies das Bundesamt für Sicherheit in der Informationstechnik (BSI). Art. 23 der NIS-2-Richtlinie definiert ein dreistufiges Meldeverfahren mit klaren Fristen: eine Frühwarnung innerhalb von 24 Stunden, eine Erstmeldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats.

Als erheblicher Sicherheitsvorfall gilt ein Ereignis, das erhebliche Betriebsstörungen verursacht hat oder verursachen könnte, oder das andere natürliche oder juristische Personen erheblich beeinträchtigt. Konkrete Kriterien sind: eine signifikante Anzahl betroffener Nutzer, eine Dauer von mehr als 24 Stunden oder ein finanzieller Schaden oberhalb bestimmter Schwellenwerte. Die genauen Kriterien werden durch ergänzende EU-Durchführungsrechtsakte präzisiert.

Für die praktische Umsetzung der Meldepflicht müssen Organisationen interne Prozesse etablieren: ein Verfahren zur Klassifizierung von Sicherheitsvorfällen, klare Eskalationswege zur Geschäftsführung, vorbereitete Meldevorlagen sowie benannte Ansprechpartner beim BSI. Versäumnisse bei der Meldepflicht können mit erheblichen Bußgeldern geahndet werden und begründen unter Umständen eine persönliche Haftung der Geschäftsführung.

Rechtliche Grundlage

Art. 23 NIS-2-Richtlinie 2022/2555, NIS2UmsuCG

Praxisbeispiel

Ein Gesundheitsdienstleister als wesentliche Einrichtung stellt am Montagmorgen fest, dass sein Krankenhausinformationssystem seit Sonntagnacht durch einen Cyberangriff nicht mehr verfügbar ist. Gemäß dem vorbereiteten Incident-Response-Plan wird sofort der Sicherheitsbeauftragte und die Geschäftsführung informiert. Innerhalb von 14 Stunden nach Entdeckung wird eine Frühwarnung über das BSI-Meldeverfahren eingereicht. 60 Stunden nach der Entdeckung folgt die detaillierte Erstmeldung mit Angaben zu Art, Umfang und vorläufigen Gegenmaßnahmen. Der abschließende Bericht mit Ursachenanalyse und implementierten Verbesserungsmaßnahmen wird 25 Tage später übermittelt.

Häufige Fragen

Die Meldepflicht nach NIS2 verpflichtet betroffene wesentliche und wichtige Einrichtungen, erhebliche Sicherheitsvorfälle in einem dreistufigen Verfahren zu melden: eine Frühwarnung innerhalb von 24 Stunden, eine Erstmeldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats – in Deutschland an das BSI.
Ein Vorfall gilt als erheblich, wenn er erhebliche Betriebsstörungen verursacht hat oder verursachen könnte, oder wenn er andere Personen erheblich beeinträchtigt. Zu den Kriterien gehören eine signifikante Anzahl betroffener Nutzer, eine Störungsdauer von mehr als 24 Stunden oder erhebliche finanzielle Schäden.
Bei Verstößen gegen die NIS2-Meldepflicht drohen erhebliche Bußgelder: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen, bis zu 7 Mio. EUR oder 1,4 % für wichtige Einrichtungen. Zudem kann eine persönliche Haftung der Geschäftsführung entstehen.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

NIS-2-Richtlinie Sicherheitsvorfall (Security Incident) Datenpanne / Data Breach NIS2-Betroffenheitsprüfung Business Continuity Management (BCM)
Zurück zum Glossar