Navigation und Service

#nis2know: NIS-2-Meldepflicht

NIS-2-betroffene Unternehmen müssen dem BSI erhebliche Sicherheitsvorfälle melden

Meldepflichtige Vorfälle

Erheblichen Sicherheitsvorfällen muss in der Regel mit zusätzlichen Ressourcen und Aufwand begegnet werden.

Besonders wichtige und wichtige Einrichtungen sowie Betreiber kritischer Anlagen sind dazu verpflichtet, dem BSI erhebliche Sicherheitsvorfälle zu melden. Zu erheblichen Sicherheitsvorfällen zählen Vorfälle, die zu schwerwiegenden Betriebsstörungen der Dienste oder zu finanziellen Verlusten der Einrichtung geführt haben oder führen können. Zu den meldepflichtigen Vorfällen zählen auch Vorfälle, die andere Personen oder Betreiber durch erhebliche materielle oder immaterielle Schäden beeinträchtigen können (Artikel 23 (3) der NIS-2-RL). Informationen zur Erläuterung von meldepflichtigen erheblichen Sicherheitsvorfällen werden beizeiten veröffentlicht. 

Für DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter gilt die Definition von erheblichen Sicherheitsvorfällen nach Artikel 3 der Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024.

Wann melden?

Sicherheitsvorfälle müssen unverzüglich nach Kenntniserlangung gemeldet werden. Die unten genannten Fristen sind Maximalzeiten, die nicht ausgereizt werden sollten. Mit "Kenntniserlangung" ist der Zeitpunkt gemeint, an dem eine Mitarbeiterin oder ein Mitarbeiter der Einrichtung (innerhalb der Arbeitszeit) Kenntnis über einen erheblichen Sicherheitsvorfall erlangt.

Frühe Erstmeldung: Innerhalb von 24 Stunden nach Kenntniserlangung

  • Charakter einer Frühwarnung
  • Verdacht, ob Vorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist
  • Verdacht, ob grenzüberschreitende Auswirkungen möglich sind

Meldung: Innerhalb von 72 Stunden nach Kenntniserlangung

  • Aktualisierung der Informationen der frühen Erstmeldung
  • Bewertung des erheblichen Sicherheitsvorfalls
  • Schweregrad des Vorfalls
  • Auswirkungen des Vorfalls
  • ggf. Kompromittierungsindikatoren (IOCs)

Folgemeldung/Abschlussmeldung: Spätestens nach einem Monat nach Meldung

  • Abschlussmeldung, wenn Vorfall beendet ist, ansonsten Folgemeldung
  • ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen
  • Angaben zur Art der Bedrohung bzw. zugrundeliegenden Ursache
  • Angaben zu den getroffenen und laufenden Abhilfemaßnahmen
  • grenzüberschreitende Auswirkungen des Sicherheitsvorfalls

Der Meldevorgang ist beendet, wenn die Einrichtung bzw. der Betreiber den Vorfall beseitigt und eine Abschlussmeldung beim BSI abgegeben hat.

Können Meldungen zurückgezogen oder storniert werden?

Eine bereits abgegebene Meldung kann nachträglich nicht storniert oder zurückgezogen werden. Sollte sich der gemeldete Sachverhalt jedoch als unzutreffend oder unvollständig herausstellen, kann er im weiteren Verlauf durch eine Folgemeldung korrigiert oder ergänzt werden.

Insbesondere bei frühen Erstmeldungen steht der Charakter einer vorläufigen Einschätzung im Vordergrund – eine frühzeitige Meldung ist ausdrücklich erwünscht, auch wenn zum Zeitpunkt der Abgabe noch Unsicherheiten bestehen. Nachmeldungen und Korrekturen sind jederzeit möglich und durch den dreistufigen Meldeprozess explizit vorgesehen.

Welchen Inhalt hat eine Meldung?

Eine Meldung sollte eine erste Bewertung des Sicherheitsvorfalls einschließlich seines Schweregrads und seiner Auswirkungen sowie gegebenenfalls die Kompromittierungsindikatoren (IOCs) enthalten. Zusätzlich müssen Informationen zur meldenden Stelle, Ansprechpersonen und entsprechende Kontaktdaten enthalten sein. Das Meldeformular unterstützt die Meldenden bei der Angabe dieser Informationen.

Im Allgemeinen gilt jedoch Schnelligkeit vor Vollständigkeit. Das bedeutet, dass ein Vorfall möglichst früh gemeldet werden soll, unabhängig von den vorliegenden Informationen. Zeitverlust durch Sammeln von Informationen, um das Meldeformular vollständig auszufüllen, ist zu vermeiden. Die in der Meldung enthaltenen Informationen können jederzeit durch eine Folgemeldung ergänzt und korrigiert werden.

Wie melden?

