- Bedeutung
- Pflicht zur Meldung erheblicher Sicherheitsvorfälle
- Stufen
- Frühwarnung 24 Std. → Meldung 72 Std. → Abschluss 1 Monat
- Empfänger (DE)
- BSI über das BSI-Portal
- Auslöser
- Nur erhebliche Vorfälle
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist die Meldepflicht?
Die Meldepflicht verpflichtet betroffene Unternehmen, erhebliche Sicherheitsvorfälle der zuständigen Behörde zu melden. Ziel ist es, dass Behörden früh reagieren, betroffene Dritte gewarnt und ähnliche Angriffe in der gesamten Wirtschaft verhindert werden können. Unter NIS2, in Deutschland seit dem 6. Dezember 2025 in Kraft, ist die Meldung bewusst mehrstufig aufgebaut: So bekommt die Behörde sehr schnell ein erstes Lagebild, das im weiteren Verlauf präzisiert wird, statt erst nach Wochen einen einzigen vollständigen Bericht zu erhalten.
Die drei Meldestufen im Detail
- Frühwarnung (binnen 24 Stunden): erste, knappe Information, dass ein erheblicher Vorfall vorliegt – inklusive eines Hinweises, ob ein rechtswidriger oder grenzüberschreitender Hintergrund vermutet wird.
- Vorfallsmeldung (binnen 72 Stunden): erste belastbare Bewertung von Schwere, Auswirkungen und – soweit bekannt – Ursache sowie bereits ergriffene Sofortmaßnahmen.
- Abschlussbericht (binnen 1 Monat): vollständige Darstellung von Ursache, Auswirkungen und dauerhaften Gegenmaßnahmen.
Meldekette auf einen Blick
Die Uhr läuft ab Kenntnisnahme. Jede Stufe baut auf der vorherigen auf – die nachstehende Tabelle zeigt, was bis wann beim BSI eingehen muss:
| Stufe | Frist (ab Kenntnis) | Inhalt |
|---|---|---|
| 1. Frühwarnung | 24 Stunden | Kurzmeldung, dass ein erheblicher Vorfall vorliegt; Hinweis auf vermuteten rechtswidrigen oder grenzüberschreitenden Hintergrund. |
| 2. Meldung | 72 Stunden | Bewertung von Schwere und Auswirkungen, Indikatoren für Kompromittierung, bereits ergriffene Sofortmaßnahmen. |
| 3. Abschlussbericht | 1 Monat | Vollständige Ursachenanalyse, Gesamtauswirkung, dauerhafte Gegenmaßnahmen; bei andauerndem Vorfall zunächst ein Zwischenbericht. |
Checkliste: Ist mein Vorfall meldepflichtig?
Mehrere Häkchen? Dann läuft die 24-Stunden-Uhr. Im Zweifel meldet man lieber.
- ☐ Liegt eine erhebliche Störung der Verfügbarkeit, Integrität oder Vertraulichkeit vor?
- ☐ Sind Betriebsausfall, finanzieller Schaden oder ein größerer Datenabfluss eingetreten oder absehbar?
- ☐ Könnten andere natürliche oder juristische Personen geschädigt werden?
- ☐ Ist die eigene Einrichtung als wesentlich oder wichtig unter NIS2 eingestuft?
- ☐ Sind BSI-Portal-Zugang und Meldeverantwortliche erreichbar – auch am Wochenende?
Wann ist ein Vorfall „erheblich"?
Meldepflichtig sind ausschließlich erhebliche Vorfälle – etwa solche mit längeren Ausfällen, großem Datenabfluss, spürbaren finanziellen Schäden oder vielen betroffenen Nutzern. Kleinere Störungen lösen die Meldepflicht nicht aus, sollten aber intern dokumentiert werden, damit im Zweifel nachvollziehbar bleibt, warum nicht gemeldet wurde.
Wer ist Empfänger der Meldung?
In Deutschland laufen die Meldungen über das BSI-Portal an das BSI als zuständige Behörde. Der Zugang erfolgt in der Regel über Mein Unternehmenskonto (ELSTER). Da die Registrierung der Einrichtungen bereits seit dem 6. März 2026 fällig war – die Erstfrist ist abgelaufen, eine Nachregistrierung bleibt möglich –, sollten Account und Zugänge eingerichtet sein, bevor der erste Vorfall eintritt.
Was müssen Sie konkret tun?
- Richten Sie vorab den Zugang über BSI-Portal und Mein Unternehmenskonto (ELSTER) ein – nicht erst im Vorfall.
- Benennen Sie Meldeverantwortliche mit klarer Vertretung, erreichbar rund um die Uhr.
- Halten Sie Textbausteine für 24-h-, 72-h- und 1-Monats-Meldung griffbereit.
- Starten Sie bei Verdacht sofort eine Zeitleiste: Wer hat wann was bemerkt?
- Verknüpfen Sie die Meldung mit Ihrem Incident Response Plan, damit Abwehr und Meldung parallel laufen.
Ein Vorfall am Freitagabend
Freitag, 22:14 Uhr. Ein Energieversorger bemerkt, dass Ransomware die Leitstellen-Software verschlüsselt hat. Während das eine Team noch in derselben Nacht die kompromittierten Systeme isoliert, formuliert das andere parallel die Frühwarnung und setzt sie vor Ablauf der 24 Stunden über das BSI-Portal ab; am Montag folgt fristgerecht die 72-Stunden-Meldung mit einer ersten Schadensbewertung, und vier Wochen später geht der Abschlussbericht mit vollständiger Ursachenanalyse und den dauerhaften Härtungsmaßnahmen ein. Entscheidend war nicht Glück. Rollen, Zugänge und Vorlagen lagen bereit, bevor der Angriff begann.
Was droht bei Verstößen?
Wer Meldepflichten verletzt, riskiert empfindliche Bußgelder: bei wesentlichen Einrichtungen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Mio. EUR oder 1,4 %. Hinzu kommt – über die Governance-Pflichten – die persönliche Verantwortung der Leitungsebene. Ein vorbereiteter Incident Response Plan hilft, die Fristen sicher einzuhalten.
Weiterführende Quelle: NIS2-Richtlinie (EU) 2022/2555, Berichtspflichten nach Art. 23
Häufige Fragen
Welche Fristen gelten bei der NIS2-Meldepflicht?
Die NIS2-Meldepflicht ist seit dem 06.12.2025 dreistufig getaktet, jeweils ab Kenntnis des Vorfalls: Zuerst eine Frühwarnung binnen 24 Stunden, dann eine ausführlichere Vorfallsmeldung mit erster Bewertung binnen 72 Stunden und schließlich ein Abschlussbericht binnen eines Monats. Dauert der Vorfall an, tritt zunächst ein Zwischenbericht an die Stelle des Abschlussberichts. Adressat in Deutschland ist das BSI über das BSI-Portal.
Welche Vorfälle sind meldepflichtig?
Meldepflichtig nach NIS2 sind ausschließlich erhebliche Sicherheitsvorfälle, etwa solche mit längeren Betriebsausfällen, großem Datenabfluss, spürbarem finanziellem Schaden oder vielen betroffenen Nutzern. Kleinere Störungen lösen keine Meldung aus, sollten aber intern dokumentiert werden, damit nachvollziehbar bleibt, warum nicht gemeldet wurde. Wer eine erhebliche Meldung versäumt, riskiert Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes.
Wo meldet man Vorfälle in Deutschland?
In Deutschland laufen die Meldungen über das BSI-Portal an das BSI als zuständige Behörde. Der Zugang erfolgt in der Regel über Mein Unternehmenskonto (ELSTER), weshalb der Account vorab eingerichtet sein sollte. Die Registrierung betroffener Einrichtungen war bereits am 06.03.2026 fällig; diese Erstfrist ist abgelaufen, eine Nachregistrierung bleibt aber möglich. Account und Zugänge sollten stehen, bevor der erste Vorfall eintritt.