BSI-Leitlinie zur NIS-2 Meldepflicht von Cybervorfällen

Publiziert am 13. Juli 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Unternehmen, die im KRITIS-Bereich aktiv sind und der NIS-2-Richtlinie unterliegen, müssen Cybervorfälle binnen einer kurzen Frist an das BSI melden. Aber kann eine solche Meldung zurückgezogen werden? Was ist bezüglich einer Meldung zu beachten. Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es eine Anleitung zum Thema.

Ich bin die Tage über nachfolgenden Post von Dennis Kipker auf das Thema aufmerksam geworden. Die BSI-Anleitung #nis2know: NIS-2-Meldepflicht ist online abrufbar.

BSI-Leitfaden NIS-2 Meldepflicht Cybervorfälle

Das BSI macht klar, dass NIS-2-betroffene Unternehmen dem BSI erhebliche Sicherheitsvorfälle melden müssen.  Die Meldung erheblicher Sicherheitsvorfälle muss unverzüglich (innerhalb von 24 Stunden) nach Kenntniserlangung dem BSI gemeldet werden.

Die Meldepflicht für erhebliche Sicherheitsvorfälle gilt für besonders wichtige und wichtige Einrichtungen sowie Betreiber kritischer Anlagen.

  • Zu erheblichen Sicherheitsvorfällen zählen Vorfälle, die zu schwerwiegenden Betriebsstörungen der Dienste oder zu finanziellen Verlusten der Einrichtung geführt haben oder führen können.
  • Zu den meldepflichtigen Vorfällen zählen auch Vorfälle, die andere Personen oder Betreiber durch erhebliche materielle oder immaterielle Schäden beeinträchtigen können (Artikel 23 (3) der NIS-2-RL).

Für DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter gilt die Definition von erheblichen Sicherheitsvorfällen nach Artikel 3 der Durchführungsverordnung (EU) 2024/2690 der Kommission vom 17. Oktober 2024. Der Leitfaden des BSI dürfte für die betroffenen Stellen eine erste Hilfe zur Orientierung darstellen.

Problem: NIS-2 Richtlinie noch nicht verabschiedet

Aktuell besteht allerdings noch das Problem, dass die NIS-2-RL in Deutschland nicht verabschiedet wurde (siehe NIS-2-Richtlinie: Wie ist der Status? Neuer Referentenentwurf (Juni 2025)). Das BSI schreibt dazu: „Informationen zur Erläuterung von meldepflichtigen erheblichen Sicherheitsvorfällen werden beizeiten veröffentlicht.“

Die NIS-2-RL wird aber kommen, da es eine EU-Richtlinie ist, die eigentlich zum 17. Oktober 2024 in nationales Recht hätte umgesetzt werden müssen. Daher gibt es ein EU Vertragsverletzungsverfahren gegen Deutschland und weitere EU-Länder, was teuer für den Steuerzahler werden könnte. Golem hat die Woche in diesem Artikel eine Analyse vorgenommen und berichtet, dass nur vier EU-Länder NIS-2 umgesetzt haben. 19 EU-Länder haben von der EU die Aufforderung erhalten, die NIS-2-RL binnen zwei Monaten umzusetzen.

Ähnliche Artikel:
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden
Praxisleitfaden zur NIS-2-Umsetzung
BSI will Unternehmen bei NIS-2 unterstützen
Kommunal-IT und Informationssicherheitsbeauftragte (ISBs) in der NIS-2-Falle?
NIS-2-Richtlinie: Wie ist der Status? Neuer Referentenentwurf (Juni 2025)

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu BSI-Leitlinie zur NIS-2 Meldepflicht von Cybervorfällen

  1. alex sagt:
    14. Juli 2025 um 09:00 Uhr

    Ich greife hier einen Titel eines Kommentares unter dem heise Artikel auf, weil ich den ganz passend finde:
    „Reden wir hier über echten Cyberschutz oder Compliancetheater? “

    Mein Senf dazu:
    Es geht hier nicht um echte Sicherheit, sondern nur darum wer haftet wann. Stellt euch mal vor es würden echte Sicherheitsvorgaben gemacht, aktualisiert und geprüft werden. Und das durch Prüfer die echte Menschen (keine KI oder Bot) sind und die arbeiten beim Staat und nicht für und denn geht es nicht ausschließlich darum jemanden den schwarzen Peter zuzuschieben, sondern mit den IT-Ansprechpartnern regelmäßig im Austausch zu sein und die Probleme anzugehen, anstatt diese nur aufzuschreiben.

    Naaaa…. das wäre nicht der Staat (EU Regierung) wie wir sie gewohnt sind ;-)

    Antworten
    • Blacky Forest sagt:
      14. Juli 2025 um 11:36 Uhr

      Man sollte sich schon mit dem Thema auseinandersetzen. Natürlich kann man die Frage stellen, ob hier überreguliert wird.
      Aber mit dem Schwarzen Peter hat das nichts zu tun, der liegt beim Geschäftsführer.
      Aber es sicherlich sinnvoll die Unternehmen zu einem Mindestmaß an Informationssicherheit zu erziehen. Das ist manchem Geschäftsführer nicht bewusst, meistens will er einfach nicht (Kosten und so). TISAX und ISO27001 bzw. BSI-Grundschutz lassen da auch z.T. einfache Mechanismen zu, z.B. für kleine Unternehmen.
      Ständig hört man: „Es ist nicht mehr die Frage, ob man von „hacking“ betroffen ist, sondern wann“. Die Vorbereitung bzw. Abwendung dieses Szenarios wird jetzt gesetzlich vorgeschrieben, für viele schon zu spät.
      Kostet das Geld? Ja.
      Ist es nötig? Ja.
      Da stecken die Informationen von anderen mit drin (auch die von Hans Wurst), da stecken Arbeitsplätze dahinter…

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert