In einem Satz. NIS2 etabliert eine dreistufige Meldekaskade an das BSI: Frühwarnmeldung binnen 24 Stunden ab Verdacht, Vollmeldung binnen 72 Stunden, Abschlussbericht binnen 1 Monat — zusätzlich zur DSGVO-Meldung an Datenschutzbehörden, mit eigenen Inhalten und über die BSI-Meldeplattform.
NIS2-Meldekaskade ist eine der härtesten Pflichten der Verordnung. Siehe ergänzend DSGVO Art. 33 und NIS2 Deutschland sowie unseren Überblick zu den NIS2UmsuCG-Anforderungen 2026.
Wichtige Punkte
- 24h Frühwarnmeldung (Early Warning).
- 72h Vollmeldung (Incident Notification).
- 1 Monat Abschlussbericht (Final Report).
- Meldung über BSI-Meldeplattform.
- Doppelmeldung BSI + DSGVO möglich.
1. Schwellenwert “erheblicher Vorfall”
Meldung erforderlich bei:
- Schwerwiegende Betriebsstörung.
- Finanzielle Verluste signifikant.
- Erhebliche materielle/immaterielle Schäden für Dritte.
RTS (Regulatory Technical Standards) konkretisieren.
2. 24h-Frühwarnmeldung
Inhalt minimal:
- Verdacht eines erheblichen Vorfalls.
- Vermutete Ursache.
- Vermutete Auswirkungen.
- Erste Bewertung Sicherheitsverletzung.
- Kontakt.
3. 72h-Vollmeldung
Erweiterte Information:
- Bestätigung Vorfall.
- Detaillierte Beschreibung.
- Bisherige Maßnahmen.
- Auswirkungen (Kunden, Daten, Services).
- Vermutete Bedrohungsakteure.
4. 1-Monats-Abschlussbericht
Vollständige Aufarbeitung:
- Root Cause Analysis.
- Implementierte Maßnahmen.
- Lessons Learned.
- Verbesserungen ISMS.
- Kosten/Schaden-Bewertung.
5. BSI-Meldeplattform
- Online unter meldungen.bsi.bund.de.
- Authentisierung mit Zertifikat.
- Strukturierte Eingabeformulare.
- Anhängen von Dokumenten möglich.
- Audit-Trail.
6. Doppelmeldung Datenschutz
Wenn Vorfall personenbezogene Daten betrifft: zusätzlich DSGVO Art. 33-Meldung an zuständige Datenschutzbehörde (72h-Frist). Inhalte unterscheiden sich:
- BSI-Meldung: Cybersicherheits-Fokus.
- DSGVO-Meldung: Betroffenen-Fokus.
7. Spezifika für Sektoren
| Sektor | Zusätzliche Meldewege |
|---|---|
| Energie | BNetzA |
| Banken | BaFin (DORA) |
| Gesundheit | Landesgesundheitsamt |
| Wasser | Landesgesundheitsamt |
| Transport | BMDV |
| Trust Services | BSI als Auditor |
8. Praktische Prozesse
- Incident-Response-Plan mit BSI-Meldung als Schritt.
- Vorbereitete Meldevorlagen.
- 24/7-Erreichbarkeit der zuständigen Person.
- Eskalations-Matrix mit Geschäftsleitung.
- Übung mindestens jährlich.
9. Typische Fehler
- Verspätete Meldung.
- Unklare “Verdachts”-Definition.
- Mangelnde Information Geschäftsleitung.
- Doppelmeldung DSGVO vergessen.
- Fehlende Phasenmeldung bei Erkenntnisstand.
10. Sanktionen
- Bußgeld bis 10 Mio. € / 2% Konzernumsatz für wesentliche Einrichtungen.
- Persönliche Geschäftsführer-Haftung.
- BSI kann Audits anordnen.
- Bei systematischen Verstößen: Geschäftsleitungs-Anordnungen.
11. Tool-Unterstützung
Legiscope bietet Incident-Response-Workflow mit BSI- und DSGVO-Meldungen, Templates und 24h-Timer.
11. Konkrete Pflichten und Deadlines
| Pflicht | Frist / Schwellenwert | Rechtsgrundlage |
|---|---|---|
| Registrierungspflicht beim BSI | bis 17.4.2025 bzw. 3 Monate nach Identifizierung | § 32 NIS2UmsuCG |
| Erstmeldung Incident | binnen 24 h | § 35 NIS2UmsuCG |
| Zwischenbericht | binnen 72 h | § 35 NIS2UmsuCG |
| Abschlussbericht | binnen 1 Monat | § 35 NIS2UmsuCG |
| Risikomanagement implementiert | sofort wirksam | § 30 NIS2UmsuCG |
| Geschäftsleitungs-Schulung | jährlich | § 38 NIS2UmsuCG |
| Lieferanten-Risikobewertung | jährlich | § 30 NIS2UmsuCG |
| Audit / Nachweis | alle 2 Jahre | § 39 NIS2UmsuCG |
KRITIS-Sektoren mit niedrigeren Schwellenwerten (Energie, Wasser, Gesundheit, Finanz, ITK) sind zusätzlich dem BSI-Gesetz § 8a unterworfen.
