Seit dem 06.12.2025 ist die europäische NIS-2-Richtlinie im deutschen BSI-Gesetz (BSIG) umgesetzt, in ihr sind auch Meldepflichten geregelt. Viele Unternehmen, die in betroffenen Sektoren tätig sind, müssen nun erstmals gesetzliche Pflichten in der Cybersicherheit erfüllen. In § 32 BSIG ist eine gesetzliche Meldepflicht für sogenannte „erhebliche“ Sicherheitsvorfälle i.S.d. § 2 Abs. 1 Nr. 11 BSIG geregelt. Für Organisationen, die unter den Anwendungsbereich der neuen Regelungen fallen, ist es wichtig, zu wissen, wann die Schwelle zu einem solchen erheblichen Sicherheitsvorfall überschritten ist, um rechtskonform reagieren zu können. Ziel dieses Beitrags ist eine erste Auseinandersetzung mit den Voraussetzungen dieses Begriffes. Daneben soll die Frage geklärt werden, wie der erhebliche Sicherheitsvorfall sich im Vergleich zum Datenschutzvorfall verhält.
Der Inhalt im Überblick
Neue Meldepflicht in § 32 BSIG aufgrund der NIS-2-Richtlinie
Eine gesetzliche Meldepflicht ist in Bezug auf meldepflichtige Datenschutzvorfälle geläufig, vgl. Art. 33 DSGVO. Doch mit einer Meldung an die datenschutzrechtliche Aufsichtsbehörde ist es nicht unbedingt getan. Gesetzliche Meldepflichten bei Vorfällen ergeben sich auch aus anderen gesetzlichen Grundlagen. Unter anderem im KRITIS-relevanten Bereich bestehen umfangreiche gesetzliche Regelungen, aus denen sich teilweise gesetzliche Meldepflichten bei (Sicherheits-)Vorfällen ergeben.
Zu nennen ist beispielsweise § 168 TKG in Bezug auf erhebliche Sicherheitsvorfälle im Telekommunikationsbereich und Art. 19 i.V.m. Art. 3 Nr. 8 DORA in Bezug auf schwerwiegende IKT-bezogene Sicherheitsvorfälle im Finanzbereich.
Die Meldepflichten, die sich aufgrund der Umsetzung der NIS-2-Richtlinie ergeben, sind in § 32 BSIG umfassend geregelt.
Was ist ein Sicherheitsvorfall?
Gem. § 2 Nr. 40 BSIG ist ein Sicherheitsvorfall
„ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind, beeinträchtigt“.
Bemerkenswert aus der datenschutzrechtlichen Brille ist, dass die hervorgehobene Einschränkung: In Bezug auf die vom Vorfall betroffenen Daten und Dienste muss ein Angebot oder ein Zugang über informationstechnische Systeme, Komponenten und Prozesse vorhanden sein. Damit muss in einem gewissen Umfang ein Bezug zur IT-Infrastruktur vorhanden sein, damit überhaupt ein Sicherheitsvorfall i.S.d. § 2 Nr 40 BSIG vorliegt.
Was ist ein erheblicher Sicherheitsvorfall?
In § 32 BSIG wird an den Begriff des erheblichen Sicherheitsvorfalls angeknüpft, welcher ebenfalls legaldefiniert wird:
Ein erheblicher Sicherheitsvorfall ist gem. § 2 Abs. 1 Nr. 11 BSIG ein Sicherheitsvorfall, der eine
„a) schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht oder verursachen kann oder
b) andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann,
sofern durch die Rechtsverordnung nach § 56 Absatz 5 keine konkretisierende Begriffsbestimmung erfolgt“
Ein meldepflichtiger Datenschutzvorfall ist nicht gleich ein erheblicher Sicherheitsvorfall
Es ist davon auszugehen, dass die in § 2 Abs. 1 Nr. 11 BSIG aufgestellten Kriterien
- schwerwiegende Betriebsstörung der Dienste
- finanzielle Verluste
- die Möglichkeit/Realisierung erheblicher materieller oder immaterieller Schäden für natürliche und juristische Personen
nicht ohne Weiteres und nur bei besonders schwerwiegenden Ereignissen erfüllt sein werden.
Gemäß Art. 33 Abs. 1, S. 1 DSGVO ist es zum Auslösen der datenschutzrechtlichen Meldepflicht bereits ausreichend, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die in § 2 Abs. 1 Nr. 11 BSIG aufgestellten Kriterien für das Überschreiten der Erheblichkeitsschwelle sind im Vergleich dazu als eher hoch zu bewerten.
Ein Überschreiten der Erheblichkeitsschwelle aus § 32 i.V.m. § 2 Abs. 1 Nr. 11 BSIG kann insofern nicht ohne Weiteres damit begründet werden, dass es sich um einen meldepflichtigen Datenschutzvorfall handelt.
Es muss differenziert werden: Ein meldepflichtiger Datenschutzvorfall ist nicht immer gleich ein erheblicher Sicherheitsvorfall. Zu nennen wäre beispielsweise ein falsch versendeter Brief mit sensiblen personenbezogenen Daten oder ein kurzzeitig kompromittiertes Funktionspostfach, ohne sensible Inhalte und ohne Datenabfluss. Ohne weitere Anhaltspunkte, die für schwerwiegende Störungen oder Schäden sprechen, kann hier ein Überschreiten der Erheblichkeitsschwelle nach § 2 Abs. 1 Nr. 11 BSIG mit guten Gründen abgelehnt werden.
In die andere Richtung ist dieser Rückschluss aber eher relevant. Zumindest, wenn bei einem erheblichen Sicherheitsvorfall personenbezogene Daten betroffen sind und die Möglichkeit/ die Realisierung materieller oder immaterieller Schäden für natürliche Personen eine Rolle spielt, spricht einiges dafür, dass auch die Schwelle zum meldepflichtigen Datenschutzvorfall erreicht sein dürfte.
