NIS-2 Meldepflicht

Gemäß § 32 BSIG werden besonders wichtige und wichtige Einrichtungen sowie Betreiber kritischer Anlagen verpflichtet, erhebliche Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) unverzüglich nach Kenntniserlangung zu melden. Als Kenntniserlangung gilt dabei der Zeitpunkt, zu dem ein Mitarbeiter der betroffenen Einrichtung im Rahmen seiner Tätigkeit Kenntnis von einem erheblichen Sicherheitsvorfall erlangt. Der Begriff "unverzüglich" besagt, dass die Meldung ohne schuldhaftes Zögern erfolgen muss. Gemäß dem Grundsatz "Schnelligkeit vor Vollständigkeit" ist eine Meldung zu tätigen, auch wenn noch nicht alle Informationen vollständig vorliegen.

Ein erheblicher Sicherheitsvorfall liegt vor, wenn es zu schwerwiegenden Betriebsstörungen der angebotenen Dienste, zu relevanten finanziellen Verlusten oder zu bedeutenden Beeinträchtigungen Dritter – materieller oder immaterieller Art – kommt oder kommen könnte. Das BSI weist ausdrücklich darauf hin, dass bei der Meldung von Sicherheitsvorfällen das Verdachtsprinzip gilt. Dies bedeutet, dass bereits bei dem Verdacht auf eine rechtswidrige oder böswillige Handlung mit potenziell grenzüberschreitenden Auswirkungen eine Meldung erfolgen sollte.

Stufen und Fristen des dreistufigen Meldeverfahrens:
Erstmeldung innerhalb von 24 Stunden nach Kenntniserlangung
Detailmeldung innerhalb von 72 Stunden mit zusätzlichen Angaben zum Vorfall
Abschlussmeldung mit finaler Bewertung oder Folgemeldung spätestens nach 30 Tagen

Darüber hinaus besteht auf Ersuchen des BSI die Möglichkeit, eine Zwischenmeldung über relevante Statusaktualisierungen anzufordern. Daher ist es unerlässlich, dass die Kontaktstelle stets erreichbar ist, um auf mögliche Änderungen oder Anfragen zeitnah reagieren zu können.

Inhalte der Meldungen

Die Meldung an das BSI muss zusammengefasst folgende Angaben beinhalten:

den Schweregrad des Vorfalls,
Beschreibung der Auswirkungen auf die Einrichtung und Dritte
etwaige Kompromittierungsindikatoren (z. B. Hinweise auf Sicherheitslücken, Malware, Datenverlust)
Beschreibung der soweit bekannten Ursachen
Getroffene oder geplante Reaktionsmaßnahmen zur Behebung des Vorfalls
sowie die Kontaktdaten der zuständigen Stelle enthalten.

Da erhebliche Sicherheitsvorfälle in der Regel mit erhöhtem Ressourcenbedarf und organisatorischem Aufwand einhergehen, ist eine frühzeitige Vorbereitung der Meldeprozesse sehr ratsam.

Wir unterstützen Sie!

Wir unterstützen Sie gerne bei der Erfüllung Ihrer Pflichten gegenüber BSI und BBK:

Einrichtung eines Meldeprozesses
Gewährleistung der Erreichbarkeit Ihrer Kontaktstelle durch unsere Rufbereitschaft
Aufbereitung der Sicherheitsvorfälle gemäß Vorgaben von BSI.

Sie haben eine Frage zum Thema oder möchten mehr Informationen? Dann nehmen Sie unverbindlich mit uns Kontakt auf!

Kontakt

Contact Person Picture

Carina Richters

Rechtsanwältin, Compliance Officer (TÜV)

Associate Partner

+49 221 9499 09 206

Anfrage senden

Profil

Contact Person Picture

Martin Lenz

Manager, Consultant, Dipl.-Wirtschaftsinformatiker, IT Compliance Manager, IT-Risk-Practitioner (ITRP), Information Security Officer (ISO)

+49 911 9193 1341