Einrichtungen, die unter die NIS-2-Richtlinie fallen, sind verpflichtet, erhebliche IT-Sicherheitsvorfälle unverzüglich an das BSI zu melden. Darunter fallen etwa Betreiber kritischer Anlagen, Anbieter von Cloud- oder Rechenzentrumsdiensten, Onlinemarktplätze oder soziale Netzwerke. Als "erheblich" gelten Vorfälle, die etwa zu Betriebsstörungen, finanziellen Schäden oder grenzüberschreitenden Auswirkungen führen können. Eine erste Einschätzung muss spätestens 24 Stunden nach Kenntniserlangung erfolgen – auch wenn noch nicht alle Informationen vorliegen.

Das dreistufige Meldeverfahren besteht aus einer Frühmeldung, einer Meldung innerhalb von 72 Stunden und einer Abschluss- oder Folgemeldung spätestens nach einem Monat. Dabei sollen auch unklare Verdachtsfälle frühzeitig angezeigt werden. Nachträgliche Korrekturen sind jederzeit möglich – ein Zurückziehen der Meldung jedoch nicht. Das BSI unterstützt die Meldestellen mit standardisierten Formularen und garantiert den vertraulichen Umgang mit den Daten.

Konkrete Meldevorgaben des BSI im Überblick

Frühe Erstmeldung: Innerhalb von 24 Stunden nach Kenntniserlangung

• Charakter einer Frühwarnung
• Verdacht auf rechtswidrige oder böswillige Handlungen
• Verdacht, ob grenzüberschreitende Auswirkungen möglich sind

Meldung: Innerhalb von 72 Stunden nach Kenntniserlangung

• Aktualisierung der Informationen der frühen Erstmeldung
• Bewertung des erheblichen Sicherheitsvorfalls
• Schweregrad des Vorfalls
• Auswirkungen des Vorfalls
• gegebenenfalls Kompromittierungsindikatoren (IOCs)

Folgemeldung/Abschlussmeldung: Spätestens nach einem Monat nach Meldung

• Abschlussmeldung, wenn Vorfall beendet ist, ansonsten Folgemeldung
• ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen
• Angaben zur Art der Bedrohung beziehungsweise zugrundeliegenden Ursache
• Angaben zu den getroffenen und laufenden Abhilfemaßnahmen
• grenzüberschreitende Auswirkungen des Sicherheitsvorfalls

Der Meldevorgang ist beendet, wenn die Einrichtung beziehungsweise der Betreiber den Vorfall beseitigt und eine Abschlussmeldung beim BSI abgegeben hat. Die Verantwortung für eine fristgerechte und vollständige Meldung liegt bei der jeweiligen Einrichtung, kann jedoch an autorisierte Mitarbeitende oder externe Dienstleister delegiert werden. Wichtig ist dabei, dass geeignete Ansprechpartner auch außerhalb der Geschäftszeiten erreichbar sind, um im Ernstfall schnell handeln zu können. Denn das BSI warnt: Im Notfall wird auch nachts oder an Feiertagen kommuniziert.