← Zur Glossar-Übersicht

Glossar

Meldepflicht — Definition und Bedeutung für die Cybersicherheit

Was bedeutet Meldepflicht? Definition, NIS2-Relevanz und praktische Bedeutung für deutsche Unternehmen.

Veröffentlicht: 23. März 2026Letzte Aktualisierung: 23. März 20264 Min. Lesezeit

Kurzdefinition

Meldepflicht ist die gesetzliche Pflicht, erhebliche Sicherheitsvorfälle fristgerecht an die zuständige Meldestelle zu melden und dabei belastbare Informationen zum Vorfall, zu Auswirkungen und zu Gegenmaßnahmen zu übermitteln.

Primaerquelle

Art. 23 Richtlinie (EU) 2022/2555 und § 32 BSIG

Rechtsgrundlage ansehen

Meldepflicht — Definition und Bedeutung für die Cybersicherheit

Meldepflicht ist die gesetzliche Pflicht, erhebliche Sicherheitsvorfälle innerhalb festgelegter Fristen an die zuständige Meldestelle zu melden. Für NIS2-betroffene Unternehmen bedeutet Meldepflicht, dass sie dem BSI als zentraler Meldestelle eine Frühwarnung binnen 24 Stunden, eine Vorfallsmeldung binnen 72 Stunden und einen Abschlussbericht binnen eines Monats übermitteln müssen.

Was bedeutet Meldepflicht?

Meldepflicht ist im Cybersecurity-Kontext eine Organisationspflicht. Ein Unternehmen muss erhebliche Vorfälle erkennen, intern bewerten, sauber eskalieren und die zuständige Behörde fristgerecht informieren. Wer erst meldet, wenn alle Fakten sicher feststehen, verpasst die Fristen oft schon in der Anfangsphase.

Meldepflichtig sind unter NIS2 und nach deutschem Recht erhebliche Sicherheitsvorfälle, also Störungen mit relevanten Auswirkungen auf Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Netz- und Informationssystemen. Typische Fälle sind Ransomware, längere Systemausfälle oder Angriffe auf geschäftskritische Systeme. Fachlich eng verbunden sind dabei Sicherheitsvorfall, Incident Response und BSI.

Warum ist Meldepflicht für NIS2 wichtig?

Meldepflicht ist für NIS2 wichtig, weil Art. 23 der Richtlinie (EU) 2022/2555 Vorfälle nicht nur technisch, sondern auch regulatorisch relevant macht. Behörden sollen früh erkennen können, ob ein Angriff isoliert bleibt oder andere Einrichtungen, Lieferketten oder kritische Dienste mitbetroffen sein könnten. Für Unternehmen wird ein belastbarer Meldeprozess damit Teil der operativen Compliance.

In Deutschland wurde diese Logik seit dem 6. Dezember 2025 über das NIS-2-Umsetzungsgesetz in das BSIG übertragen. § 32 BSIG regelt die Meldung erheblicher Sicherheitsvorfälle an die gemeinsame Meldestelle des Bundes; praktisch laufen Registrierung und Meldung über das BSI-Portal. Wer tiefer in den Gesamtzusammenhang einsteigen will, findet auf der Seite zur NIS2-Richtlinie in Deutschland den regulatorischen Rahmen und die betroffenen Einrichtungen im Überblick.

Das dreistufige Meldesystem nach NIS2 und § 32 BSIG

Meldepflicht nach NIS2 folgt einem klaren Dreischritt. Unternehmen müssen nicht warten, bis die vollständige Ursachenanalyse vorliegt, sondern in Stufen berichten.

  1. Frühwarnung binnen 24 Stunden: Die Frühwarnung muss unverzüglich, spätestens aber innerhalb von 24 Stunden nach Kenntnis erfolgen. Sie dient dazu, das BSI früh über einen möglicherweise erheblichen Vorfall zu informieren und erste Hinweise zu Ursache, möglicher Böswilligkeit und grenzüberschreitenden Auswirkungen zu geben.
  2. Vorfallsmeldung binnen 72 Stunden: Innerhalb von 72 Stunden folgt eine belastbarere Meldung mit erster Bewertung des Vorfalls, seiner Schwere, seiner Auswirkungen und gegebenenfalls bereits ergriffener Eindämmungsmaßnahmen. Wenn die Einordnung noch unsicher ist, muss das Unternehmen dennoch den aktuellen Kenntnisstand mitteilen.
  3. Abschlussbericht binnen 1 Monat: Spätestens nach einem Monat ist ein Abschlussbericht fällig. Er enthält in der Regel die Ursachenanalyse, die endgültige Bewertung, die Auswirkungen auf Dienste und Kunden sowie die getroffenen oder geplanten Abhilfemaßnahmen.

Dieses gestufte Modell ist praktisch sinnvoll, weil in den ersten Stunden selten vollständige Gewissheit besteht. Rechtlich relevant ist deshalb nicht Perfektion, sondern ein belastbarer, fristgerechter Meldeweg.

