Erheblicher Sicherheitsvorfall unter NIS 2
Zwei qualitative Auslöser, eine Verordnung mit Zahlen für digitale Infrastruktur, ein schriftliches Entscheidungsprotokoll für alle anderen.
Warum die Definition zählt
Erheblichkeit startet die gesamte Meldekaskade aus Art. 23 NIS 2: Frühwarnung innerhalb von 24 Stunden, Sicherheitsvorfallsmeldung innerhalb von 72 Stunden, Abschlussbericht innerhalb eines Monats. Ist ein Vorfall erheblich, läuft die Uhr ab dem Moment der Kenntniserlangung. Ist er es nicht, schulden Sie weder dem CSIRT noch der zuständigen Behörde eine Meldung.
Art. 23(3) NIS 2 liefert nur zwei allgemeine Formulierungen. Die Durchführungsverordnung (EU) 2024/2690 (CIR) ergänzt harte Zahlen, aber nur für eine kleine Gruppe digitaler Anbieter (DNS, TLD, Cloud, Rechenzentren, CDN, MSP, MSSP, Marktplätze, Suchmaschinen, soziale Netze, Vertrauensdienste). Für jeden anderen NIS 2 Sektor bleibt der Test qualitativ.
Diese Lücke unterschätzen die meisten CISOs. Sind Sie in Fertigung, Lebensmitteln, Gesundheit oder Abfallwirtschaft tätig, gibt es keine Eurozahl, keine Ausfalldauer, keine Nutzerzahl. Sie müssen entscheiden, Sie müssen schnell entscheiden, und Sie müssen später erklären können, warum.
Richtlinie (EU) 2022/2555 (NIS 2), Art. 23(3)
Ein Sicherheitsvorfall gilt als erheblich, wenn (a) er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann oder (b) er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann.
Das ist die einzige allgemeine Definition eines erheblichen Sicherheitsvorfalls im EU-Recht. Beide Punkte enthalten die Möglichkeitsform (verursachen kann), Sie müssen also auch das Schadenspotenzial bewerten, nicht nur den eingetretenen Schaden. Schwerwiegend, erheblich, materiell werden nie beziffert.
Durchführungsverordnung (EU) 2024/2690, Art. 3
Ein Sicherheitsvorfall gilt als erheblich, wenn er verursacht hat oder verursachen kann: (a) einen direkten finanziellen Verlust von mehr als 500.000 EUR oder 5 Prozent des Jahresumsatzes im vorangegangenen Geschäftsjahr (je nachdem, welcher Betrag niedriger ist); (b) den Abfluss von Geschäftsgeheimnissen der Einrichtung im Sinne von Artikel 2 Nummer 1 der Richtlinie (EU) 2016/943; (c) den Tod einer natürlichen Person; (d) eine schwere Schädigung der Gesundheit einer natürlichen Person; (e) einen erfolgreichen, mutmaßlich böswilligen und unbefugten Zugriff auf Netz- und Informationssysteme, geeignet schwerwiegende Betriebsstörungen zu verursachen; (f) die in Artikel 4 aufgeführten Kriterien (wiederkehrende Vorfälle); oder (g) eines oder mehrere der in den Artikeln 5 bis 14 aufgeführten Kriterien (entitätsspezifisch). Jedes einzelne Kriterium reicht.
Sieben Kriterien (Buchstabe a bis g): fünf inhaltliche plus zwei Querverweise. CIR Art. 1 sagt, dass diese Zahlen nur für bestimmte digitale Anbieter gelten (DNS, TLD, Cloud, Rechenzentrum, CDN, MSP, MSSP, Marktplatz, Suchmaschine, soziale Plattform, Vertrauensdienste). Art. 5 bis 14 ergänzen sektorspezifische Verfügbarkeitsschwellen für dieselbe Gruppe. Steht Ihr Sektor nicht auf dieser Liste, binden Sie diese Zahlen nicht und der qualitative Test aus Art. 23(3) steht allein.
§32 BSIG (Deutschland, Beispielumsetzung)
Wesentliche und wichtige Einrichtungen melden dem BSI erhebliche Sicherheitsvorfälle unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung als Frühwarnung, innerhalb von 72 Stunden als Sicherheitsvorfallsmeldung und innerhalb eines Monats als Abschlussbericht.
Jeder Mitgliedstaat setzt Art. 23 in nationales Recht um. §32 BSIG wiederholt die Kaskade und benennt das BSI als Empfänger. Eigene Zahlen für nicht-digitale Sektoren fügt §32 BSIG nicht hinzu. Niederlande, Österreich und Frankreich folgen demselben Muster.
Sieben Kriterien (Buchstabe a bis g)
Fünf inhaltliche Auslöser plus zwei Querverweise. (a) 500.000 EUR oder 5 Prozent des letzten Jahresumsatzes (niedrigerer Wert), (b) abgeflossene Geschäftsgeheimnisse, (c) Tod einer Person, (d) schwere Gesundheitsschädigung, (e) erfolgreicher böswilliger Zugriff mit Potenzial schwerwiegender Betriebsstörungen, (f) wiederkehrende Vorfälle nach Art. 4, (g) entitätsspezifische Schwellen nach Art. 5 bis 14. Jedes einzelne reicht für die digitalen Anbieter im Anwendungsbereich.
Wiederkehrende Vorfälle
Kleine Vorfälle summieren sich. Verursacht dieselbe Ursache mindestens zwei Vorfälle innerhalb von sechs Monaten und überschreiten sie zusammen die Finanzschwelle aus Art. 3(1)(a), behandelt die CIR sie als einen erheblichen Vorfall. Jeden Vorfall isoliert zu zählen, ist falsch.
DNS- und TLD-Spezifika
Für DNS-Resolver und TLD-Namenregister: Namensauflösung über 30 Minuten ausgefallen, durchschnittliche Antwortzeit über 10 Sekunden für mehr als eine Stunde, oder Datenintegrität bei mehr als 1.000 Domains oder 1 Prozent des Bestandes verletzt. Art. 6 bis 14 setzen vergleichbare Schwellen für Cloud, CDN, MSP, MSSP, Marktplätze, Suche, soziale Plattformen und Vertrauensdienste.
Auslöser A: schwerwiegende Betriebsstörung oder finanzieller Verlust für Ihre Einrichtung
Das ist der nach innen gerichtete Auslöser. Die Richtlinie gibt Ihnen keine Eurozahl, keine Dauer, keinen Prozentsatz. Erwägungsgrund 101 nennt drei Indikatoren: wie stark der Dienst betroffen ist, wie lange der Vorfall dauert, wie viele Dienstempfänger es trifft. Nutzen Sie sie zur Strukturierung. Behandeln Sie sie nicht als Checkliste.
Auslöser B: erhebliche materielle oder immaterielle Schäden bei Dritten
Das ist der nach außen gerichtete Auslöser. Kunden, Bürger, nachgelagerte Betreiber, Ihre Lieferkette. Immaterielle Schäden umfassen Reputations- und Vertrauensschäden. Ein kurzer Ausfall, der einen Krankenhausprozess lahmlegt, Kundendaten freilegt oder einen kommunalen Dienst kippt, kann diesen Auslöser auch dann erfüllen, wenn Ihr eigener Verlust gering ist.
Ransomware legt die Produktion zwei Tage lahm
Betrieb steht. Auslöser A aus Art. 23 Abs. 3 NIS 2 (schwerwiegende Betriebsstörung) ist erfüllt. Frühwarnung 24h, Meldung 72h, Abschlussbericht 1 Monat (Art. 23 NIS 2 / §32 BSIG).
Phishing-Mail angeklickt, kein Passwort eingegeben
Eindämmung erfolgreich, keine Auswirkung auf Dienste oder Dritte. Wer trotzdem teilen möchte: Freiwillige Meldung nach Artikel 30 NIS 2 ist möglich und löst keine zusätzlichen Pflichten aus (Art. 30 Abs. 4).
