NIS2-Meldepflicht nach §32 BSIG: Vom Sicherheitsvorfall zur BSI-Meldung
Nicht jede IT-Störung löst eine Meldung aus. Entscheidend ist, ob ein erheblicher Sicherheitsvorfall vorliegt, wann Kenntnis bestand, welche Systeme betroffen sind, welche Wirkung eingetreten ist und wie die Entscheidung dokumentiert wird.
Ein Monat nach der Folgemeldung: vollständige Aufarbeitung, Maßnahmen und Freigabe.
Dokumentationsrisiko: Eine verspätete, fehlende oder nicht begründete Entscheidung ist später schwer erklärbar — unabhängig davon, wie der Vorfall technisch ausgegangen ist.
Ein erheblicher Vorfall liegt nahe bei
Schwere Betriebsunterbrechung
Datenverlust oder Datenzugriff
Lieferkette betroffen
Erheblicher Schaden
Dritte betroffen oder gefährdet
Voraussetzung für die Meldung
Der reguläre Meldeweg nach §32 BSIG setzt eine abgeschlossene BSI-Registrierung voraus. Der Zugang entsteht in einer Kette: ELSTER-Organisationszertifikat, dann Mein Unternehmenskonto (MUK), dann Registrierung im BSI-Portal nach §33 BSIG. Der Zustellprozess für das MUK läuft postalisch und dauert mehrere Tage. Im Ereignisfall lässt sich dieser Schritt nicht nachholen. Ohne fertige Registrierung bleibt eine Meldung über das Online-Formular des BSI möglich — die Registrierungspflicht nach §33 BSIG besteht weiter.
Die Frage, die im Vorfall sofort beantwortet sein muss
Ein Sicherheitsereignis ist eingetreten. Die Analyse läuft. Die Geschäftsführung fragt nach. Gleichzeitig läuft ab dem Moment der Kenntniserlangung die 24-Stunden-Frist nach §32 BSIG.
Wer in diesem Moment noch ungeklärte Zuständigkeiten oder fehlende Entscheidungsgrundlagen hat, verliert Zeit, die er nicht hat. Meldefähigkeit entsteht vor dem Vorfall — nicht während. Wer bekannte Schwachstellen nicht aktiv verfolgt, erkennt Vorfälle später.
Erste Einordnung
Nicht jede IT-Störung ist meldepflichtig
Ein Drucker fällt aus, eine Anwendung lädt langsam oder ein Server reagiert wegen bekannter Ursache nicht. Das ist nicht automatisch ein erheblicher Sicherheitsvorfall. Sobald aber Sicherheitsbezug, Datenbezug, Kundenwirkung, böswillige Handlung oder eine wesentliche Betriebsunterbrechung möglich sind, braucht das Unternehmen eine dokumentierte Meldebewertung.
Die Meldebewertung ist der Kern. Sie hält fest, welche Informationen vorlagen, wer entschieden hat, ob Erheblichkeit und Meldepflicht naheliegen, ausgeschlossen werden können oder weiter geprüft werden müssen.
Vom Gesetz in den Betrieb
Die Meldebewertung beginnt vor dem BSI-Portal
Die formale Meldung ist das Ergebnis eines betrieblichen Bewertungsprozesses. Die Informationen, die das BSI innerhalb von 24 Stunden erwartet, entstehen nicht erst im Meldeformular. Diese Informationen entstehen im ersten Ticket, in der Vorfallakte und während der technischen Untersuchung.
Viele Unternehmen haben bereits einen IT-Support-Prozess. Das Problem liegt selten darin, dass dieser Prozess fehlt. Das Problem liegt darin, dass dem Prozess beim Übergang zum Sicherheitsereignis die richtigen Felder fehlen — und die Meldebewertung nach §32 BSIG damit ohne Datengrundlage beginnt.
Hinweis: Das erste Ticket startet nicht automatisch die 24-Stunden-Frist. Das Ticket dokumentiert jedoch, wann ein Ereignis erstmals erkannt wurde, welche Wirkung bekannt war und wann die Erheblichkeit festgestellt wurde.
Incident Intake
Welche Informationen ab dem ersten Ticket geführt werden müssen
Das erste Ticket muss nicht vollständig sein. Sechs Felder müssen jedoch von Beginn an geführt werden, weil diese Felder die Grundlage jeder späteren Meldeentscheidung bilden. ServiceNow, Jira Service Management, OTRS und vergleichbare ITSM-Systeme können die sechs Felder als strukturierte Pflichtfelder abbilden.
Incident Intake · Ticketfelder T-01 bis T-06
T-01 · Erstes Erkennen des Ereignisses
Wann wurde das Ereignis erstmals wahrgenommen? Dieser Zeitpunkt ist nicht mit dem Zeitpunkt der Ticketanlage gleichzusetzen.
incident.awareness_time
T-02 · Betroffene Systeme und Dienste
Systeme, Anwendungen, Standorte, Benutzergruppen und kritische Dienste — auch, wenn eine Betroffenheit nur möglich ist.
incident.affected_assets
T-03 · Erste erkennbare Wirkung
Wirkung auf Betrieb, Daten, Kunden und Lieferanten sowie erkennbare externe Auswirkungen.
incident.initial_impact
T-04 · Verantwortliche Rolle
Wer führt die technische und fachliche Einordnung? Wer koordiniert die nächsten Schritte?
incident.owner
T-05 · Sofortmaßnahmen
Isolation, Sperrung, Eindämmung sowie Sicherung von Logs und Spuren.
incident.immediate_actions
T-06 · Nächste Bewertung
Zeitpunkt der erneuten Bewertung, offene Informationen, Owner und Eskalationspunkt.
incident.next_review
Fristenkritisch: Die 24-Stunden-Frist beginnt mit der Kenntnis vom erheblichen Sicherheitsvorfall — nicht mit der Ticketanlage und nicht mit dem Beginn der Behebung. T-01 hält fest, wann das Ereignis erkannt wurde.
Wesentliche Dienste für Betrieb, Kunden oder Sektor sind beeinträchtigt oder ausgefallen.
Datenbezug
Personenbezogene, vertrauliche oder betriebsrelevante Daten sind betroffen oder zugänglich geworden.
Kundenwirkung
Kunden können Leistungen nicht abrufen, müssen informiert werden oder Vertragspflichten sind berührt.
Lieferantenwirkung
Ein Dienstleistervorfall wirkt auf eigene Systeme zurück oder der eigene Vorfall wirkt auf Kunden und Subdienstleister.
Böswillige Handlung
Hinweise auf Angriff, Manipulation, unbefugten Zugriff, Malware oder Social Engineering liegen vor.
Betriebsunterbrechung
Wesentliche Abläufe sind für einen relevanten Zeitraum nicht verfügbar oder nur eingeschränkt verfügbar.
Wichtig: Kein einzelnes Merkmal entscheidet automatisch. Die Gesamtheit aus Wirkung, betroffenen Diensten, Datenlage, Kundenbezug, Ursache und offenen Unsicherheiten bildet die Grundlage der Meldebewertung.
Entscheidung dokumentieren
Die Meldebewertung hat drei mögliche Ergebnisse
Erheblich und meldepflichtig: Frühmeldung vorbereiten, Fristen führen, Geschäftsführung informieren, Vorfallakte fortschreiben und Nachweisquellen sichern.
Nicht erheblich oder derzeit nicht meldepflichtig: Nichtmeldung begründen, Quellen und Entscheider dokumentieren, Wiedervorlage setzen und prüfen, ob Kunden- oder Vertragspflichten trotzdem berührt sind.
Weiter prüfen: Offene Informationen, Owner und Frist festhalten. Ein unklarer Stand darf nicht im Ticket verschwinden; er braucht eine terminierte nächste Bewertung.
Asset-Übersicht mit Kritikalität vorhanden? Systeme ohne Kritikalitätsbewertung können im Vorfall nicht priorisiert werden.
4
Wie schwer ist die Betriebsauswirkung?
Liegt mindestens eines der folgenden Merkmale vor, ist von einem erheblichen Vorfall auszugehen:
Erheblichkeitskriterien einblenden
Schwere Betriebsunterbrechung der eigenen Dienste
Erheblicher finanzieller Schaden — auch wenn noch nicht quantifiziert
Andere Einrichtungen oder Personen betroffen oder gefährdet
Auswirkungen auf Lieferkette — eigene Kunden oder Dienstleister betroffen
Reputationsschaden oder öffentliche Wahrnehmung zu erwarten
Kann die Erheblichkeit nicht ausgeschlossen werden, sollte die Meldebewertung mit Fristführung fortgeführt und eine Meldung vorbereitet oder vorsorglich geprüft werden.
5
Wann wurde Kenntnis erlangt?
Ab diesem Zeitpunkt läuft die 24-Stunden-Frist — auch bei unvollständiger Kenntnis.
Was als Kenntniserlangung gilt
Hinweis durch Mitarbeitende, IT, Monitoring oder externe Quellen
Auch unvollständige Kenntnis zählt — der Umfang muss nicht bekannt sein
Maßgeblich ist der früheste Zeitpunkt, an dem das Unternehmen Kenntnis hatte
Zeitstempel sofort dokumentieren: Datum, Uhrzeit, wer die Meldung entgegengenommen hat.
6
Meldepflicht bewerten und Geschäftsführung einbinden
Die Vorfallverantwortung trifft die fachliche Einordnung. Bei erheblicher Wirkung, Kundenbezug, Meldeentscheidung oder wesentlichem Restrisiko wird die Geschäftsführung informiert und die Kenntnisnahme dokumentiert. Ergebnis ist eine Meldung, die vorbereitet wird, oder eine Nichtmeldung, die begründet wird.
Ohne dokumentierte Einbindung der Geschäftsführung bleiben Informationsstand, Entscheidung und Wiedervorlage später schwer nachvollziehbar.
7
Erstmeldung vorbereiten und ans BSI senden
BSI-Portal-Login, MuK-Nummer, erste Lagebeschreibung. Vollständige Analyse nicht erforderlich — Einordnung und Zeitstempel genügen für die 24h-Frühwarnung.
Erstmeldung abgesetzt: 72h-Folgemeldung mit Detailbericht einplanen, Abschlussbericht ein Monat nach der Folgemeldung. §32-Meldeprotokoll parallel führen. Bei begründeter Nichtmeldung: Entscheidung dokumentieren und Wiedervorlage setzen.
Meldeentscheidung
Was am Ende der Meldebewertung vorliegen muss
Am Ende der Meldebewertung steht ein dokumentierter Arbeitsstand. Dieser Arbeitsstand enthält:
Erheblich: ja, nein oder weitere Prüfung erforderlich
Meldepflichtig: ja oder nein
Zeitpunkt der Kenntniserlangung
Entscheidungsgrundlage
Verantwortliche Person oder Rolle
Verwendete Informations- und Nachweisquellen
Zeitpunkt der nächsten Bewertung
Gegebenenfalls Vorbereitung der Frühmeldung
Gegebenenfalls Einbindung der Geschäftsführung
Die technische Analyse allein bildet noch keine Meldeentscheidung. Entscheidend ist ein nachvollziehbarer Arbeitsstand mit Bewertung, Begründung, Verantwortlichkeit und Zeitstempel.