An wen und was muss ein Unternehmen melden?

Adressat der Meldung ist in Deutschland das BSI als zentrale Meldestelle. Für betroffene Einrichtungen bedeutet das praktisch: Zuständigkeiten, Zugangsdaten und Meldewege zum BSI-Portal müssen bereits vor dem Ernstfall geklärt sein.

Gemeldet werden müssen erhebliche Sicherheitsvorfälle. Erheblich ist ein Vorfall insbesondere dann, wenn er zu erheblichen Betriebsstörungen, finanziellen Verlusten oder relevanten Beeinträchtigungen für andere natürliche oder juristische Personen führen kann. Auch der Verdacht auf rechtswidrige oder böswillige Handlungen und mögliche grenzüberschreitende Auswirkungen gehört früh in die Bewertung. Die operative Schnittstelle bilden dabei häufig CSIRT-Prozesse und interne Notfallpläne.

Praxisbeispiel: Deutsches Logistikunternehmen nach Ransomware-Angriff

Ein deutsches Logistikunternehmen fällt unter NIS2, weil es als wichtige Einrichtung digitale Dispositions- und Lagerprozesse für kritische Lieferketten betreibt. An einem Montagmorgen verschlüsselt ein Ransomware-Angriff zentrale Server, das Transportmanagementsystem fällt aus und mehrere Standorte können Sendungen nur noch manuell abwickeln.

Noch bevor alle technischen Details feststehen, muss das Unternehmen beantworten, ob ein erheblicher Sicherheitsvorfall vorliegt. Wegen der Betriebsunterbrechung, der Lieferkettenauswirkungen und des Verdachts auf eine böswillige Handlung lautet die Antwort regelmäßig ja. Das Unternehmen sendet deshalb innerhalb von 24 Stunden eine Frühwarnung an das BSI und aktiviert parallel seine Incident Response-Struktur.

Bis zur 72-Stunden-Marke ergänzt das Unternehmen die Vorfallsmeldung um betroffene Systeme, Ausfallzeiten, erste Erkenntnisse zur Angriffsart, Notmaßnahmen und die vorläufige Bewertung der Auswirkungen auf Kunden und Partner. Innerhalb eines Monats folgt der Abschlussbericht mit Ursachenanalyse und Wiederherstellungsmaßnahmen.

Welche Folgen hat eine unterlassene oder verspätete Meldung?

Eine unterlassene oder verspätete Meldung ist kein bloßer Formfehler. Sie kann Bußgelder, aufsichtsrechtliche Maßnahmen und vertiefte Prüfungen auslösen. Zugleich zeigt sie, dass Erkennung, Eskalation, Verantwortlichkeiten oder Dokumentation organisatorisch nicht belastbar aufgesetzt sind. Meldepflicht ist deshalb immer auch ein Managementthema.

Formular- und Prozesshinweise für Unternehmen

Meldepflicht funktioniert nur mit vorbereiteten Abläufen. Unternehmen sollten vorab fünf Punkte festlegen:

  1. Schwellenwert definieren: Legen Sie fest, wann aus einem technischen Problem ein potenziell meldepflichtiger Sicherheitsvorfall wird.
  2. 24-Stunden-Eskalation absichern: Benennen Sie Verantwortliche aus IT, Security, Compliance, Kommunikation und Management, die auch außerhalb der Bürozeiten erreichbar sind.
  3. BSI-Portal vorbereiten: Klären Sie Registrierung, Zugänge und Vertretungen, bevor ein echter Vorfall eintritt.
  4. Mindestdaten standardisieren: Halten Sie ein Incident-Template bereit, das Zeitpunkte, betroffene Systeme, Auswirkungen, Verdachtslage und Sofortmaßnahmen strukturiert erfasst.
  5. Nachweise dokumentieren: Protokollieren Sie, wann intern eskaliert, wann extern gemeldet und welche Informationen zu welchem Zeitpunkt bekannt waren.

Diese Vorbereitung reduziert Fristverstöße und verbessert die Qualität der Vorfallbearbeitung. Gerade bei Unsicherheit gilt: früh melden, sauber nachschärfen und jeden Schritt nachvollziehbar dokumentieren.

Wenn Sie NIS2-Pflichten, Rollen und Meldewege nicht erst im Ernstfall sortieren wollen, ist unsere NIS2-Schulung der nächste sinnvolle Schritt.

Nächster Schritt

Begriffe einordnen ist der Anfang. Umsetzung und Nachweis entscheiden im Unternehmen.

Wenn Sie KI-Kompetenz, Rollen, rote Linien und Schulungsnachweis nicht nur nachschlagen, sondern sauber ausrollen wollen, ist der Kurs der direkte nächste Schritt. Für typische Rückfragen zu Umfang, Nachweis und Team-Rollout steht zusätzlich die FAQ-Seite bereit.

Zur KursübersichtFAQ ansehen