Zum Inhalt springen
MeldeKette24MeldeKette24

§32 BSIG: Die 24-72-Stunden-Meldekette erklärt

§32 BSIG ist das Herzstück der NIS2-Meldepflicht in Deutschland. Er definiert die drei Meldungsstufen, Fristen und Pflichtfelder für erhebliche Sicherheitsvorfälle.

§32 BSIG im Überblick

§32 BSIG (Bundesgesetz über die Sicherheit in der Informationstechnik, in der Fassung des NIS2UmsuCG) regelt die Meldepflicht für erhebliche Sicherheitsvorfälle. Er gilt für alle wichtigen und besonders wichtigen Einrichtungen nach §28/§29 BSIG.

Die drei Meldungsstufen

Frühwarnung — 24 Stunden

Innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls muss eine erste Meldung beim BSI eingehen. Die Frühwarnung ist bewusst niedrigschwellig: Sie muss keine vollständige Analyse enthalten. Pflichtfelder nach §32 Abs. 2 BSIG: Art des Vorfalls, betroffene Dienste und Systeme, Einschätzung ob grenzüberschreitende Auswirkungen vorliegen.

Wichtig: Die Frist läuft ab Kenntnisnahme, nicht ab dem Zeitpunkt des Angriffs. Wenn Sie morgens um 8 Uhr von einem gestrigen Ransomware-Angriff erfahren, läuft Ihre 24h-Frist ab 8 Uhr.

Vorfallsmeldung — 72 Stunden

Die Vorfallsmeldung enthält eine erste Bewertung: Ursache des Vorfalls (soweit bekannt), betroffene Systeme und Daten, ergriffene Gegenmaßnahmen, Schweregrad nach §32 Abs. 1 BSIG, grenzüberschreitende Auswirkungen.

Abschlussbericht — 30 Tage

Der Abschlussbericht dokumentiert den Vorfall vollständig: Ursache und Art des Vorfalls, ergriffene Abhilfemaßnahmen und deren Wirksamkeit, tatsächliche und potenzielle Auswirkungen, grenzüberschreitende Auswirkungen. Ist der Vorfall nach 30 Tagen noch aktiv, folgt zunächst ein Zwischenbericht.

Wann beginnt die Frist? Kenntnisnahme vs. Vorfallszeitpunkt

Die Frist beginnt mit der ersten Kenntnisnahme — also dem Moment, in dem die zuständige Person im Unternehmen (IT-Leiter, GF, CISO) erstmals von dem Vorfall erfährt. Der tatsächliche Angriffszeitpunkt ist irrelevant. Dies ist praxisrelevant: Vorfälle werden oft erst Stunden oder Tage nach dem tatsächlichen Angriff entdeckt.

Was ist ein erheblicher Vorfall nach §32 Abs. 1 BSIG?

Ein Vorfall ist erheblich wenn er tatsächliche oder potenzielle erhebliche Auswirkungen auf die Erbringung der Dienste hat. Die EU-Durchführungsverordnung 2024/2690 konkretisiert die Kriterien: Anzahl betroffener Nutzer, Dauer des Ausfalls, geographische Ausdehnung, finanzieller Schaden, Auswirkungen auf andere Einrichtungen.

Praxisbeispiel: Ransomware beim Maschinenbauer

Ein mittelständischer Maschinenbauer (300 MA) stellt morgens um 7:30 Uhr fest, dass seine Produktions-IT durch Ransomware verschlüsselt wurde. Die Fristen laufen:

  • Frühwarnung: bis 7:30 Uhr am Folgetag
  • Vorfallsmeldung: bis 7:30 Uhr am übernächsten Tag
  • Abschlussbericht: bis 30 Tage nach dem 7:30-Zeitpunkt

Nutzen Sie den NIS2-Frist-Rechner um Ihre konkreten Fristen zu berechnen.

MeldeKette24: Der BSI-Meldeketten-Wizard für den Ernstfall

Kein GRC-Overbau. Triage-Engine, Frist-Timer und BSI-PDF-Export — sofort einsatzbereit. Jetzt kostenlos in der Beta.

Kostenlosen Beta-Zugang sichern

Keine Kreditkarte · Kündigung jederzeit · Daten in Deutschland

Weiterführende Leitfäden

Erheblichkeits-CheckFrist-RechnerBlog: §32 BSIG LeitfadenGF-Haftung §38 BSIG