Zum Inhalt springen
MeldeKette24MeldeKette24

NIS2-Erheblichkeits-Check: Wann ist ein Vorfall meldepflichtig?

Nicht jeder Sicherheitsvorfall ist meldepflichtig. Die EU-DVO 2024/2690 definiert klare Erheblichkeitskriterien — hier sind alle 8 erklärt.

Die entscheidende Frage: Ist mein Vorfall „erheblich“?

§32 Abs. 1 BSIG i.V.m. EU-Durchführungsverordnung 2024/2690 definiert, wann ein Sicherheitsvorfall als erheblich gilt und damit der Meldepflicht unterliegt. Ein Vorfall ist erheblich, wenn er tatsächliche oder potenzielle erhebliche Auswirkungen auf die Erbringung der betroffenen Dienste hat.

Die 8 BSI-Erheblichkeitskriterien

  1. Anzahl betroffener Nutzer: Wie viele Nutzer sind von der Störung betroffen? Je mehr, desto wahrscheinlicher ist Erheblichkeit.
  2. Dauer des Ausfalls: Wie lange dauert die Störung an? Kurze Ausfälle sind weniger erheblich als mehrstündige oder mehrtägige.
  3. Geographische Ausdehnung: Ist nur ein Standort betroffen oder mehrere Regionen/Länder?
  4. Finanzieller Schaden: Ist ein erheblicher wirtschaftlicher Schaden entstanden oder zu erwarten?
  5. Auswirkungen auf andere Einrichtungen: Sind andere NIS2-pflichtige Einrichtungen oder kritische Infrastrukturen durch den Vorfall betroffen?
  6. Auswirkungen auf die Öffentlichkeit: Gibt es Auswirkungen auf die öffentliche Sicherheit, die Gesundheit oder die Versorgung der Bevölkerung?
  7. Art der betroffenen Daten: Sind besonders schützenswerte Daten (Gesundheitsdaten, personenbezogene Daten im großen Maßstab) betroffen?
  8. Reputationsschaden: Kann der Vorfall zu einem erheblichen Reputationsschaden führen?

Praxisbeispiele: meldepflichtig vs. nicht meldepflichtig

Meldepflichtig (Beispiele):

  • Ransomware verschlüsselt Produktions-IT eines Maschinenbauers (500 MA) — mehrstündiger Produktionsausfall
  • DDoS-Angriff legt Online-Bestellsystem eines Lebensmittelgroßhändlers für 12 Stunden lahm
  • Datenabfluss von Kundendaten bei einem Logistikunternehmen

Wahrscheinlich nicht meldepflichtig (Beispiele):

  • Phishing-Mail wird von Spam-Filter abgefangen — kein Schaden entstanden
  • Kurzfristiger Server-Ausfall (unter 2 Stunden) ohne Datenverlust und ohne Auswirkungen auf Kunden
  • Versuchter, aber erfolglos abgewehrter Angriff ohne Systemkompromittierung

Im Zweifel: Lieber melden als nicht melden

Die BSI-Empfehlung ist klar: Im Zweifelfall melden. Falschmeldungen werden milder behandelt als Nicht-Meldungen. Bei Unsicherheit können Sie im Rahmen der Frühwarnung (24h) eine vorläufige Meldung abgeben und in der Vorfallsmeldung (72h) präzisieren.

Jetzt kostenlosen NIS2-Pflicht-Check starten

MeldeKette24: Der BSI-Meldeketten-Wizard für den Ernstfall

Kein GRC-Overbau. Triage-Engine, Frist-Timer und BSI-PDF-Export — sofort einsatzbereit. Jetzt kostenlos in der Beta.

Kostenlosen Beta-Zugang sichern

Keine Kreditkarte · Kündigung jederzeit · Daten in Deutschland

Weiterführende Leitfäden

§32 BSIG: Die MeldeketteFrist-RechnerBlog: Erheblicher Vorfall KriterienNIS2-Pflicht-Check