Die NIS2-Richtlinie verpflichtet betroffene Unternehmen zur unverzüglichen Meldung erheblicher Sicherheitsvorfälle an die zuständige Stelle. Diese Meldepflicht ist einer der zentralen Aspekte von NIS2 und dient der europaweiten Frühwarnung vor Cyberbedrohungen.
Im Gegensatz zur DSGVO (wo nur Datenschutzverletzungen gemeldet werden) erfasst NIS2 nicht nur Datenschutzvorfälle, sondern alle erheblichen Sicherheitsvorfälle – also jeden Vorfall, der den Betrieb oder die Nutzer erheblich beeinträchtigt (Art. 23 Abs. 3 NIS2-Richtlinie).
Welche Vorfälle müssen gemeldet werden?
Meldepflichtig sind Sicherheitsvorfälle, die erhebliche Auswirkungenhaben oder haben könnten:
- Ransomware-Angriffe (auch wenn kein Lösegeld gezahlt wird)
- DDoS-Attacken, die Dienste beeinträchtigen
- Datenlecks (überschneidet sich mit DSGVO-Meldepflicht)
- Systemausfälle durch Cyberangriffe
- Kompromittierung kritischer Systeme (z.B. Produktionssteuerung)
- Supply-Chain-Attacken (Angriffe über Zulieferer/Dienstleister)
Wichtig: Die Meldepflicht gilt ab Bekanntwerden eines erheblichen Vorfalls – auch wenn das volle Ausmaß noch nicht bekannt ist!
Der 3-stufige Meldeprozess
Stufe 1: Frühwarnung (binnen 24 Stunden)
Sobald ein meldepflichtiger Vorfall bekannt wird, muss eine Frühwarnungan die zuständige Behörde erfolgen. Diese enthält:
- Verdacht auf rechtswidrige oder böswillige Handlung (Pflichtangabe nach Art. 23 Abs. 4 lit. a)
- Mögliche grenzüberschreitende Auswirkungen (Pflichtangabe nach Art. 23 Abs. 4 lit. a)
- Art des Vorfalls (z.B. Ransomware, DDoS) – empfohlen
- Zeitpunkt der Entdeckung – empfohlen
- Betroffene Systeme/Dienste (grob) – empfohlen
- Einschätzung der Auswirkungen (soweit bekannt) – empfohlen
Stufe 2: Detailmeldung (binnen 72 Stunden)
Nach erster Analyse muss eine detaillierte Meldung nachgereicht werden:
- Aktualisierte Bewertung des Sicherheitsvorfalls (Schweregrad, Auswirkungen)
- Genaue Auswirkungen (Betrieb, Nutzer, Daten)
- Indicators of Compromise (IoCs), soweit verfügbar
- Grenzüberschreitende Auswirkungen (falls zutreffend)
- Ursachen und Angriffsvektoren – empfohlen (verpflichtend erst im Abschlussbericht gemäß Art. 23 Abs. 4 lit. d)
- Bereits ergriffene Maßnahmen – empfohlen (verpflichtend erst im Abschlussbericht)
Stufe 3: Abschlussbericht (binnen 1 Monat)
Nach vollständiger Aufklärung muss ein Abschlussbericht eingereicht werden. Die Frist beginnt ab der Detailmeldung:
- Detaillierte Beschreibung des Vorfalls
- Root-Cause-Analyse: Ursache bzw. Bedrohungstyp
- Ergriffene und laufende Abhilfemaßnahmen
- Grenzüberschreitende Auswirkungen (falls zutreffend)
Best Practice (nicht gesetzlich vorgeschrieben): Lessons Learned dokumentieren und intern auswerten.
Zwischenbericht und Sonderregelungen
Zwischenbericht auf Anforderung: Die zuständige Behörde kann jederzeit einen Zwischenbericht über den aktuellen Stand anfordern (Art. 23 Abs. 4 lit. c).
Andauernde Vorfälle: Bei zum Fristende noch nicht abgeschlossenen Vorfällen wird zunächst ein Fortschrittsbericht eingereicht. Der finale Abschlussbericht ist dann binnen 1 Monat nach Ende des Vorfalls fällig (Art. 23 Abs. 4 lit. e).
Zuständige Behörden
Die Meldung erfolgt an die jeweils zuständige nationale Stelle – in Deutschland an die gemeinsame Meldestelle von BSI und BBK (operativ über das BSI-Meldeportal), in Österreich an das zuständige CSIRT (CERT.at; das mit dem NISG 2026 errichtete Bundesamt für Cybersicherheit nimmt seine Aufgaben ab dem 1. Oktober 2026 wahr), in der Schweiz an das BACS.
→ Kontaktdaten, Websites und Details zu allen DACH-Behörden
Strafen bei Verstoß gegen Meldepflichten
Wer Sicherheitsvorfälle nicht, zu spät oder unvollständig meldet, riskiert empfindliche Bußgelder und persönliche Haftung der Geschäftsleitung. Behörden können Verstöße zudem öffentlich machen.
→ Vollständige Übersicht der NIS2-Bußgelder und Haftungsregeln
Best Practices für die Meldung
1. Incident-Response-Plan erstellen
Definieren Sie vorab, wer im Notfall welche Rolle hat:
- Incident Response Team (IRT) benennen
- Eskalationsprozesse festlegen
- Kommunikationswege definieren (intern + extern)
- Kontaktdaten der Behörde bereithalten
2. Template für Meldungen vorbereiten
Erstellen Sie Vorlagen für die 3 Meldestufen, um im Ernstfall schnell handeln zu können. Templates sollten enthalten:
- Unternehmensdaten (Name, Ansprechpartner, Registrierungsnummer)
- Standardfelder für Vorfallbeschreibung
- Checkliste: Wurde an alle relevanten Behörden gemeldet? (DSGVO + NIS2)
3. Kontakte pflegen
Registrieren Sie sich vorab beim BSI (bzw. der zuständigen Behörde in AT/CH), um im Notfall nicht erst Zugangsdaten beantragen zu müssen.
4. Übungen durchführen
Simulieren Sie Sicherheitsvorfälle (z.B. in Tabletop-Übungen), um den Meldeprozess zu testen. Typische Szenarien:
- Ransomware-Angriff auf Produktionssystem
- DDoS-Attacke auf Kundenportal
- Datenleck durch Phishing-Angriff
FAQ zu NIS2-Meldepflichten
Was passiert, wenn ich die 24-Stunden-Frist verpasse?
Die Frühwarnung sollte schnellstmöglich erfolgen. Bei begründeter Verspätung (z.B. weil der Vorfall erst später erkannt wurde) droht nicht sofort ein Bußgeld. Bewusste Nicht-Meldung ist jedoch sanktionierbar.
Tipp: Dokumentieren Sie, wann der Vorfall entdeckt wurde – das kann im Streitfall entscheidend sein.
Muss ich auch nicht erfolgreiche Angriffe melden?
Nein, meldepflichtig sind nur Vorfälle mit erheblichen Auswirkungen. Abgewehrte Angriffe ohne erhebliche Auswirkungen auf Betrieb oder Nutzer müssen nicht gemeldet werden (können aber freiwillig zur Frühwarnung mitgeteilt werden).
Grenzfall: Wurde ein Angriff zwar abgewehrt, aber es kam zu erheblichen Betriebsstörungen (z.B. Systeme mussten heruntergefahren werden), ist trotzdem eine Meldung erforderlich.
Überschneidet sich NIS2 mit der DSGVO-Meldepflicht?
Ja, bei Datenschutzverletzungen gelten beide Meldepflichten parallel:
- DSGVO: Meldung an Datenschutzbehörde binnen 72h (bei personenbezogenen Daten)
- NIS2: Meldung an die jeweils zuständige nationale Stelle – in DE an die gemeinsame Meldestelle von BSI und BBK, in AT an das zuständige CSIRT – im 3-Stufen-Verfahren (24h Frühwarnung, 72h Detail, 1 Monat Abschluss)
In der Praxis: Beide Meldungen parallel durchführen! Die Behörden koordinieren sich untereinander.
Gilt die Meldepflicht auch für Schweizer Unternehmen?
Nicht direkt, da die Schweiz kein EU-Mitglied ist. Schweizer Unternehmen mit EU-Niederlassung müssen NIS2 aber beachten. Die Schweiz hat zudem eigene Meldepflichten beim BACS. → Details zur Schweiz