Erheblicher Sicherheitsvorfall unter NIS 2
Zwei qualitative Auslöser, eine Verordnung mit Zahlen für digitale Infrastruktur, ein schriftliches Entscheidungsprotokoll für alle anderen.
Warum die Definition zählt
Erheblichkeit startet die gesamte Meldekaskade aus Art. 23 NIS 2: Frühwarnung innerhalb von 24 Stunden, Sicherheitsvorfallsmeldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Ist ein Vorfall erheblich, läuft die Uhr ab dem Moment der Kenntniserlangung. Ist er es nicht, schulden Sie weder dem CSIRT noch der zuständigen Behörde eine Meldung.
Art. 23(3) NIS 2 liefert nur zwei allgemeine Formulierungen. Die Durchführungsverordnung (EU) 2024/2690 (CIR) ergänzt harte Zahlen, aber nur für eine kleine Gruppe digitaler Anbieter (DNS, TLD, Cloud, Rechenzentren, CDN, MSP, MSSP, Marktplätze, Suchmaschinen, soziale Netze, Vertrauensdienste). Für jeden anderen NIS 2 Sektor bleibt der Test qualitativ.
Diese Lücke unterschätzen die meisten CISOs. Sind Sie in Fertigung, Lebensmitteln, Gesundheit oder Abfallwirtschaft tätig, gibt es keine Eurozahl, keine Ausfalldauer, keine Nutzerzahl. Sie müssen entscheiden, Sie müssen schnell entscheiden, und Sie müssen später erklären können, warum.
Richtlinie (EU) 2022/2555 (NIS 2), Art. 23(3)
Ein Sicherheitsvorfall gilt als erheblich, wenn (a) er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann oder (b) er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.
Das ist die einzige allgemeine Definition eines erheblichen Sicherheitsvorfalls im EU-Recht. Beide Punkte enthalten die Möglichkeitsform (verursachen kann), Sie müssen also auch das Schadenspotenzial bewerten, nicht nur den eingetretenen Schaden. Schwerwiegend, erheblich, materiell werden nie beziffert.
Durchführungsverordnung (EU) 2024/2690, Art. 3
Ein Sicherheitsvorfall gilt als erheblich, wenn er verursacht hat oder verursachen kann (a) einen direkten finanziellen Verlust von mehr als 500.000 EUR oder 5 Prozent des Jahresumsatzes (je nachdem, welcher Betrag niedriger ist), (b) die Exfiltration von Geschäftsgeheimnissen, (c) den Tod einer natürlichen Person, (d) eine erhebliche Gesundheitsschädigung einer natürlichen Person, (e) einen erfolgreichen, mutmaßlich bösartigen und unbefugten Zugang, der schwerwiegende Betriebsstörungen verursachen kann.
CIR Art. 1 sagt, dass diese Zahlen nur für bestimmte digitale Anbieter gelten (DNS, TLD, Cloud, Rechenzentrum, CDN, MSP, MSSP, Marktplatz, Suchmaschine, soziale Plattform, Vertrauensdienste). Art. 5 bis 14 ergänzen sektorspezifische Verfügbarkeitsschwellen für dieselbe Gruppe. Steht Ihr Sektor nicht auf dieser Liste, binden Sie diese Zahlen nicht und der qualitative Test aus Art. 23(3) steht allein.
§32 BSIG (Deutschland, Beispielumsetzung)
Wesentliche und wichtige Einrichtungen melden dem BSI erhebliche Sicherheitsvorfälle unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung als Frühwarnung, innerhalb von 72 Stunden als Sicherheitsvorfallsmeldung und innerhalb eines Monats als Abschlussbericht.
Jeder Mitgliedstaat setzt Art. 23 in nationales Recht um. §32 BSIG wiederholt die Kaskade und benennt das BSI als Empfänger. Eigene Zahlen für nicht-digitale Sektoren fügt §32 BSIG nicht hinzu. Niederlande, Österreich und Frankreich folgen demselben Muster.
Allgemeine Schwellen
500.000 EUR oder 5 Prozent Umsatz (je nachdem, welcher Betrag niedriger ist), exfiltrierte Geschäftsgeheimnisse, Tod einer Person, erhebliche Gesundheitsschädigung, oder ein erfolgreicher bösartiger Eingriff, der schwerwiegende Betriebsstörungen verursachen kann. Jeder einzelne Punkt löst Erheblichkeit für die digitalen Anbieter im Anwendungsbereich aus.
Wiederkehrende Vorfälle
Kleine Vorfälle summieren sich. Verursacht dieselbe Ursache mindestens zwei Vorfälle innerhalb von sechs Monaten und überschreiten sie zusammen die Finanzschwelle aus Art. 3(1)(a), behandelt die CIR sie als einen erheblichen Vorfall. Jeden Vorfall isoliert zu zählen, ist falsch.
DNS- und TLD-Spezifika
Für DNS-Resolver und TLD-Namenregister: Namensauflösung über 30 Minuten ausgefallen, durchschnittliche Antwortzeit über 10 Sekunden für mehr als eine Stunde, oder Datenintegrität bei mehr als 1.000 Domains oder 1 Prozent des Bestandes verletzt. Art. 6 bis 14 setzen vergleichbare Schwellen für Cloud, CDN, MSP, MSSP, Marktplätze, Suche, soziale Plattformen und Vertrauensdienste.
Auslöser A: schwerwiegende Betriebsstörung oder finanzieller Verlust für Ihre Einrichtung
Das ist der nach innen gerichtete Auslöser. Die Richtlinie gibt Ihnen keine Eurozahl, keine Dauer, keinen Prozentsatz. Erwägungsgrund 101 nennt drei Indikatoren: wie stark der Dienst betroffen ist, wie lange der Vorfall dauert, wie viele Dienstempfänger es trifft. Nutzen Sie sie zur Strukturierung. Behandeln Sie sie nicht als Checkliste.
Auslöser B: erhebliche materielle oder immaterielle Schäden bei Dritten
Das ist der nach außen gerichtete Auslöser. Kunden, Bürger, nachgelagerte Betreiber, Ihre Lieferkette. Immaterielle Schäden umfassen Reputations- und Vertrauensschäden. Ein kurzer Ausfall, der einen Krankenhausprozess lahmlegt, Kundendaten freilegt oder einen kommunalen Dienst kippt, kann diesen Auslöser auch dann erfüllen, wenn Ihr eigener Verlust gering ist.
BSI-Hinweise zu §32 BSIG
Das BSI wiederholt den Wortlaut aus Art. 23(3) und verweist Sie auf das Standardmeldeformular (MIRP). Eine Zahl für nicht-digitale Sektoren veröffentlicht das BSI nicht. Position des BSI: Sie beurteilen Erheblichkeit anhand der qualitativen Kriterien, schreiben die Begründung auf und melden im Zweifel.
ENISA Technical Implementation Guidance
Die Technical Implementation Guidance (TIG, v1.2 August 2025) der ENISA gibt praktische Hinweise zur Wirkungseinschätzung und verweist auf die CIR-Schwellen, wo sie greifen. Die TIG ist nicht bindend und gibt Sektoren außerhalb des CIR-Anwendungsbereichs ausdrücklich an die nationalen Behörden zurück.
Andere nationale Umsetzungen
Die niederländische Cyberbeveiligingswet, der österreichische NISG-2024-Entwurf und das französische OIV/REC-Regime übernehmen den Test aus Art. 23(3) wörtlich. Keiner dieser Staaten hat bislang Zahlen für nicht-digitale Sektoren veröffentlicht. Das Muster ist EU-weit dasselbe: qualitativer Test plus CIR für die digitale Gruppe.
Mythos 1: Wir merken es, wenn es passiert.
Realität: Art. 23(3) gibt Ihnen 24 Stunden, um zu entscheiden, die Begründung zu schreiben und sie vor der Behörde zu vertreten. Wenn Sie Ihre Kriterien nicht vor dem Vorfall schriftlich definiert haben, treffen Sie die Bewertung unter Druck ohne Protokoll. Bauen Sie das Entscheidungsraster jetzt, nicht am Tag X.
Mythos 2: Nur Datenschutzvorfälle zählen.
Realität: Art. 23(3)(a) erfasst Betriebsstörung und finanziellen Verlust, ohne personenbezogene Daten zu verlangen. Eine durch Ransomware gestoppte Produktionslinie ohne Datenabfluss ist ein erheblicher Sicherheitsvorfall. Eine Logistikplattform drei Stunden offline ist ein erheblicher Sicherheitsvorfall. NIS 2 ist nicht die DSGVO.
Mythos 3: Kleine Vorfälle unterhalb der Schwelle summieren sich nicht.
Realität: CIR Art. 4 (und analog die qualitativen Auslöser) regelt, dass wiederkehrende Vorfälle mit derselben Ursache zusammengezählt werden. Zwei 20-Minuten-Ausfälle desselben fehlerhaften Bauteils innerhalb von sechs Monaten können die Schwelle gemeinsam erreichen. Jeden Vorfall isoliert zu zählen, ist falsch.
Anhang I und II der NIS 2 erfassen rund 18 Sektoren. Nur die in CIR Art. 1 definierte digitale Gruppe (etwa elf Einrichtungstypen) erhält Zahlen. Zahlenmäßig ein kleiner Ausschnitt der erfassten Einrichtungen. Für Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, öffentliche Verwaltung, Raumfahrt, Postdienste, Abfallwirtschaft, Chemie, Lebensmittel, Fertigung und Forschung bleibt der Test qualitativ.
Genau dort können Sie im Raum nützlich sein. Die ehrliche Antwort auf die Vorstandsfrage (was zählt für uns als erheblich) lautet: Die EU hat es Ihrem Urteil überlassen, hier sind die drei Indikatoren aus Erwägungsgrund 101, hier ist das Entscheidungsprotokoll, das wir im Ereignisfall produzieren, hier ist der Unterzeichner, hier ist das BSI-Meldeformular, das wir einreichen. Die belastbare Antwort ist keine Zahl. Sie ist eine schriftliche Entscheidung.
Das Vorfallsmodul auf nisd2.eu erfasst Ihre Klassifizierungsbegründung als strukturiertes Feld, an Art. 23(3) gekoppelt. Für digitale Einrichtungen erscheinen die Zahlen aus CIR Art. 3, 4 und 5 als Leitplanken. Für alle anderen erscheinen die drei Indikatoren aus Erwägungsgrund 101 als geführtes Raster, die Begründung wird signiert und mit Zeitstempel versehen, der Datensatz fließt in die 24- und 72-Stunden-Berichte ein.
Das Ergebnis ist ein Protokoll, das Sie vertreten können: Entscheidung, Begründung, Unterzeichner, Zeitstempel. Genau das fordert die zuständige Behörde oder das BSI nach einem Grenzfall an. Es schützt zudem das Leitungsorgan nach Art. 20 NIS 2, wenn jemand die Bewertung später bestreitet.
- Richtlinie (EU) 2022/2555 (NIS 2), Art. 23 und Erwägungsgrund 101 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Durchführungsverordnung (EU) 2024/2690, Art. 1, 3, 4 und 5 bis 14 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- §32 BSIG (Deutschland) — bsi.bund.de Regulierungsportal
- ENISA Technical Implementation Guidance zur NIS-2-Vorfallsmeldung (TIG) — enisa.europa.eu
- BSI MIRP-Meldeformular und Vorfallsleitlinien — bsi.bund.de