Brain-Media.de/Compliance-Lexikon/Meldepflicht NIS-2
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · NIS-2

Meldepflicht NIS-2

auch: NIS-2-Vorfallsmeldung, dreistufiges Melderegime

Die Meldepflicht nach NIS-2 verpflichtet wesentliche und wichtige Einrichtungen, erhebliche Sicherheitsvorfaelle nach einem dreistufigen Melderegime an das BSI zu melden - Fruehwarnung innerhalb 24 Stunden, Meldung innerhalb 72 Stunden und Abschlussbericht innerhalb eines Monats.

Warum das dreistufige Melderegime operative Vorbereitung erfordert

NIS-2 verschaerft die Meldefristen gegenueber der DSGVO erheblich: Eine Fruehwarnung muss bereits innerhalb von 24 Stunden erfolgen - deutlich frueher als die 72-Stunden-Frist der DSGVO. Diese kurze Frist setzt voraus, dass Erkennungs-, Bewertungs- und Meldeprozesse im Vorfeld etabliert und eingeuebt sind. Wer im Ernstfall erst die Prozesse aufbauen muss, verpasst die Frist zwangslaeufig.

Wo die NIS-2-Meldepflicht gilt

FrameworkReferenzAnforderung
NIS-2 / BSIG§ 32Meldepflichten: Dreistufiges Melderegime mit konkreten Fristen und Mindestinhalten.
NIS-2-Richtlinie (EU) 2022/2555Art. 23Meldepflichten: Europaeische Grundlage des dreistufigen Melderegimes.
BSIG§ 8bErgaenzende KRITIS-spezifische Meldepflichten fuer Betreiber kritischer Anlagen.
DSGVOArt. 33Parallele, aber unterschiedlich fristierte Meldepflicht bei Datenpannen mit personenbezogenen Daten.
DORAArt. 19Vergleichbares, aber eigenstaendiges Melderegime fuer den Finanzsektor mit 4-Stunden-Erstmeldung.

BAM-Objektreferenz

BAM-Objekt NIS2-MP-01
BeschreibungNIS-2-Meldepflicht mit dreistufigem Melderegime (24h/72h/1 Monat)
GitHubBAM Core →

Haeufige Fehler

  • Kein dokumentierter Klassifizierungsprozess fuer "erhebliche" Sicherheitsvorfaelle
  • 24-Stunden-Frist fuer Fruehwarnung nicht in Eskalationsprozessen verankert
  • Verwechslung mit DSGVO-Fristen (72 Stunden) bei parallel betroffenen Daten
  • Kein Nachweis ueber tatsaechlich durchgefuehrte Meldungen oder geuebte Prozesse

Die drei Meldestufen im Detail

Die Fruehwarnung (24 Stunden) signalisiert dem BSI, ob ein Vorfall vermutlich durch rechtswidrige oder boeswillige Handlung verursacht wurde und grenzueberschreitende Auswirkungen haben koennte. Die Meldung (72 Stunden) liefert eine erste Bewertung von Schwere und Auswirkungen sowie Kompromittierungsindikatoren. Der Abschlussbericht (1 Monat) enthaelt die detaillierte Beschreibung des Vorfalls, Ursachenanalyse und ergriffene/geplante Massnahmen. Bei andauernden Vorfaellen ist statt des Abschlussberichts ein Fortschrittsbericht faellig.

Naechster Schritt

NIS-2-Stresstest starten

Kostenloser Compliance-Stresstest zur Meldeprozess-Bereitschaft.

Verwandte Begriffe

BSI-MeldepflichtDatenpanneData Breach

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper