Frist bis zur NIS-2 Umsetzung:
00Tage
00Std
00Min
00Sek
Interaktives Training

Vorfall-Meldung Simulator

Meldepflichten nach § 32 BSIG

NIS-2 führt einen dreistufigen Meldeprozess für erhebliche Sicherheitsvorfälle ein. Jede Stufe hat eigene Fristen und Inhalte:

1
Frühwarnung — innerhalb von 24 Stunden

Erste Meldung an das BSI mit Verdachtsmeldung, ob ein böswilliger Angriff vorliegt und ob grenzüberschreitende Auswirkungen bestehen.

2
Aktualisierung — innerhalb von 72 Stunden

Bewertung des Vorfalls: Schwere, Auswirkungen, Kompromittierungsindikatoren (IoCs) und ergriffene Gegenmaßnahmen.

3
Abschlussbericht — innerhalb von 1 Monat

Detaillierte Beschreibung: Ursache, Auswirkungen, Gegenmaßnahmen und grenzüberschreitende Folgen.

incident-response-simulator
BSI>

Ein Mitarbeiter meldet: "Mein Bildschirm ist gesperrt, da steht eine Lösegeldforderung." Es ist Freitag, 16:00 Uhr. Was tun Sie?

Hätten Sie das gewusst? Holen Sie sich unser Incident-Response-Template.

Incident-Response-Paket anfragen

Was ist ein „erheblicher Sicherheitsvorfall“?

Nach § 2 Nr. 11 BSIG ist ein Sicherheitsvorfall erheblich, wenn er:

  • schwerwiegende Betriebsstörungen der Dienste verursacht oder verursachen kann
  • finanzielle Verluste für die betroffene Einrichtung nach sich zieht
  • andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt

Zuständige Meldestelle

Alle Meldungen gehen an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Meldung erfolgt über das BSI-Portal. Im Notfall kann die Erstmeldung auch telefonisch oder per E-Mail erfolgen — die formale Meldung über das Portal muss jedoch nachgeholt werden.

Lars Averstegge

Der 4-Augen-Meldeprozess

Eine Meldung an das BSI ist eine Behördenerklärung. Ein falsches Wort kann teuer werden. Optional: Buchen Sie den „Emergency-Review“ durch unseren Diplom-Juristen Lars Averstegge. Er prüft Ihre Meldung auf Plausibilität und Konsistenz, bevor Sie auf „Senden“ klicken.

Emergency-Review anfragen
Risikomanagement
§ 30 BSIG live überwachen
Haftung-Briefing
Persönliche Haftung nach § 38 BSIG
Lieferketten-Audit
Zulieferer-Sicherheit prüfen

Häufige Fragen zur Vorfallmeldung

Wie schnell muss ein Vorfall gemeldet werden?
Die Frühwarnung muss innerhalb von 24 Stunden nach Kenntniserlangung beim BSI eingehen. Innerhalb von 72 Stunden folgt eine Aktualisierung mit Bewertung. Ein Abschlussbericht ist spätestens einen Monat nach dem Vorfall einzureichen (§ 32 BSIG).
Was passiert bei versäumter Meldung?
Die Nichtmeldung oder verspätete Meldung erheblicher Sicherheitsvorfälle ist eine Ordnungswidrigkeit nach § 65 BSIG. Es drohen Bußgelder bis zu 10 Mio. € für besonders wichtige Einrichtungen bzw. 7 Mio. € für wichtige Einrichtungen.
Muss jeder Sicherheitsvorfall gemeldet werden?
Nein, nur erhebliche Sicherheitsvorfälle gemäß § 2 Nr. 11 BSIG. Ein Vorfall gilt als erheblich, wenn er schwerwiegende Betriebsstörungen verursacht oder verursachen kann, finanzielle Verluste nach sich zieht oder andere Personen durch erhebliche Schäden beeinträchtigt.
Wer im Unternehmen ist für die Meldung verantwortlich?
Verantwortlich ist die Einrichtung selbst. In der Praxis sollte ein Incident-Response-Team oder ein benannter Sicherheitsbeauftragter den Prozess koordinieren. Die Geschäftsleitung trägt die übergeordnete Verantwortung nach § 38 BSIG.