Begründete Nichtmeldung
Wenn keine Meldung erforderlich ist
Eine negative Meldeentscheidung beendet die Nachweisführung nicht. Der Vorgang wird als „nicht meldepflichtig" geschlossen — nicht still verworfen. Festzuhalten sind:
Geprüfte Kriterien
Bekannte Auswirkungen
Informationsstand zum Entscheidungszeitpunkt
Begründung der Nichtmeldung
Verantwortliche Rolle
Wiedervorlage mit konkretem Datum
Spätere Neubewertung, falls neue Erkenntnisse entstehen
Auch die Entscheidung gegen eine Meldung muss später aus dem damaligen Informationsstand nachvollziehbar sein.
Verantwortlichkeit
Wer entscheidet, wer meldet, wer gibt frei — vorab klären
Vorfallverantwortung
Entscheidung und Koordination
Trifft die Einordnung: Ist dieser Vorfall erheblich? Koordiniert intern und steuert den Meldeprozess. Muss vorab benannt sein.
→ IRP-01 im Compliance Arbeitsplatz
Geschäftsführung
Information und Freigabe
Wird bei relevanter Wirkung eingebunden.§38 BSIG verlangt, dass geschäftsrelevante Entscheidungen, Restrisiken und Wiedervorlagen nachvollziehbar dokumentiert werden.
→ EVID-01 im Compliance Arbeitsplatz
Meldeverantwortung
Meldung ans BSI
Sendet die Meldung mit Zugang zum BSI-Portal. Nicht identisch mit der Vorfallverantwortung. Zeitstempel der Meldung ist Nachweis für Fristerfüllung.
→ IRSK-01 im Compliance Arbeitsplatz
Was vor dem Vorfall geregelt sein muss
Vorbereitung
Zuständigkeiten
Vorfallverantwortung benannt und dokumentiert
Einbindung der Geschäftsführung im Meldeprozess geregelt
BSI-Portal-Zugang vorhanden und geprüft
Dokumentation
§32-Meldeprotokoll vorbereitet
Zeitstempel-Logik bekannt und verstanden
Kenntnisnahme der Geschäftsführung dokumentierbar
Lieferanten
Meldewege zu kritischen Dienstleistern geregelt
Vertragliche Informationspflichten der Lieferanten bekannt
Systeme
Asset-Übersicht mit Kritikalität vorhanden
Betroffene Systeme im Vorfall schnell identifizierbar
§32-Notfallübung
Funktioniert der Meldeprozess auch unter Zeitdruck?
Die Fristen lassen sich schnell lesen. In der Livesimulation zeigt sich, ob Erheblichkeitsbewertung, Zugänge, Informationen, Rollen und Meldeumfänge im Ereignisfall tatsächlich zusammenwirken.
Eine Nacht · ein Vorfall · fünf Entscheidungen bis zur Meldung
Wenn ein erheblicher Sicherheitsvorfall vorliegt. Nach §2 Nr. 11 BSIG genügt bereits das Schadenspotenzial: Ein Vorfall ist erheblich, wenn dieser Vorfall einen schweren Schaden verursacht hat oder verursachen kann. Typische Signale sind eine wesentliche Betriebsunterbrechung, betroffene zentrale Dienste, Datenbezug, Kunden- oder Lieferantenwirkung und Hinweise auf eine böswillige Handlung. Nicht jede IT-Störung erreicht diese Schwelle.
Die 24-Stunden-Frist beginnt mit der Kenntnis vom erheblichen Sicherheitsvorfall — nicht mit dem ersten Alarm im Monitoring und nicht mit dem Beginn der Behebung. Auch unvollständige Kenntnis reicht aus. Der Umfang des Vorfalls muss zu diesem Zeitpunkt nicht abschließend bekannt sein. Der Zeitstempel der Kenntniserlangung muss dokumentiert werden.
Sechs Felder: der Zeitpunkt des ersten Erkennens, die betroffenen Systeme und Dienste, die erste erkennbare Wirkung, die verantwortliche Rolle, die eingeleiteten Sofortmaßnahmen und der Zeitpunkt der nächsten Bewertung. Diese Felder bilden die Grundlage der Meldebewertung. Die Ticketanlage startet die gesetzliche Frist nicht; das Ticket dokumentiert den Kenntnisstand.
Die frühe Erstmeldung ist eine Frühwarnung an das BSI. Diese Meldung enthält den Kenntnisstand: was bekannt ist, was vermutet wird und was ungeklärt ist. Dazu gehören der Zeitpunkt der Kenntniserlangung, die betroffenen Systeme und eine erste Wirkungseinschätzung. Eine vollständige Analyse ist nicht erforderlich. Auf Analyseergebnisse zu warten, gefährdet die Frist.
Die Folgemeldung enthält die erste belastbare Bewertung des Vorfalls: bekannte Ursachen, Art der betroffenen Systeme und Dienste, Auswirkungen, Kompromittierungsindikatoren, ergriffene Eindämmungs- und Sofortmaßnahmen und die aktuelle Einschätzung des Ausmaßes. Die Frist läuft 72 Stunden ab Kenntniserlangung.
Der Abschlussbericht ist einen Monat nach der 72-Stunden-Folgemeldung fällig — nicht einen Monat nach der Kenntniserlangung. Der Bericht enthält die vollständige Aufarbeitung: Ursache, Verlauf, Auswirkungen sowie ergriffene und geplante Maßnahmen. Dauert der Vorfall zu diesem Zeitpunkt noch an, ist zunächst ein Fortschrittsbericht abzugeben; der Abschlussbericht folgt nach der Bewältigung.
Wenn nach Prüfung kein erheblicher Vorfall festgestellt wird, muss die Entscheidung dokumentiert werden: Datum und Uhrzeit der Prüfung, geprüfte Kriterien, Ergebnis, Begründung und verantwortliche Rolle. Zusätzlich werden eine Wiedervorlage gesetzt und der Vorgang neu bewertet, falls neue Erkenntnisse entstehen. Stellt sich ein Vorfall später als erheblich heraus, beginnt die Frist mit der Kenntnis von der Erheblichkeit. Diese Dokumentation ist Nachweis der Sorgfalt im Sinne von §30 BSIG.
Nicht bei jedem. Die Geschäftsführung sollte eingebunden werden, wenn der Vorfall erheblich ist, Kundenwirkung entsteht, eine Meldeentscheidung ansteht oder ein wesentliches Restrisiko offenbleibt. Dokumentiert werden Informationsstand, Entscheidung, Kenntnisnahme, Auflagen und Wiedervorlage. Die Einordnung trifft die benannte Vorfallverantwortung; die Meldung an das BSI sendet die benannte Meldeverantwortung mit Zugang zum BSI-Portal.
Der reguläre Meldeweg führt über das BSI-Portal. Der Zugang entsteht in einer Kette: Zuerst wird ein ELSTER-Organisationszertifikat benötigt, damit das Mein Unternehmenskonto (MUK) eingerichtet werden kann. Der Zustellprozess für das MUK läuft postalisch und dauert mehrere Tage; im Ereignisfall lässt sich dieser Schritt nicht nachholen. Mit dem MUK erfolgt die Registrierung im BSI-Portal nach §33 BSIG. Ohne fertige Registrierung bleibt eine Meldung über das Online-Formular des BSI möglich.
Ja. ServiceNow, Jira Service Management, OTRS und vergleichbare Systeme können die sechs Ticketfelder abbilden. Entscheidend ist nicht das System, sondern ob Kenntniserlangung, Sicherheitsbezug, Wirkung, Verantwortung und Meldeentscheidung als strukturierte Felder geführt werden — nicht als Freitextnotizen.
Nächster Schritt
Meldebewertung oder §32-Meldung im Compliance Arbeitsplatz führen.
Erheblichkeit, Meldeentscheidung, Fristen, Geschäftsführungsinformation, Vorfallverantwortung und Wiedervorlage in einem nachvollziehbaren Vorgang führen.