Cloud-Anbieter fällt aus, eigener Dienst verzögert
Wenn der eigene Dienst dadurch deutlich langsamer wird oder steht, ist Auslöser A erfüllt. Parallel Auslöser B prüfen: Leiden Kunden oder nachgelagerte Betreiber? (Art. 23 Abs. 3 NIS 2)
DDoS-Angriff legt das Kundenportal vier Stunden lahm
Deutliche Unterbrechung gegenüber Kunden. Beide Auslöser aus Art. 23 Abs. 3 NIS 2 sind potenziell erfüllt. Bei DNS-, Cloud- oder Vertrauensdiensten zusätzlich CIR Art. 5 bis 14 prüfen.
Fehlkonfiguration legt Kundendaten offen
DSGVO Artikel 33: 72h an die Datenschutzbehörde. Wenn auch eine NIS 2-Schwelle gerissen wird (Art. 23 Abs. 3 NIS 2 oder CIR Art. 3), zusätzlich NIS 2 Artikel 23: 24h Frühwarnung an den CSIRT. Beide Uhren starten ab Kenntniserlangung.
Lieferant gehackt, eigener Dienst dadurch beeinträchtigt
Erst Schaden für die eigene Einrichtung oder Kunden prüfen. Nicht jeder Lieferantenvorfall ist eine eigene Meldepflicht. Parallel: Lieferantenaufsicht nach Art. 21 Abs. 2 lit. d NIS 2 dokumentieren.
Unsicher, ob die Schwelle gerissen ist? Frühwarnung einreichen, später nachbessern. Art. 23 Abs. 4 lit. a NIS 2 ist genau dafür da. Die Aufsicht hört lieber früh 'wir wissen es noch nicht sicher' als spät 'wir haben zu lange gewartet'.
Artikel 30 Absatz 1 NIS 2 erlaubt freiwillige Meldungen von Vorfällen, Cyberbedrohungen und Beinahevorfällen an den CSIRT. Das gilt sowohl für Einrichtungen im Anwendungsbereich der Richtlinie als auch für Einrichtungen außerhalb, die einen erheblichen Vorfall melden möchten.
Artikel 30 Absatz 4 NIS 2 ist der entscheidende Schutz: freiwillige Meldungen führen nicht zu zusätzlichen Pflichten für die meldende Einrichtung. Wer im Grenzfall meldet, riskiert dadurch keine weitergehenden Auflagen. Das beseitigt den naheliegenden Vorwand, einen unklaren Vorfall nicht zu melden.
Artikel 23 Absatz 2 NIS 2 fügt eine separate Pflicht hinzu. Wesentliche und wichtige Einrichtungen unterrichten unverzüglich ihre Empfänger der Dienste über erhebliche Cyberbedrohungen, gegen die diese Maßnahmen ergreifen können. Das ist nicht die CSIRT-Meldung, sondern die Aussenkommunikation an Kunden.
In Deutschland setzt §35 BSIG das um. §35 Absatz 1 erlaubt dem BSI, die Unterrichtung anzuordnen. §35 Absatz 2 verpflichtet zusätzlich bestimmte Sektoren (Finanzwesen, Sozialversicherung, Digitale Infrastruktur, IKT-Dienste-Verwaltung, Digitale Dienste) zur eigenständigen Unterrichtung. Die Kommunikation kann per Veröffentlichung auf der Webseite erfolgen.
BSI-Hinweise zu §32 BSIG
Das BSI wiederholt den Wortlaut aus Art. 23(3) und verweist Sie auf das Standardmeldeformular (MIRP). Eine Zahl für nicht-digitale Sektoren veröffentlicht das BSI nicht. Position des BSI: Sie beurteilen Erheblichkeit anhand der qualitativen Kriterien, schreiben die Begründung auf und melden im Zweifel.
ENISA Technical Implementation Guidance
Die Technical Implementation Guidance (TIG, v1.2 August 2025) der ENISA gibt praktische Hinweise zur Wirkungseinschätzung und verweist auf die CIR-Schwellen, wo sie greifen. Die TIG ist nicht bindend und gibt Sektoren außerhalb des CIR-Anwendungsbereichs ausdrücklich an die nationalen Behörden zurück.
Andere nationale Umsetzungen
Die niederländische Cyberbeveiligingswet, der österreichische NISG-2024-Entwurf und das französische OIV/REC-Regime übernehmen den Test aus Art. 23(3) wörtlich. Keiner dieser Staaten hat bislang Zahlen für nicht-digitale Sektoren veröffentlicht. Das Muster ist EU-weit dasselbe: qualitativer Test plus CIR für die digitale Gruppe.
Mythos 1: Wir merken es, wenn es passiert.
Realität: Art. 23(3) gibt Ihnen 24 Stunden, um zu entscheiden, die Begründung zu schreiben und sie vor der Behörde zu vertreten. Wenn Sie Ihre Kriterien nicht vor dem Vorfall schriftlich definiert haben, treffen Sie die Bewertung unter Druck ohne Protokoll. Bauen Sie das Entscheidungsraster jetzt, nicht am Tag X.
Mythos 2: Nur Datenschutzvorfälle zählen.
Realität: Art. 23(3)(a) erfasst Betriebsstörung und finanziellen Verlust, ohne personenbezogene Daten zu verlangen. Eine durch Ransomware gestoppte Produktionslinie ohne Datenabfluss ist ein erheblicher Sicherheitsvorfall. Eine Logistikplattform drei Stunden offline ist ein erheblicher Sicherheitsvorfall. NIS 2 ist nicht die DSGVO.
Mythos 3: Kleine Vorfälle unterhalb der Schwelle summieren sich nicht.
Realität: CIR Art. 4 (und analog die qualitativen Auslöser) regelt, dass wiederkehrende Vorfälle mit derselben Ursache zusammengezählt werden. Zwei 20-Minuten-Ausfälle desselben fehlerhaften Bauteils innerhalb von sechs Monaten können die Schwelle gemeinsam erreichen. Jeden Vorfall isoliert zu zählen, ist falsch.
Anhang I und II der NIS 2 erfassen rund 18 Sektoren. Nur die in CIR Art. 1 definierte digitale Gruppe (etwa elf Einrichtungstypen) erhält Zahlen. Zahlenmäßig ein kleiner Ausschnitt der erfassten Einrichtungen. Für Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, öffentliche Verwaltung, Raumfahrt, Postdienste, Abfallwirtschaft, Chemie, Lebensmittel, Fertigung und Forschung bleibt der Test qualitativ.
Genau dort können Sie im Raum nützlich sein. Die ehrliche Antwort auf die Vorstandsfrage (was zählt für uns als erheblich) lautet: Die EU hat es Ihrem Urteil überlassen, hier sind die drei Indikatoren aus Erwägungsgrund 101, hier ist das Entscheidungsprotokoll, das wir im Ereignisfall produzieren, hier ist der Unterzeichner, hier ist das BSI-Meldeformular, das wir einreichen. Die belastbare Antwort ist keine Zahl. Sie ist eine schriftliche Entscheidung.
Das Vorfallsmodul auf nisd2.eu erfasst Ihre Klassifizierungsbegründung als strukturiertes Feld, an Art. 23(3) gekoppelt. Für digitale Einrichtungen erscheinen die Zahlen aus CIR Art. 3, 4 und 5 als Leitplanken. Für alle anderen erscheinen die drei Indikatoren aus Erwägungsgrund 101 als geführtes Raster, die Begründung wird signiert und mit Zeitstempel versehen, der Datensatz fließt in die 24- und 72-Stunden-Berichte ein.
Das Ergebnis ist ein Protokoll, das Sie vertreten können: Entscheidung, Begründung, Unterzeichner, Zeitstempel. Genau das fordert die zuständige Behörde oder das BSI nach einem Grenzfall an. Es schützt zudem das Leitungsorgan nach Art. 20 NIS 2, wenn jemand die Bewertung später bestreitet.
- Richtlinie (EU) 2022/2555 (NIS 2), Art. 23 und Erwägungsgrund 101: eur-lex.europa.eu/eli/dir/2022/2555/oj
- Durchführungsverordnung (EU) 2024/2690, Art. 1, 3, 4 und 5 bis 14: eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- §32 BSIG (Deutschland): bsi.bund.de Regulierungsportal
- ENISA Technical Implementation Guidance zur NIS-2-Vorfallsmeldung (TIG): enisa.europa.eu
- BSI MIRP-Meldeformular und Vorfallsleitlinien: bsi.bund.de