Dieses Dokument befindet sich in aktiver Entwicklung und ist noch nicht finalisiert.
NIS2 Compliance

Deutsch

English
简体中文

Deutsch

English
简体中文

Erscheinungsbild

Meldepflichten nach §32 BSIG

Dreistufiges Meldemodell

Stufe 1: Frühwarnung (24 Stunden)

FeldInhalt
Frist24 Stunden nach Kenntnis des erheblichen Vorfalls
EmpfängerBSI über Meldeplattform
InhaltArt des Vorfalls, erster Verdacht auf Ursache
BesonderheitenAngabe ob rechtswidrige/böswillige Handlung vermutet wird; ob grenzüberschreitende Auswirkung möglich

Stufe 2: Aktualisierung (72 Stunden)

FeldInhalt
Frist72 Stunden nach Kenntnis
EmpfängerBSI über Meldeplattform
InhaltErste Bewertung des Vorfalls: Schweregrad, Auswirkungen
BesonderheitenKompromittierungsindikatoren (IoC) soweit verfügbar; Aktualisierung der Ersteinschätzung

Stufe 3: Abschlussbericht (1 Monat)

FeldInhalt
Frist1 Monat nach Kenntnis (Verlängerung auf Antrag möglich)
EmpfängerBSI über Meldeplattform
InhaltDetaillierte Beschreibung: Ursache, ergriffene Maßnahmen, grenzüberschreitende Auswirkungen
BesonderheitenWenn Vorfall noch andauert: Zwischenbericht statt Abschluss, Abschluss nach Ende

Kriterien für erhebliche Sicherheitsvorfälle

Ein Vorfall ist erheblich, wenn mindestens eines der folgenden Kriterien erfüllt ist:

KriteriumSchwellenwert
Schwerwiegende BetriebsstörungDienste für Kunden sind eingeschränkt oder nicht verfügbar
Finanzielle VerlusteDirekte oder indirekte Verluste oberhalb der Wesentlichkeitsschwelle
Schäden für DritteAndere Personen oder Einrichtungen sind erheblich betroffen
DatenverlustPersonenbezogene oder geschäftskritische Daten kompromittiert

Meldeprozess intern 

Vorfall erkannt
  → ISB informiert (< 1h)
    → Erstbewertung: Erheblich ja/nein? (< 4h)
      → Wenn ja: BSI-Frühwarnung vorbereiten (< 24h)
        → Geschäftsleitung informieren
          → DSGVO-Meldung prüfen (Art. 33: 72h an Aufsichtsbehörde)
            → CRA-Meldung prüfen (Art. 14: 24h an ENISA)

Parallele Meldepflichten

RegulierungAuslöserFristEmpfänger
NIS2 / §32 BSIGErheblicher Sicherheitsvorfall24h / 72h / 1 MonatBSI
DSGVO Art. 33Verletzung des Schutzes personenbezogener Daten72 StundenZuständige Aufsichtsbehörde
CRA Art. 14Aktiv ausgenutzte Produktschwachstelle24h / 72h / 14dENISA + nationale CSIRT

Dokumentation

Jeder meldepflichtige Vorfall wird vollständig dokumentiert:

  • Chronologischer Ablauf mit Zeitstempeln
  • Alle Entscheidungen mit Begründung
  • Kommunikation mit BSI (Melde-IDs, Korrespondenz)
  • Maßnahmen und deren Wirksamkeit
  • Lessons Learned und Folgemaßnahmen

Aufbewahrungsfrist: Mindestens 3 Jahre nach Abschluss des Vorfalls.

Dokumentation lizenziert unter CC BY-NC 4.0 · Code lizenziert unter MIT

© 2026 BAUER GROUP. Kommerzielle Nutzung der Dokumentation nicht gestattet.

Dokumentation lizenziert unter CC BY-NC 4.0 · Code lizenziert unter MIT

© 2026 BAUER GROUP. Kommerzielle Nutzung der Dokumentation nicht gestattet.