NIS2-Meldepflicht: Das 4-Stufen-Meldesystem

Bei erheblichen Sicherheitsvorfällen müssen Sie innerhalb von 24 Stunden an das BSI melden — nicht erst nach 72 Stunden. So funktioniert das vollständige Meldesystem nach §32 BSIG.

NIS2-Betroffenheit prüfen Readiness-Check
§32 BSIG

Das 4-Stufen-Meldesystem im Überblick

Das NIS2UmsuCG etabliert ein gestuftes Meldesystem für erhebliche Sicherheitsvorfälle. Die erste Frist beträgt 24 Stunden — nicht 72, wie vielfach falsch dargestellt. Die Geschäftsführung haftet persönlich für die Einrichtung funktionierender Meldeprozesse.

1

Frühe Erstmeldung

24 Stunden

Verdacht auf rechtswidrige/böswillige Handlung? Grenzüberschreitende Auswirkungen möglich? Erste Einschätzung des Vorfalls.

2

Bestätigende Meldung

72 Stunden

Aktualisierung der Erstmeldung, erste Bewertung inkl. Schweregrad, Auswirkungen und Indicators of Compromise (IoCs).

3

Zwischenmeldung

Auf BSI-Anfrage

Updates zum laufenden Vorfall nach Bedarf. Das BSI kann jederzeit Zwischenmeldungen anfordern.

4

Abschlussmeldung

1 Monat nach Stufe 2

Detaillierte Beschreibung des Vorfalls, Bedrohungsart, Ursachenanalyse, ergriffene Abhilfemaßnahmen. Ist der Vorfall nach 1 Monat nicht abgeschlossen: Fortschrittsmeldung, Abschlussbericht folgt nach Vorfallsbewältigung.

§2 Abs. 1 Nr. 11 BSIG

Was ist ein „erheblicher Sicherheitsvorfall"?

Nicht jeder Vorfall löst die Meldepflicht aus. Meldepflichtig sind nur erhebliche Sicherheitsvorfälle — Vorfälle, die:

Schwerwiegende Betriebsstörung

Der Vorfall verursacht oder kann schwerwiegende Betriebsstörungen der Dienste verursachen.

Finanzielle Verluste

Der Vorfall verursacht oder kann erhebliche finanzielle Verluste für die betroffene Einrichtung verursachen.

Schaden bei Dritten

Der Vorfall beeinträchtigt oder kann durch erheblichen materiellen oder immateriellen Schaden andere Personen beeinträchtigen.

Wie und wo melden?

Die Meldung erfolgt über das BSI-Portal. Die Meldepflicht gilt seit dem 6. Dezember 2025 — unabhängig davon, ob Ihre Einrichtung bereits beim BSI registriert ist.

BSI-Meldeportal

Meldungen erfolgen über portal.bsi.bund.de. Das BSI stellt Online-Formulare auch für noch nicht registrierte Einrichtungen bereit.

Registrierung erforderlich

Die Registrierung erfolgt über „Mein Unternehmenskonto" (mein-unternehmenskonto.de) mit ELSTER-Organisationszertifikat. Frist war 6. März 2026.

Verstöße

Verstöße gegen die Meldepflicht können mit bis zu 2 Mio. EUR Bußgeld geahndet werden (§65 BSIG). Die Meldepflicht gilt ab dem ersten Tag.

Wolf-Agents Monitoring

Frühwarnung durch automatisches Monitoring

Wolf-Agents prüft Ihre Systeme alle 6 Stunden und alarmiert bei Verschlechterungen — ein Baustein zur frühzeitigen Erkennung von Sicherheitsvorfällen.

Score-Verschlechterung Sofortige Alerts bei Konfigurationsänderungen oder neuen Schwachstellen
Blacklist-Listings Erkennung wenn Ihre Domain auf DNSBL-Listen auftaucht
DNS-Änderungen Überwachung der DNS-Infrastruktur auf unerwartete Änderungen
Zertifikatsablauf Warnung vor ablaufenden SSL/TLS-Zertifikaten

Monitoring ist ein Erkennungsbeitrag — kein vollständiges Incident-Response-System. Für die 24h-Meldepflicht benötigen Sie zusätzlich dokumentierte Meldeprozesse, definierte Rollen und getestete Eskalationswege.

Ist Ihre Incident-Response-Readiness ausreichend?

Prüfen Sie mit dem NIS2-Readiness-Check, ob Ihr Unternehmen auf die Meldepflichten vorbereitet ist. Alle 10 Maßnahmen finden Sie in der vollständigen NIS2-Checkliste.

Readiness prüfen Betroffenheit prüfen