Erheblicher Vorfall einfach erklärt

Was ist ein erheblicher Vorfall?

Ein erheblicher Vorfall (Significant Incident) ist ein Incident, der gravierende Auswirkungen hat – etwa längere Ausfälle, großen Datenabfluss oder viele betroffene Nutzer. Erst diese Schwere macht einen Vorfall überhaupt meldepflichtig. Der Begriff ist damit die Schwelle, die darüber entscheidet, ob die NIS2-Meldekette ausgelöst wird oder nicht: Ein gewöhnlicher Incident bleibt eine interne Angelegenheit, ein erheblicher Vorfall wird zur Behördenpflicht.

Wann ein Vorfall „erheblich" ist

Maßgeblich sind unter anderem die Dauer der Störung, die Zahl der betroffenen Personen oder Kunden, mögliche finanzielle Schäden, der Abfluss sensibler Daten und Auswirkungen auf andere Einrichtungen oder die Versorgung. Da NIS2 keine starre Punktzahl vorgibt, sondern es Ihrer Einrichtung überlässt, die Erheblichkeit anhand der Umstände zu beurteilen, sollten Sie diese Faktoren bereits vor dem ersten Ernstfall in eigene, dokumentierte Schwellenwerte übersetzen, weil sonst genau in der ohnehin knappen 24-Stunden-Frist wertvolle Minuten durch interne Diskussionen verloren gehen.

Entscheidungs-Checkliste: Ist der Vorfall erheblich?

Mindestens ein klares Ja genügt in der Regel, um die Meldekette auszulösen. Im Zweifel: melden.

• Schwerwiegende Betriebsstörung? Zentraler Dienst über längere Zeit ausgefallen oder massiv beeinträchtigt → eher Ja. Kurze, selbst behobene Störung ohne Kundenwirkung → eher Nein.
• Erheblicher finanzieller Schaden? Spürbarer Umsatz-, Lösegeld- oder Wiederherstellungsschaden für die Einrichtung → Ja. Vernachlässigbare Kosten → Nein.
• Betroffenheit Dritter? Kunden, Lieferanten, andere Einrichtungen oder die Versorgung der Allgemeinheit sind tangiert → Ja. Rein intern begrenzt → Nein.
• Abfluss sensibler Daten? Personenbezogene oder geschäftskritische Daten sind abgeflossen oder manipuliert → Ja. Kein Datenzugriff erkennbar → Nein.
• Viele Betroffene oder Wiederholung? Große Nutzerzahl betroffen oder vorsätzlicher bzw. wiederholter Angriff → Ja. Einzelfall ohne Breitenwirkung → Nein.

Folge: Meldepflicht

Liegt ein erheblicher Vorfall vor, greift die dreistufige Meldepflicht mit Frühwarnung (24 Std.), Vorfallsmeldung (72 Std.) und Abschlussbericht (1 Monat). Abzugrenzen ist der eingetretene Vorfall von der erheblichen Cyberbedrohung, also einer Gefahr, die noch nicht zum Schaden geführt hat.

Zwei Fälle, eine Schwelle

Szenario: Ein Online-Händler bemerkt, dass über eine Schwachstelle Kundendaten von rund 40.000 Konten abgeflossen sind. Datenabfluss plus viele Betroffene – zwei klare Ja auf der Checkliste. Das Team stuft den Vorfall in Minuten als erheblich ein und startet die Meldekette. Eine kurze Lastspitze im Webshop am Vortag dagegen blieb unter jeder Schwelle, beeinträchtigte keinen Kunden und wurde lediglich intern protokolliert. Derselbe Maßstab, zwei gegensätzliche Ergebnisse.

Was müssen Sie konkret tun?

Sobald die Checkliste ein Ja zeigt, zählt jede Minute. Diese Schritte gehören in den Ablauf:

• Einstufung dokumentieren: Zeitpunkt der Erkennung und das ausschlaggebende Kriterium kurz festhalten – das belegt später die fristgerechte Bewertung.
• Frühwarnung absetzen: binnen 24 Stunden über das BSI-Portal melden (bei NIS2-Pflicht und noch fehlender Registrierung ist die Nachregistrierung weiterhin möglich).
• Vorfall eindämmen: betroffene Systeme isolieren und Beweise sichern, parallel zur Meldung.
• Fristen nachhalten: Vorfallsmeldung nach 72 Stunden, Abschlussbericht nach einem Monat einplanen.
• Plan auslösen: den Incident Response Plan aktivieren, damit Rollen und Eskalation sofort greifen.

Wer hier zögert, riskiert Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (wesentliche Einrichtungen) beziehungsweise 7 Mio. EUR oder 1,4 % (wichtige Einrichtungen). Klare Kriterien sparen genau diese Diskussionszeit.

Weiterführende Quelle: NIS2-Richtlinie (EU) 2022/2555, Kriterien für erhebliche Vorfälle (Art. 23)