12. KRITIS-Schwellenwerte
Nach BSI-KritisV (zuletzt geändert 2025):
- Energie: Stromerzeugung > 420 MW; Gasnetz > 5,2 Mrd. kWh/Jahr.
- Wasser: > 22 Mio. m³/Jahr Trinkwasser oder > 500.000 Einwohner.
- Gesundheit: Krankenhäuser > 30.000 vollstationäre Fälle/Jahr.
- Finanz: Banken > 80 Mrd. € Bilanzsumme oder Zahlungsverkehr.
- ITK: > 100.000 Teilnehmer Telekommunikation; > 25 Mio. Domains DNS.
- Transport: Flughäfen > 20 Mio. Passagiere; Häfen > 100 Mio. t.
Unterhalb der KRITIS-Schwellen kann NIS2 trotzdem greifen, wenn Einrichtung als “wesentlich” oder “wichtig” nach Anhang I/II NIS2-Richtlinie eingestuft ist.
13. Sanktionstiere
| Verstoß | Sanktion wesentliche Einrichtung | Sanktion wichtige Einrichtung |
|---|---|---|
| Risikomanagement | bis 10 Mio. € oder 2 % Konzernumsatz | bis 7 Mio. € oder 1,4 % |
| Meldepflicht | bis 10 Mio. € oder 2 % | bis 7 Mio. € oder 1,4 % |
| Registrierungspflicht | bis 100.000 € | bis 100.000 € |
| Verletzung Audit-Pflicht | bis 5 Mio. € | bis 3 Mio. € |
| Persönliche Haftung Geschäftsleitung | ja (§ 38) | ja |
Zusätzlich kann das BSI Anordnungen erlassen, Tätigkeitsverbote aussprechen und Zertifizierungen widerrufen.
14. BSI-Leitfäden und BaFin-Guidance
Relevante Dokumente:
- BSI Orientierungshilfe zur Umsetzung NIS2 (Stand 2025).
- BSI IT-Grundschutz-Kompendium, Edition 2024.
- BSI Cyber-Sicherheits-Check für Geschäftsleitung.
- BSI Handlungsempfehlungen für die Lieferkette (Supply Chain Security).
- BaFin Merkblatt zu DORA für Finanzinstitute.
- BaFin BAIT/VAIT/KAIT (sektorale Aufsichtsanforderungen).
- ENISA Guidelines on Cybersecurity Risk Management (EU-Ebene).
Wer ISO 27001 oder BSI-Grundschutz bereits implementiert hat, kann diese als Nachweis verwenden.
15. Integration mit bestehenden Standards
NIS2-Umsetzung ist effizienter, wenn vorhandene Standards integriert werden:
- ISO 27001:2022 → ca. 80 % NIS2-Abdeckung.
- BSI IT-Grundschutz Standard-Absicherung → ca. 85 %.
- ISO 22301 (BCM) → ergänzt Resilienz-Anforderungen.
- ISO 27701 (PIMS) → Schnittstelle zu DSGVO.
- TISAX → für Automotive-Lieferanten.
Mapping-Tabellen reduzieren Dokumentations-Aufwand erheblich. Audit-Kombination ISO 27001 + NIS2-Nachweis ist Standardpraxis.
16. Supply-Chain-Implikationen
NIS2 fordert in § 30 explizit Lieferketten-Risikomanagement. Praktische Umsetzung:
- Lieferanteninventar mit Kritikalitäts-Einstufung (A/B/C-Klassen).
- Vertragsklauseln zu Cybersecurity-Mindestanforderungen.
- Audit-Recht bei kritischen Lieferanten.
- Notfall-Übungen mit Schlüssel-Lieferanten.
- Backup-Lieferanten für KRITIS-Funktionen.
- Pflicht zur Meldung von Vorfällen beim Lieferanten innerhalb von 24-72 h.
- Sub-Lieferanten-Transparenz (n-tier visibility).
Kleine Zulieferer geraten dadurch unter indirekten NIS2-Druck — viele KMU werden in 2026 zertifizierungspflichtig durch Kundenverträge.
17. Sektor-spezifische Beispiele
| Sektor | Typischer Anwendungsfall NIS2 | Pflichtige Akteure |
|---|---|---|
| Energie | Smart-Meter-Gateway, Leitstellen | Stadtwerke, Übertragungsnetzbetreiber |
| Wasser | SCADA-Steuerungen, Aufbereitung | Wasserwerke, Abwasser |
| Gesundheit | KIS, PACS, Telematik-Infrastruktur | Krankenhäuser, Praxisnetze |
| Finanz | Core-Banking, Online-Banking | Banken, Zahlungsdienstleister |
| ITK | DNS, Cloud, Rechenzentren | Hoster, Telco, ISPs |
| Transport | Logistik-IT, Buchungssysteme | Bahn, Häfen, Flughäfen |
| Verwaltung | Bürgerportale, ELSTER | Bund, Länder, Kommunen |
| Lebensmittel | Lieferketten-IT | Großhandel, Produktion |
Pflichtige Akteure sollten zusätzlich DSGVO Art. 32 Sicherheit und Datenpannenmeldung (Datenpanne melden) kohärent integrieren.
Fazit
NIS2-Meldekaskade ist Härtetest jeder Incident-Response-Fähigkeit. 24h-Frühwarnmeldung erfordert vorbereitete Prozesse — wer erst im Ernstfall improvisiert, scheitert. Übung und automatisiertes Tooling sind alternativlos.
FAQ
Wann beginnt die 24h-Frist?
Ab Kenntnis eines vermuteten erheblichen Vorfalls — nicht erst ab Bestätigung.
Was ist ein erheblicher Vorfall?
Schwerwiegende Betriebsstörung, signifikante finanzielle Verluste, erhebliche Drittschäden. RTS konkretisieren.
Muss ich doppelt melden (BSI + DSGVO)?
Bei personenbezogenen Daten: ja. BSI-Meldung über meldungen.bsi.bund.de, DSGVO-Meldung an zuständige Datenschutzbehörde.
Was wenn ich die 24h-Frist verpasse?
Sofort melden mit Begründung der Verzögerung. Mögliche Sanktionen, aber kein automatischer Ausschluss.
Welche Form hat die Meldung?
Online über BSI-Meldeplattform mit strukturierten Formularen. Notfall-Hotline für Schwere Fälle: 0800 274 1000.
Welche Sanktionen drohen Geschäftsführern persönlich?
§ 38 NIS2UmsuCG sieht persönliche Haftung der Geschäftsleitung vor — bei Verletzung der Sorgfaltspflichten haftet die Person mit ihrem Privatvermögen für Schäden des Unternehmens. Zusätzlich: Tätigkeitsverbote durch das BSI (§ 39 NIS2UmsuCG). D&O-Versicherungen decken NIS2-Haftung nur eingeschränkt — explizite Cyber-Klausel erforderlich. Pflichtschulung jährlich (§ 38) ist nicht delegierbar.
Wie unterscheiden sich wesentliche und wichtige Einrichtungen?
Wesentliche Einrichtungen (Anhang I NIS2): KRITIS-Sektoren mit hoher Kritikalität — strengere Aufsicht, höhere Sanktionen (bis 10 Mio. € / 2 % Konzernumsatz). Wichtige Einrichtungen (Anhang II): mittlere Kritikalität — reaktive Aufsicht, Sanktionen bis 7 Mio. € / 1,4 %. Größenschwelle: > 250 Mitarbeitende oder > 50 Mio. € Umsatz oder > 43 Mio. € Bilanzsumme. Einstufung obliegt dem BSI nach §§ 28-29 NIS2UmsuCG.
Wie integriere ich NIS2 mit DORA und DSGVO?
DORA (EU-VO 2022/2554) gilt für Finanzsektor und ist lex specialis gegenüber NIS2 — Finanzinstitute brauchen DORA-Compliance, dürfen aber NIS2-Maßnahmen anrechnen. DSGVO Art. 32 fordert TOM, NIS2 fordert Cyber-Sicherheit insgesamt — Überschneidung > 60 %. Beste Praxis: ein integriertes ISMS nach ISO 27001 / BSI-Grundschutz, das alle drei Regelwerke abdeckt.
Welche Meldewege bestehen beim BSI?
Online-Portal “Meldungen” auf bsi.bund.de mit BSI-MeldeAPI. Pflicht: Erstmeldung 24 h (kurze Faktenmeldung), Zwischenbericht 72 h (Ursachen, Auswirkungen), Abschlussbericht 1 Monat (Lessons Learned, Maßnahmen). Bei gleichzeitiger Datenpanne (Datenpanne melden): zusätzlich Meldung an Datenschutzbehörde. Doppelmeldungen sind häufig — getrennte Workflows einrichten.
Wie hoch sind die Implementierungskosten?
Mittleres Unternehmen (250-500 MA): Erstimplementierung 200.000-500.000 €, jährlich 80.000-200.000 €. Großbetrieb (> 5.000 MA): 1-5 Mio. € Erstaufwand, 500.000-2 Mio. € jährlich. Wer ISO 27001 hat, spart 60-70 %. Investitionen amortisieren sich typisch nach 2-3 Jahren über reduzierte Vorfallskosten und niedrigere Versicherungsprämien (10-20 % Rabatt).
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial