← Übersicht
Khosla·Compliance
§32 BSIG · Meldepflicht
Operative Vorbereitung · §32 BSIG

Bevor Sie das §32-Meldeprotokoll öffnen:
Was jetzt bereit sein muss.

Die Einordnung ist getroffen. Jetzt läuft die Frist. Dieser Schritt stellt sicher, dass Sie alle Zugänge, Rollen und Informationen bereit haben — bevor Sie das Protokoll ausfüllen und die Meldung absetzen.

24h-Frist läuft ab Kenntniserlangung
BSI-Portal-Account erforderlich
MuK-Nummer bereithalten
Geschäftsführung einbinden
IR-01 dokumentiert eine Entscheidung, nicht nur ein Ereignis: Meldung, Nichtmeldung oder weitere Prüfung — nachvollziehbar begründet.
Vor dem Öffnen des §32-Meldeprotokolls
Was Sie jetzt brauchen
Pflicht · Zugang
BSI-Portal-Account
Meldungen werden ausschließlich über das BSI-Portal abgegeben. Account muss vorab eingerichtet sein. bsi.bund.de →
Pflicht · Identifikation
MuK-Nummer
Meldungs- und Kommunikationsnummer — wird bei der BSI-Registrierung vergeben und für jede Meldung benötigt.
Pflicht · Zeitstempel
Zeitpunkt der Kenntniserlangung
Datum und Uhrzeit, wann die Organisation erstmals Kenntnis vom Vorfall hatte — nicht der Zeitpunkt der Analyse, sondern der ersten Information.
Pflicht · Governance
Geschäftsführung informiert
§38 BSIG verlangt aktive Einbindung der Geschäftsführung. Kenntnisnahme der Geschäftsführung muss dokumentiert werden — Zeitpunkt festhalten.
Empfohlen · Kontext
Betroffene Systeme und Dienste
Erste Übersicht: welche Systeme, welche Dienste, geschätztes Ausmaß. Kein vollständiger Analysebericht nötig.
Empfohlen · Rollen
Incident Owner und Meldeverantwortlicher
Wer führt das §32-Meldeprotokoll? Wer sendet die Meldung? Beide müssen im Dokument namentlich erscheinen.
Erstmeldung
24h
Frühwarnung an BSI
Art des Vorfalls, betroffene Systeme, Kenntniserlangungszeitpunkt. Keine vollständige Analyse nötig.
Folgemeldung
72h
Detailbericht
Aktualisierte Bewertung, betroffene Dienste, Auswirkungen, erste Ursachenhypothesen, ergriffene Maßnahmen.
Abschlussbericht
30 Tage
Vollständiger Abschluss
Ursache, Verlauf, Maßnahmen, Lessons Learned. Freigabe durch die Geschäftsführung dokumentieren.
Frühwarnung · keine vollständige Forensik
Was die 24h-Erstmeldung leisten muss

Die 24h-Erstmeldung ist eine Frühwarnung. Vollständige Ursachenanalyse, endgültige Schadenshöhe und abschließende Betroffenheit aller Systeme können in der 72h-Folgemeldung nachgeführt werden.

Sofort eintragen
Kenntniserlangung
Art des Vorfalls
Betroffene Systeme / Dienste
Ansprechpartner
Geschäftsführung informiert
Parallel klären
Betriebswirkung
Datenbezug
Lieferantenbezug
Sofortmaßnahmen
Offene Fragen
Nachführen
72h-Folgemeldung
Ursachenhypothese
Auswirkungen
Maßnahmen
Abschlussbericht
Die Erstmeldung ersetzt keine Analyse. Sie hält den ersten belastbaren Arbeitsstand fest.
Ausfüllhilfe für die kritischen Felder
Die Vorlage ist bewusst knapp. Entscheidend ist, dass die Felder ausreichend konkret sind, ohne eine vollständige Analyse vorzutäuschen.
Frühester Zeitpunkt, an dem das Unternehmen Kenntnis vom Vorfall hatte — nicht der Zeitpunkt der abgeschlossenen Analyse.
Beispiel
22.05.2026 · 08:17 Uhr · Meldung durch IT-Monitoring an Incident Owner.
Nicht nur technischer Kurzbegriff. Art des Ereignisses plus erste Einordnung.
Beispiel
Verdacht auf Ransomware-Verschlüsselung mehrerer Server im Produktionsnetz. Analyse läuft.
Systeme oder Dienste so benennen, dass die Betriebswirkung erkennbar wird.
Beispiel
ERP-Anmeldung und Fileserver an Standort Hamburg derzeit eingeschränkt. Auftragsbearbeitung betroffen.
Erste Wirkung beschreiben: intern, Kunden, Lieferanten, Produktion, Daten, Verfügbarkeit.
Beispiel
Interne Betriebswirkung bestätigt. Kundenwirkung wird geprüft. Datenabfluss aktuell nicht ausgeschlossen.
Kurz beschreiben, was bekannt ist und welche Sofortmaßnahmen laufen.
Beispiel
Betroffene Segmente isoliert. Externer Incident-Response-Dienstleister informiert. Forensische Analyse eingeleitet.
Zeitpunkt und Form der Kenntnisnahme der Geschäftsführung dokumentieren.
Beispiel
Geschäftsführung informiert am 22.05.2026 um 09:05 Uhr durch Incident Owner. Kenntnisnahme im Incident Log vermerkt.
Wenn ein Feld noch nicht vollständig geklärt ist, den offenen Punkt benennen und in der 72h-Folgemeldung nachführen.
Vorlage · BSI-Erstmeldung (24h-Frist)
Frühwarnung · Formtext
An
BSI-Portal · über Ihr persönliches Meldekonto
MuK-Nr.
[Ihre MuK-Nummer aus der BSI-Registrierung]
Betreff
Frühwarnung erheblicher Sicherheitsvorfall · §32 BSIG · [Ihr Unternehmensname]
Inhalt
Wir melden hiermit einen erheblichen Sicherheitsvorfall gemäß §32 Abs. 1 BSIG. Organisation: [Vollständiger Unternehmensname] Registrierungsstatus: [bwE / wE] · MuK-Nummer: [Ihre MuK-Nr.] Sektor: [Ihren NIS2-Sektor eintragen] Zeitpunkt der Kenntniserlangung: [TT.MM.JJJJ · HH:MM Uhr] Art des Vorfalls: [Ransomware / Datenpanne / DDoS / Kompromittierung / Sonstiges] Betroffene Systeme / Dienste: [kurze Beschreibung] Geschätztes Ausmaß: [intern / betrifft Kunden / betrifft Lieferanten] Vorläufige Einordnung: Erheblicher Vorfall im Sinne §32 BSIG Aktuelle Lage: Der Vorfall wird aktiv bearbeitet. Eine vollständige Analyse wird in der 72h-Folgemeldung nachgereicht. Ansprechpartner: [Name · Funktion · Telefon · E-Mail] Geschäftsführung informiert: [TT.MM.JJJJ · HH:MM Uhr] [Unternehmensname · Anschrift · Datum]
Hinweis: Diese Vorlage dient dazu, Lagebild, Zeitstempel und Ansprechpartner strukturiert vorzubereiten. Der reguläre Meldeweg läuft über das BSI-Portal. Wenn Portalzugang und MuK-Zertifikat im Ereignisfall noch nicht vorliegen, kann die vorbereitete Textfassung dennoch helfen, eine erste Kontaktaufnahme mit dem BSI geordnet abzusetzen und die spätere Portal-Meldung konsistent nachzuführen.
Beispiele · anpassen, nicht ungeprüft übernehmen
Drei typische Formulierungsrichtungen
Ransomware / Verschlüsselung
„Verdacht auf Ransomware-Verschlüsselung mehrerer Server. Anmeldung an zentralen Fachanwendungen eingeschränkt. Betroffene Systeme wurden isoliert. Betriebswirkung wird laufend bewertet."
Dienstleister / MSP / Cloud
„Sicherheitsvorfall bei externem Dienstleister mit möglicher Auswirkung auf bereitgestellte Cloud- oder Administrationsdienste. Daten- und Verfügbarkeitswirkung wird gemeinsam mit dem Anbieter geprüft."
OT / Produktion
„Störung in OT-naher Produktionsumgebung mit möglichem Cyberbezug. Betroffene Anlage wurde in kontrollierten Zustand versetzt. Fernwartungszugriffe und Herstellerabhängigkeiten werden geprüft."
Diese Beispiele sind Formulierungshilfen. Sie ersetzen keine eigene Einordnung und keine Meldung über das BSI-Portal.
Nach der Erstmeldung: Arbeitsstand weiterführen
72h-Folgemeldung
72h-Termin setzen
Incident Owner bestätigen
Kenntnisnahme der Geschäftsführung dokumentieren
Betroffene Systeme fortschreiben
Sofortmaßnahmen dokumentieren
Lieferantenkontakt festhalten
Datenbezug prüfen
Offene Fragen mit Owner versehen
Abschlussbericht vorbereiten
Die Vorlage ist der Startpunkt. Der Meldearbeitsstand muss bis zur Folgemeldung und zum Abschlussbericht fortgeschrieben werden.
Nach der Erstmeldung
Die 72h-Folgemeldung vorbereiten

Mit der 24h-Erstmeldung ist der Vorfall nicht abgeschlossen. Für die Folgemeldung müssen betroffene Systeme, Betriebswirkung, Sofortmaßnahmen, offene Fragen, Lieferantenbezug und Verantwortliche fortgeschrieben werden.

Der nächste sinnvolle Schritt ist ein geführter Meldearbeitsstand: Zeitstempel, Incident Owner, Kenntnisnahme der Geschäftsführung, offene Punkte und Wiedervorlage an einem Ort.

IR-01 im Arbeitsplatz führen →
Nächster Schritt
Vom Formtext zum Meldearbeitsstand.
Führen Sie Zeitstempel, Rollen, betroffene Systeme, Meldeentscheidung, Kenntnisnahme der Geschäftsführung, offene Punkte und 72h-Folgemeldung zusammen.
IR-01 im Arbeitsplatz führen §32-Einordnung erneut prüfen → BSI-Registrierung §33 prüfen →