§32 BSIG

NIS2-Meldepflicht

§32 BSIG etabliert eine dreistufige Meldekaskade – Frühwarnung in 24 Stunden, Meldung in 72 Stunden, Abschlussbericht in einem Monat.

Überblick

§32 BSIG setzt Artikel 23 der NIS2-Richtlinie in deutsches Recht um und verpflichtet alle besonders wichtigen und wichtigen Einrichtungen, erhebliche Sicherheitsvorfälle dem BSI zu melden. Die Meldepflicht folgt einer dreistufigen Kaskade mit verbindlichen Fristen – Versäumnisse sind bußgeldbewehrt.

Die Meldepflicht ist keine formale Übung. Das BSI nutzt die Meldungen zur Erstellung des nationalen Lagebilds, zur Warnung anderer betroffener Einrichtungen und ggf. zur Koordination grenzüberschreitender Reaktionen über das EU-CSIRTs-Netzwerk. Unvollständige oder verspätete Meldungen untergraben diesen Mechanismus und ziehen eigenständige Sanktionen nach sich.

Drei-Stufen-Meldekaskade
Jeder erhebliche Sicherheitsvorfall durchläuft drei Meldestufen mit verbindlichen Fristen ab Kenntniserlangung.
1

Frühwarnung

24 Stunden

Erste Meldung an das BSI innerhalb von 24 Stunden nach Kenntniserlangung vom Vorfall. Fokus auf Sofortinformationen zur Ermöglichung einer koordinierten Reaktion.

  • Angabe, ob der Vorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist
  • Einschätzung, ob grenzüberschreitende Auswirkungen möglich sind
  • Erste Klassifizierung der Vorfallart
  • Kontaktdaten der meldenden Stelle
2

Aktualisierte Meldung

72 Stunden

Erweiterte Meldung innerhalb von 72 Stunden mit vertiefter Analyse des Vorfalls. Aktualisierung der Frühwarnung um verfügbare Erkenntnisse.

  • Bewertung der Schwere des Vorfalls und seiner Auswirkungen
  • Indikatoren für eine Kompromittierung (IoCs), sofern verfügbar
  • Erste Ursachenanalyse
  • Bisher ergriffene und geplante Gegenmaßnahmen
  • Aktualisierte Einschätzung der grenzüberschreitenden Auswirkungen
3

Abschlussbericht

1 Monat

Umfassender Abschlussbericht innerhalb eines Monats nach der aktualisierten Meldung. Vollständige Dokumentation des Vorfalls und der Reaktion.

  • Detaillierte Beschreibung des Vorfalls einschließlich Schweregrad und Auswirkungen
  • Bestätigte Ursache des Vorfalls
  • Ergriffene und laufende Abhilfemaßnahmen
  • Grenzüberschreitende Auswirkungen, sofern zutreffend
  • Erkenntnisse und präventive Maßnahmen für die Zukunft
Erheblichkeitskriterien
Ein Sicherheitsvorfall gilt als erheblich, wenn mindestens eines der folgenden Kriterien erfüllt ist.

Schwerwiegende Betriebsstörung

Der Vorfall hat eine schwerwiegende Störung der Erbringung der betroffenen Dienste verursacht oder kann eine solche verursachen.

Finanzielle Verluste

Der Vorfall hat erhebliche finanzielle Verluste für die betroffene Einrichtung verursacht oder kann solche verursachen.

Ausbreitung auf Dritte

Der Vorfall hat andere natürliche oder juristische Personen beeinträchtigt oder kann diese beeinträchtigen, indem er beträchtlichen materiellen oder immateriellen Schaden verursacht.

Datenschutzverletzung

Der Vorfall betrifft die Vertraulichkeit, Integrität oder Verfügbarkeit erheblicher Datenmengen, einschließlich personenbezogener Daten.

Dauer und Reichweite

Der Vorfall betrifft Dienste in mehreren Mitgliedstaaten oder eine große Anzahl von Nutzern über einen längeren Zeitraum.

Pflichtangaben der Meldung
Jede Meldung an das BSI muss die folgenden Kernangaben enthalten.

  • Einrichtungsdaten

    Name, Anschrift, Registrierungsnummer beim BSI, Kontaktdaten des zuständigen Ansprechpartners, Sektor und betroffene Dienste.

  • Art des Vorfalls

    Klassifizierung des Vorfalls (z.B. Ransomware, DDoS, Datenpanne, Phishing-Kampagne), betroffene Systeme und Dienste, Zeitpunkt der Erkennung.

  • Auswirkungen

    Betroffene Dienste und deren Einschränkung, Anzahl betroffener Nutzer, geschätzte finanzielle Auswirkungen, Dauer der Beeinträchtigung.

  • Grenzüberschreitende Auswirkungen

    Einschätzung, ob der Vorfall Auswirkungen auf andere EU-Mitgliedstaaten hat oder haben könnte. Angabe betroffener Länder und Sektoren.

  • Gegenmaßnahmen

    Bereits ergriffene Sofortmaßnahmen, geplante weitere Maßnahmen, eingebundene externe Dienstleister und Behörden.

Meldewege
Meldungen erfolgen an das BSI als zuständige nationale Behörde.

Alle Meldungen nach §32 BSIG sind an das BSI zu richten – über das Online-Meldeportal des BSI. Das BSI leitet bei grenzüberschreitenden Vorfällen Informationen an das EU-CSIRTs-Netzwerk und die betroffenen nationalen Behörden weiter.

Betreiber kritischer Anlagen (KRITIS) unterliegen zusätzlich den Meldepflichten nach §31 BSIG, die über die NIS2-Meldepflichten hinausgehen können. Für Einrichtungen, die gleichzeitig der DSGVO unterliegen, können parallele Meldepflichten an Datenschutzaufsichtsbehörden bestehen.

Sanktionen bei Meldeverstößen
Die Nichtmeldung oder verspätete Meldung erheblicher Sicherheitsvorfälle ist eigenständig bußgeldbewehrt.

Bis 10 Mio. EUR

Besonders wichtige Einrichtungen

Oder 2% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist.

Bis 7 Mio. EUR

Wichtige Einrichtungen

Oder 1,4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist.

Persönliche Haftung

Geschäftsleitung (§38 BSIG)

Wenn die Geschäftsleitung von einem Vorfall Kenntnis hatte und die Meldung nicht sichergestellt hat, begründet dies einen Überwachungsverstoß nach §38 BSIG mit persönlicher Haftungsfolge.

Quellen
  • BSIG – §31, §32, §38, §65 – Meldepflichten, Geschäftsführerhaftung, Bußgeldvorschriften
  • NIS2-Richtlinie (EU) 2022/2555 – Artikel 23: Berichtspflichten
  • Durchführungsverordnung (EU) 2024/2690 – Artikel 3–5: Erheblichkeitskriterien
  • BSI – Meldeportal und Meldeverfahren für Sicherheitsvorfälle
  • BMI – NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz: Gesetzesbegründung zu §32
Meldepflichten systematisch erfüllen
Die Plattform strukturiert Ihre Vorfallbehandlung nach §32 BSIG – mit Fristüberwachung, Meldevorlagen und automatischer Eskalation bei drohender Fristüberschreitung.
NIS2-Compliance starten