NIS2-Meldepflicht 2026: Der vollständige Leitfaden
Das NIS2-Umsetzungsgesetz verlangt von 29.500 deutschen Unternehmen strukturiertes Incident Reporting. Dieser Leitfaden erklärt alle drei Meldungsstufen, Fristen und Pflichtfelder.
Was ist die NIS2-Meldepflicht?
Die NIS2-Meldepflicht ist eine der zentralen Anforderungen des NIS2-Umsetzungsgesetzes (NIS2UmsuCG), das seit dem 6. Dezember 2025 in Deutschland in Kraft ist. Sie verpflichtet NIS2-pflichtige Unternehmen in 18 Sektoren, erhebliche Sicherheitsvorfälle strukturiert beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
Die drei Stufen der BSI-Meldekette nach §32 BSIG
§32 BSIG definiert einen dreistufigen Meldeprozess. Alle Fristen laufen ab dem Zeitpunkt der Kenntnisnahme — nicht ab dem Zeitpunkt des Angriffs.
Stufe 1: Frühwarnung — innerhalb von 24 Stunden
Die Frühwarnung ist eine erste, noch unvollständige Meldung. Sie muss enthalten: Art des Vorfalls, betroffene Systeme und Dienste, erste Einschätzung der Erheblichkeit. Vollständigkeit ist nicht erforderlich — Schnelligkeit geht vor.
Stufe 2: Vorfallsmeldung — innerhalb von 72 Stunden
Die Vorfallsmeldung enthält eine erste Bewertung des Vorfalls: Ursache, betroffene Systeme, Auswirkungen, ergriffene Gegenmaßnahmen und grenzüberschreitende Auswirkungen (falls zutreffend).
Stufe 3: Abschlussbericht — innerhalb von 30 Tagen
Der Abschlussbericht dokumentiert den Vorfall vollständig: Art und Ursache, ergriffene Abhilfemaßnahmen, grenzüberschreitende Auswirkungen und Lessons Learned. Ist der Vorfall nach 30 Tagen noch nicht behoben, folgt ein Fortschrittsbericht — der Abschlussbericht dann nach vollständiger Behebung.
Was ist ein „erheblicher Sicherheitsvorfall“?
Nicht jeder Vorfall ist meldepflichtig. §32 Abs. 1 BSIG i.V.m. EU-Durchführungsverordnung 2024/2690 definiert Erheblichkeitskriterien: erhebliche Betriebsstörung, erheblicher finanzieller Schaden, Datenverlust, Auswirkungen auf andere Einrichtungen oder die Öffentlichkeit.
Nutzen Sie unseren kostenlosen NIS2-Pflicht-Check um zu ermitteln, ob Ihr Unternehmen überhaupt NIS2-pflichtig ist, und den Erheblichkeits-Check um zu beurteilen, ob ein konkreter Vorfall meldepflichtig ist.
Bußgelder bei Verletzung der Meldepflicht
Bei versäumter oder mangelhafter Meldung drohen nach §65 BSIG:
- Besonders wichtige Einrichtungen: bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: bis 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes
Zusätzlich: persönliche Haftung der Geschäftsleitung nach §38 BSIG.
Wie MeldeKette24 die Meldekette strukturiert
MeldeKette24 ist der einzige Standalone-BSI-Meldeketten-Wizard am Markt. Kein GRC-Overbau — nur der strukturierte Notfallprozess für die ersten 24 Stunden: Triage-Engine, Frist-Timer, GF-Schulungsnachweis und BSI-PDF-Export.
MeldeKette24: Der BSI-Meldeketten-Wizard für den Ernstfall
Kein GRC-Overbau. Triage-Engine, Frist-Timer und BSI-PDF-Export — sofort einsatzbereit. Jetzt kostenlos in der Beta.
Kostenlosen Beta-Zugang sichernKeine Kreditkarte · Kündigung jederzeit · Daten in Deutschland