Mehrstufige Meldepflicht und fristauslösender Zeitpunkt
Bei der Vornahme der Meldung nach § 32 BSIG gilt es, den mehrstufigen Ansatz zu beachten. Auf der ersten Stufe soll unverzüglich und spätestens binnen 24 Stunden nach Kenntnisnahme eine frühe Erstmeldung übermittelt werden, vgl. § 32 Abs. 1 Nr. 1 BSIG. Darauffolgend soll eine bewertende Meldung des Sicherheitsvorfalls unverzüglich, in jedem Fall aber innerhalb von 72 Stunden erfolgen. Bei dieser Meldung soll dann auch eine erste Bewertung des erheblichen Sicherheitsvorfalls erfolgen, vgl. § 32 Abs. 1 Nr. 2 BSIG.
Auf Anfrage können Zwischenmeldungen erforderlich sein, vgl. § 32 Abs. 1 Nr. 3 BSIG. Spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls („zweite“ Meldung beim BSI, vgl. § 32 Abs. 1 Nr. 2 BSIG), hat eine ausführlichere Abschlussmeldung gem. § 32 Abs. 1 Nr. 4 BSIG bzw. wenn der Vorfall noch nicht beendet ist, eine Fortschrittsmeldung gem. § 32 Abs. 2 BSIG zu erfolgen. Der Prozess hat damit mindestens drei Stufen, wobei bei einem erheblichen Sicherheitsvorfall die frühe Erstmeldung, die bewertende Meldung und die ausführliche Abschlussmeldung in jedem Fall erforderlich sind.
Fristauslösender Zeitpunkt ist jeweils die Kenntniserlangung von einem erheblichen Sicherheitsvorfall.
Neben der behördlichen Meldung können sich gem. § 35 BSIG auch Unterrichtungspflichten gegenüber den Empfängern der Dienste ergeben.
Kriterien für die Anfangsbewertung
Der EU-Gesetzgeber macht in Erwägungsgrund 101 detaillierte Ausführungen dazu, welche Gesichtspunkte bei der sogenannten Anfangsbewertung eine Rolle spielen sollen, um festzustellen, ob ein erheblicher Sicherheitsvorfall vorliegt oder nicht.
„[…]Bei einer derartigen Anfangsbewertung sollten unter anderem die betroffenen Netz- und Informationssysteme […] die Schwere und die technischen Merkmale der Cyberbedrohung und alle zugrunde liegenden Schwachstellen, die ausgenutzt werden, sowie die Erfahrungen der Einrichtung mit ähnlichen Vorfällen berücksichtigt werden. Indikatoren wie das Ausmaß, in dem das Funktionieren des Dienstes beeinträchtigt wird, die Dauer eines Sicherheitsvorfalls oder die Zahl der betroffenen Nutzer von Diensten könnten eine wichtige Rolle […] spielen […].“
Daneben werden Indikatoren benannt, die hilfreich sein können, um den Schweregrad einer Betriebsstörung festzustellen. Genannt werden:
- das Ausmaß, in dem das Funktionieren des Dienstes beeinträchtigt wird,
- die Dauer eines Sicherheitsvorfalls und
- die Zahl der betroffenen Nutzer von Diensten.
Es wird in Erwägungsgrund 101 NIS-2-Richtlinie auch darauf eingegangen, warum die Meldepflicht so kurz gewählt wurde:
Durch die zeitnahe Meldung soll ermöglicht werden, der potenziellen Ausbreitung erheblicher Sicherheitsvorfälle entgegenzuwirken und die Einrichtungen zu unterstützen. Der in den weiteren Stufen benötigte hohe Detailgrad der Meldung soll dazu führen, dass aus (der damit einhergehenden Bewertung) aus individuellen Sicherheitsvorfällen Lehren gezogen werden können und dass sowohl einzelne Einrichtungen als auch ganze Sektoren ihre Cyber-Resilienz im Laufe der Zeit verbessern können.
In Bezug auf gewisse Einrichtungen, insbesondere im digitalen Bereich (z.B. Cloud-Computing- oder Rechenzentrumsdienste) konkretisiert die Durchführungsverordnung (EU) 2024/2690 zusätzliche Kriterien dafür, ab wann ein Sicherheitsvorfall für diese Bereiche als erheblich gilt.
Neue Prozesse zur Umsetzung der Meldepflicht nötig
Eine fundierte Anfangsbewertung des Vorfalls sowie weitergehende Bewertungen sind Grundvoraussetzung, um die gesetzlichen Meldepflichten zu erfüllen und Bußgelder zu vermeiden. Wichtig ist auch, sich vor Augen zu halten, dass mit unterschiedlichen Meldepflichten unterschiedliche Anforderungen einhergehen und dass wegen einem Vorfall ggf. mehrere Meldungen bei unterschiedlichen Behörden erforderlich sein können. Unternehmen, die von NIS-2 betroffen sind, sollten neue Prozesse erstellen, die im Ernstfall bei der Umsetzung der gesetzlichen Meldepflichten unterstützen.
Für die Vornahme der Meldung ist eine Registrierung beim BSI-Portal notwendig. Das BSI stellt eine Anleitung zur Vornahme der Meldung online zur Verfügung.
Sie benötigen Unterstützung? Unser Fahrplan mit Check, Beratung und Schulung für NIS‑2. Eine Ersteinschätzung, ob Ihr Unternehmen von NIS-2 betroffen ist, erhalten Sie mit unserem NIS-2 QuickCheck.
Sie wünschen sich eine persönliche Beratung? Vereinbaren Sie ganz bequem einen kostenfreien Termin mit uns.