Nach Registrierung in der gemeinsamen Meldestelle des BSI und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) können Betreiber kritischer Anlagen, besonders wichtige und wichtige Einrichtungen eine Meldung abgeben. Zu den Meldewegen wird sich das BSI rechtzeitig äußern. 

Es besteht keine über die Meldung hinausgehende Dokumentationspflicht für meldende Betreiber oder Unternehmen. Dennoch ist es in vielen Fällen sinnvoll, Meldungen zu dokumentieren und auszuwerten, zum Beispiel im Hinblick auf den kontinuierlichen Verbesserungsprozess oder zur Vorbereitung eines Audits.

Unternehmen, die nicht durch NIS-2 reguliert werden, haben ebenfalls die Möglichkeit, eine anonyme Meldung über einen Sicherheitsvorfall beim BSI abzugeben. 

Wer kann für eine Einrichtung melden?

Prinzipiell kann jeder Mitarbeitende einer Einrichtung melden. In einem Unternehmen können mehrere Personen meldeberechtigt sein. Für diese Personen muss der Zugang zur Meldestelle eingerichtet werden. Die Organisation kann auch Unternehmen oder Dienstleister zur stellvertretenden Meldungsabgabe ermächtigen. Die Verantwortung für den Vorfall und den Inhalt der Meldung verbleibt in diesem Falle dennoch beim Betreiber bzw. der Einrichtung.

Was macht das BSI mit den Meldungen?

Nach Eingang der Meldung beim BSI erhält der Betreiber bzw. das Unternehmen üblicherweise umgehend, spätestens jedoch innerhalb von 24 Stunden eine Bestätigung über den Eingang der Meldung. Sollte die meldende Stelle nicht innerhalb von 24 Stunden nach Meldungsabgabe eine Bestätigung erhalten, kann sich der Betreiber bzw. die Einrichtung beim BSI hierzu erkundigen. Je nach Art des gemeldeten Vorfalls, bei Rückfragen oder auf Ersuchen des Meldenden kann es zu einer Kontaktaufnahme durch das BSI kommen.

Das BSI unterliegt Weiterleitungs- und Unterrichtungspflichten, um eine gemeinsame Lagebeobachtung und Analyse von Bund und Ländern zu ermöglichen.

Das BSI kann im Fall eines erheblichen Sicherheitsvorfalls im Rahmen von BSI-Lageprodukten Dritte unterrichten, wenn der Sachverhalt andere Einrichtungen und Betreiber betreffen kann. Der Inhalt dieser BSI-Produkte wird sanitarisiert, sodass kein Rückschluss auf die Meldenden möglich ist.

Außerdem kann das Bundesamt besonders wichtige und wichtige Einrichtungen anordnen, die Nutzenden ihrer Dienste unverzüglich über erhebliche Sicherheitsvorfälle zu unterrichten.

Das BSI legt hohen Wert auf die Vertraulichkeit der Betreiber- bzw. Einrichtungsdaten. Die in den Meldungen erhaltenen Informationen werden nur für einen begrenzten Zeitraum in der Meldestelle gespeichert. Außerdem werden die Meldungen ausschließlich auf Basis von Unterrichtungspflichten an die zuständigen Behörden weitergeben.

Müssen Einrichtungen nach Meldungen jederzeit erreichbar sein?

Einrichtungen sollten in der Lage sein, BSI-Produkte zur Warnung und Information entgegenzunehmen, zu sichten und zu bewerten. In der Regel werden BSI-Produkte während der normalen Geschäftszeiten versendet. Es ist jedoch nicht auszuschließen, dass das BSI in Ausnahmefällen dringende Warnungen auch außerhalb der normalen Geschäftszeiten (an Feiertagen, Wochenenden oder nachts) versendet.

Das BSI gestaltet die Cybersicherheitswarnungen so, dass Dringlichkeit und (potenzieller) Handlungsbedarf aus der E-­Mail-Betreffzeile (automatisiert) herausgelesen werden können. Somit können bereits existierende, dauerhaft erreichbare Stellen in der Institution (z. B. Pforte, Werkschutz oder sonstige Bereitschaftsdienste) akuten Handlungsbedarf erkennen und ggf. eine Alarmierung bzw. Weiterleitung an geeignete Ansprechpersonen vornehmen.

Geeignete Ansprechpersonen verfügen über die fachliche Kompetenz zur Beurteilung des konkreten Vorfalls und sind in die Organisation und Prozesse zur Vorfallsbewältigung eingebunden.

Nach der Meldung einer IT-Störung gegenüber dem BSI ergeben sich ggf. Nachfragen des BSI an die Einrichtung. Um in Zusammenarbeit mit dem BSI eine reibungslose Vorfallsbewältigung zu gewährleisten, sollen interne (Weiterleitungs-)Prozesse eingerichtet werden, die eine Alarmierung geeigneter Ansprechpersonen nach Eingang der Information auch außerhalb der normalen Geschäftszeiten sicherstellen.