Zum Inhalt springen
MeldeKette24MeldeKette24
Rechtliches

§32 BSIG: Der vollständige Leitfaden zur NIS2-Meldepflicht

§32 BSIG regelt die dreistufige Meldepflicht für erhebliche Sicherheitsvorfälle. Dieser Leitfaden erklärt alle Anforderungen, Fristen und Fallstricke.

20. Dezember 20253 Min. Lesezeit

Was regelt §32 BSIG?

§32 des BSI-Gesetzes (BSIG), eingeführt durch das NIS2UmsuCG (in Kraft seit 06.12.2025), verpflichtet alle wesentlichen und wichtigen Einrichtungen zur Meldung erheblicher Sicherheitsvorfälle beim BSI. Die Vorschrift setzt Art. 23 der NIS2-Richtlinie (EU 2022/2555) in deutsches Recht um.

Der dreistufige Meldeprozess

Stufe 1: Frühwarnung (24 Stunden)

Nach §32 Abs. 2 S. 1 BSIG muss die betroffene Einrichtung innerhalb von 24 Stunden nach Kenntnisnahme eine Frühwarnung beim BSI erstatten. Diese erste Meldung ist bewusst niedrigschwellig gehalten — sie muss nur enthalten:

  • Angabe, ob der Vorfall auf eine rechtswidrige oder böswillige Handlung zurückzuführen sein könnte
  • Angabe, ob der Vorfall grenzüberschreitende Auswirkungen haben könnte

Eine vollständige Analyse ist ausdrücklich nicht erforderlich.

Stufe 2: Vorfallsmeldung (72 Stunden)

Innerhalb von 72 Stunden nach Kenntnisnahme muss eine detaillierte Vorfallsmeldung folgen (§32 Abs. 3 BSIG). Diese enthält:

  • Erste Bewertung des Vorfalls mit Angabe des Schweregrads und der Auswirkungen
  • Angaben zu Indikatoren für Kompromittierungen (soweit verfügbar)
  • Art des Angriffs (soweit bekannt)
  • Angewandte und geplante Gegenmaßnahmen

Stufe 3: Abschlussbericht (30 Tage)

Spätestens einen Monat nach der Vorfallsmeldung ist ein Abschlussbericht einzureichen (§32 Abs. 4 BSIG). Er dokumentiert:

  • Vollständige Beschreibung des Vorfalls
  • Art der Bedrohung oder Ursache
  • Ergriffene und laufende Gegenmaßnahmen
  • Grenzüberschreitende Auswirkungen (soweit bekannt)

Was ist ein „erheblicher Vorfall"?

Die EU-Durchführungsverordnung 2024/2690 konkretisiert, wann ein Vorfall als erheblich gilt. Maßgeblich sind acht Kriterien:

  1. Anzahl betroffener Nutzer — je mehr, desto erheblicher
  2. Ausfallzeit — mehrstündige Ausfälle sind erheblicher als kurze Störungen
  3. Geographische Ausdehnung — bundesweite Auswirkungen sind erheblicher
  4. Finanzieller Schaden — auch zu erwartender Schaden zählt
  5. Auswirkungen auf andere NIS2-Einrichtungen — Kaskadeneffekte erhöhen die Erheblichkeit
  6. Auswirkungen auf die öffentliche Sicherheit — Gesundheit, Versorgung, Sicherheit
  7. Art der Daten — besonders schützenswerte Daten erhöhen die Erheblichkeit
  8. Reputationsrisiko — erheblicher Reputationsschaden zählt mit

An wen wird gemeldet?

BSI-Meldungen erfolgen ausschließlich über das BSI-Meldeportal unter bsi.bund.de. Es gibt keine papierbasierte Alternative. Die Meldung muss elektronisch erfolgen.

Wichtig: DSGVO-Meldungen (Datenschutzverletzungen mit personenbezogenen Daten) gehen zusätzlich an die zuständige Datenschutzbehörde — das ist eine separate Pflicht mit eigenen Fristen (72h nach DSGVO).

Sanktionen bei Verstößen

§65 BSIG regelt die Bußgelder bei Verstößen gegen §32:

  • Besonders wichtige Einrichtungen: bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: bis 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes

Hinzu kommt die persönliche Haftung der Geschäftsführung nach §38 BSIG.

Fazit: Meldeprozess vor dem Ernstfall aufbauen

§32 BSIG ist eindeutig: Die Fristen sind kurz, die Anforderungen klar, die Sanktionen erheblich. Entscheidend ist, den Meldeprozess vor dem ersten Vorfall zu etablieren — nicht erst, wenn die Uhr tickt.

Der NIS2-Frist-Rechner hilft Ihnen, alle drei Fristen auf Basis des Kenntnisnahme-Zeitpunkts zu berechnen.

Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für Ihre konkrete Situation empfehlen wir einen auf IT-Recht spezialisierten Anwalt.

MeldeKette24 — NIS2-Meldeprozess für KMU

Jetzt Meldeprozess strukturieren — kostenlos in der Beta

Zur Beta-Anmeldung

Verwandte Artikel

Alle Blog-Artikel