Ab 11.09.2026: Meldepflichten. Sind Ihre Prozesse bereit für das neue Gesetz?

Marcel Rieger

Managing Director, Cyber Risk

NIS2 verpflichtet betroffene Unternehmen zu einer Erstmeldung bei erheblichen Sicherheitsvorfällen innerhalb von 24 Stunden – beim BSI. Innerhalb von 72 Stunden muss ein vollständiger Zwischenbericht vorliegen. Innerhalb eines Monats der abschließende Incident Report.

Das klingt machbar. Bis Sie im Ernstfall merken: es gibt keinen Prozess, der das in dieser Zeit liefert.

Was die Meldepflicht in der Praxis bedeutet

24 Stunden nach Entdeckung eines erheblichen Vorfalls ist wenig Zeit. In diesen 24 Stunden müssen Sie: feststellen ob der Vorfall 'erheblich' im Sinne von NIS2 ist (das hat eine definierte Bedeutung: signifikante Betriebsbeeinträchtigung oder Hinweis auf einen gezielten Angriff), intern eskalieren und korrekte Meldewege sicherstellen, um die BSI-Meldestelle zu kontaktieren und eine strukturierte Erstmeldung einzureichen.

Ohne vorbereitete Prozess – Klassifizierungsmatrix, interne Eskalationskette, Meldevorlage, BSI-Kontakt – ist das in 24 Stunden kaum zu schaffen. Und jede Fristüberschreitung ist ein eigenständiger Verstoß gegen NIS2.

Was passiert, wenn der Prozess fehlt

Fristversäumnis ist eine Ordnungswidrigkeit nach NIS2 – mit Bußgeldern bis zu 10 Millionen Euro. Und die fehlende oder verspätete Meldung wird selbst zum Nachweis mangelnder Vorbereitung – was bei der Haftungsprüfung der Geschäftsführung relevant wird.

Was wir liefern

Eine Incident-Klassifizierungsmatrix: Wann ist ein Vorfall meldepflichtig? Einen dokumentierten Meldeprozess mit Rollen, Fristen und Verantwortlichkeiten. BSI-Meldevorlagen die direkt einsatzbereit sind. Integration in Ihre bestehenden Incident-Response-Prozesse.

Was nach einem ersten Sicherheitsvorfall passiert: Die Behörden schauen nicht nur auf den Vorfall selbst, sondern auf Ihre Reaktion. Wer die Fristen einhält, wer strukturiert und vollständig meldet, und wer nachweist dass er vorbereitet war, wird deutlich milder behandelt als wer improvisiert. Vorbereitung zahlt sich doppelt aus.

Was die 24-Stunden-Frist in der Praxis bedeutet: Sie müssen nicht alle Antworten haben. Die Frühwarnung an das BSI muss nur bekannt geben, dass ein Vorfall stattgefunden hat und was erste Erkenntnisse sind. Vollständigkeit kommt mit dem 72-Stunden-Bericht. Aber auch die Frühwarnung muss strukturiert und vollständig genug sein, um als valide zu gelten.