§ 32 BSIG: die NIS-2-Meldepflicht
Drei Stufen, eine 24-Stunden-Uhr, und was als erheblich gilt.
Was § 32 BSIG verlangt
§ 32 BSIG setzt die Meldepflicht aus Artikel 23 NIS 2 in deutsches Recht um. Betroffene Einrichtungen müssen erhebliche Sicherheitsvorfälle in drei Stufen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Die schwierige Frage ist selten das Wie, sondern ob ein Vorfall überhaupt erheblich ist.
Die 24-Stunden-Uhr beginnt mit der Kenntnis des Vorfalls. Wer erst im Ernstfall überlegt, ob gemeldet werden muss, hat die Frist bereits zur Hälfte verbraucht.
Frühwarnung binnen 24 Stunden
Eine erste Frühwarnung an das BSI binnen 24 Stunden nach Kenntnis des erheblichen Vorfalls, mit der Angabe, ob ein rechtswidriger oder böswilliger Auslöser vermutet wird und ob grenzüberschreitende Auswirkungen möglich sind.
Meldung binnen 72 Stunden
Eine ausführlichere Meldung binnen 72 Stunden, die die Frühwarnung um eine erste Bewertung des Vorfalls, seine Schwere und Auswirkungen sowie verfügbare Kompromittierungsindikatoren ergänzt.
Abschlussbericht nach einem Monat
Ein Abschlussbericht spätestens einen Monat nach der Meldung: eine ausführliche Beschreibung, die Art der Bedrohung oder die Ursache, die ergriffenen Abhilfemaßnahmen und etwaige grenzüberschreitende Auswirkungen.
Auf EU-Ebene sind die quantitativen Schwellenwerte für einen erheblichen Vorfall in der Durchführungsverordnung (EU) 2024/2690 festgelegt, gelten aber unmittelbar nur für die dort genannten digitalen Infrastrukturen und Diensteanbieter. Für die meisten betroffenen Einrichtungen, etwa Produktion, Logistik, Gesundheit oder Abfall, gibt es keine EU-Zahlen.
Für diese Einrichtungen richtet sich erheblich nach den qualitativen Kriterien aus Artikel 23 Absatz 3 NIS 2, in deutsches Recht überführt als Legaldefinition in § 2 Nummer 11 BSIG. Jedes Unternehmen muss binnen 24 Stunden selbst entscheiden, ob ein Vorfall meldepflichtig ist, und diese Entscheidung dokumentieren können. Die dokumentierte Einschätzung ist der Nachweis.
Die Meldungen gehen an das BSI, in Deutschland über dessen Meldeportal. Legen Sie intern vorab fest, wer über eine Meldung entscheidet und wer sie einreicht. Das im Vorfall zu klären, kostet Zeit, die Sie nicht haben.
Den Entscheidungsweg vorab festzulegen, und sei es als einseitiger Entscheidungsbaum, ist selbst Teil der Maßnahme zur Bewältigung von Sicherheitsvorfällen nach Artikel 21 Absatz 2 Buchstabe b NIS 2.
Sind personenbezogene Daten betroffen, kann parallel eine Meldepflicht nach Artikel 33 DSGVO bestehen. Die beiden Regime haben unterschiedliche Adressaten und unterschiedliche Fristen.
Melden Sie nicht das eine statt des anderen. Ein Ransomware-Vorfall, der Kundendaten verschlüsselt, kann sowohl die Meldekaskade nach § 32 BSIG als auch die 72-Stunden-Meldung nach DSGVO an die Datenschutzbehörde auslösen.
Häufige Fragen
Ab wann läuft die 24-Stunden-Frist?
Ab Kenntnis des erheblichen Vorfalls, nicht ab seinem Beginn.
Gibt es feste Euro-Schwellen für einen erheblichen Vorfall?
Nur für die in der CIR (EU) 2024/2690 genannten digitalen Diensteanbieter. Für alle anderen Einrichtungen gelten die qualitativen Kriterien aus Artikel 23 Absatz 3 NIS 2.
Was, wenn ich unsicher bin, ob ein Vorfall erheblich ist?
Dokumentieren Sie Ihre Einschätzung und die Gründe. Die begründete Entscheidung ist, was ein Prüfer sehen will; das Fehlen jeder Einschätzung ist der eigentliche Fehler.
Muss ich auch nach DSGVO melden?
Sind personenbezogene Daten betroffen, prüfen Sie Artikel 33 DSGVO gesondert. Er hat eine eigene 72-Stunden-Frist und einen anderen Adressaten.
Was passiert nach der Meldung?
Das BSI kann weitere Informationen anfordern, und der Abschlussbericht folgt spätestens einen Monat nach der Meldung.