Sicherheitsvorfall-Meldung BSI: Der 24-Stunden-Workflow unter NIS-2

§ 32 BSIG (in der Fassung des NIS2-Umsetzungsgesetzes) verpflichtet wesentliche und wichtige Einrichtungen, einen erheblichen Sicherheitsvorfall innerhalb von 24 Stunden ab Kenntnis als Frühwarnung an das Bundesamt für Sicherheit in der Informationstechnik zu melden, innerhalb von 72 Stunden eine Folgemeldung mit Erstbewertung zu übermitteln und innerhalb eines Monats einen Abschlussbericht zu liefern. Die Fristen sind kurz, die Inhalte sind klar definiert, und das Versäumnis ist nach § 60 BSIG bußgeldbewehrt mit bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Konzernumsatzes.

Dieser Beitrag beschreibt den vollständigen Workflow operativ, nicht regulatorisch. Wer welche Rolle spielt, welche Informationen bis zu welchem Zeitpunkt vorliegen müssen, welche Vorlagen das BSI erwartet, und wie der Informationssicherheitsbeauftragte den Pfad ohne Lücken durchläuft. Der Beitrag richtet sich an ISB, IT-Leitung und Geschäftsführung in den rund 29.500 Unternehmen, die nach NIS-2 in Deutschland erfasst sind, und liefert einen Workflow, der auch um drei Uhr nachts funktioniert. Eine Themenübersicht zu NIS-2 ist auf der Webseite verlinkt; der hier behandelte Fokus liegt ausschließlich auf der Meldepraxis und der Vorbereitung auf den ersten Vorfall, nicht auf der Regulierungstheorie. Alle Inhalte beziehen sich auf den Rechtsstand Mai 2026.

Die Definition steht in § 2 Nummer 11 BSIG. Ein erheblicher Sicherheitsvorfall ist jeder Vorfall, der erhebliche Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann, oder der andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann. Die Definition ist bewusst breit; das BSI hat in seinen Hinweisen vom Februar 2026 präzisiert, dass auch potenzielle Auswirkungen genügen, sobald sie konkret abschätzbar sind, also nicht nur die eingetretenen Wirkungen.

Praktische Beispiele sind: Ransomware mit Verschlüsselung produktiver Systeme, längerer Ausfall eines kritischen Dienstes (etwa eines Bestellsystems über mehrere Stunden), unbefugter Zugriff auf personenbezogene Daten, erfolgreiche Phishing-Kampagne mit Kompromittierung von Administrator-Konten, DDoS-Angriff mit messbarer Auswirkung auf die Verfügbarkeit, oder die unbeabsichtigte Veröffentlichung interner Daten durch Fehlkonfiguration. Ein Pen-Test-Befund ohne Ausnutzung ist kein meldepflichtiger Vorfall; ein nicht ausgenutzter Zero-Day in einem produktiv eingesetzten System hingegen kann meldepflichtig sein, wenn die Erkenntnis selbst zu erheblichen Maßnahmen führt.

Die Bewertung erfolgt durch den Informationssicherheitsbeauftragten in Abstimmung mit der IT-Leitung und der Geschäftsführung. Der ISB ist nicht alleinverantwortlich für die Meldung, aber für die Vorbereitung der Meldung und die Wahrung der Frist. Die endgültige Entscheidung trägt die Geschäftsleitung. Die Bewertung wird in jedem Fall schriftlich festgehalten, auch wenn sie negativ ausfällt und keine Meldung erfolgt; die negative Bewertung mit Begründung schützt vor späteren Vorwürfen, die Meldepflicht ignoriert zu haben. Im CIVAC-Workspace ist diese Negativ-Dokumentation als eigene Vorlage hinterlegt. Damit ist jede Vorfall-Erstprüfung dokumentiert, unabhängig vom Ergebnis.

Die Frühwarnung an das BSI nach § 32 Absatz 1 Satz 1 BSIG enthält: die Angabe, ob der erhebliche Sicherheitsvorfall mutmaßlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist; die Angabe, ob er grenzüberschreitende Auswirkungen haben kann; einen knappen Sachverhalt und eine begründete Erstvermutung zum Schweregrad. Mehr nicht. Die Frühwarnung ist explizit kein abschließender Bericht, sondern ein Frühindikator für das BSI, damit sektorübergreifend reagiert werden kann.

Die Frist von 24 Stunden beginnt ab Kenntnis. Kenntnis liegt vor, sobald die Einrichtung über belastbare Anhaltspunkte verfügt, dass ein erheblicher Sicherheitsvorfall vorliegt. Bloßer Verdacht ohne Anhaltspunkte reicht nicht; auf eine vollständige technische Aufklärung darf jedoch nicht gewartet werden. In der Praxis bedeutet das: sobald der ISB oder die IT-Leitung in der Lage ist, einen knappen Sachverhalt schriftlich zu formulieren, beginnt der Countdown.

Die Form ist die offizielle Meldeplattform des BSI (Online-Formular über die BSI-Webseite). Eine telefonische Vormeldung ist möglich und in dringenden Fällen empfohlen, ersetzt aber die schriftliche Meldung nicht. Die Meldung wird vom ISB vorbereitet, durch die Geschäftsleitung freigegeben und im CIVAC-Workspace mit Zeitstempel, Inhalt und freigebender Person archiviert. Frist laeuft ab Kenntnis, der Workspace zeigt die verbleibende Zeit als Countdown. Bei sehr ernsten Vorfällen empfiehlt das BSI, vor der schriftlichen Meldung ein kurzes Telefonat mit der zuständigen Meldestelle zu führen, um die Behörde vorzuwarnen und die Kommunikation zu strukturieren. Diese Vorwarnung ist freiwillig und ändert nichts an der schriftlichen Meldepflicht. Die Telefonnummer der Meldestelle ist im Workspace hinterlegt und im Krisenfall ohne Suche verfügbar.

Die Folgemeldung nach § 32 Absatz 1 Satz 2 BSIG erfolgt innerhalb von 72 Stunden ab Kenntnis. Sie aktualisiert oder bestätigt die Angaben der Frühwarnung und enthält zusätzlich: eine Erstbewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen; soweit verfügbar, die Indikatoren für eine Kompromittierung (IoC); eine Beschreibung der bisher ergriffenen Gegenmaßnahmen; und falls die Auswirkung andauert, eine Einschätzung der weiteren Dauer.

Schweregrad und Auswirkung werden in der CIVAC-Vorlage entlang vier Dimensionen erfasst: betroffene Dienste oder Systeme, Anzahl betroffener Nutzer oder Datensätze, Verfügbarkeitsdauer der Beeinträchtigung, und finanzielle oder reputative Auswirkungen. Indikatoren werden in einem strukturierten Format aufgenommen (Hash-Werte, IP-Adressen, Domains, Dateinamen). Diese Struktur erlaubt es dem BSI, die Indikatoren automatisiert mit anderen Meldungen zu korrelieren und sektorübergreifende Muster zu erkennen, was wiederum dem Meldenden in Form von Warnungen zugutekommt.

Die Folgemeldung ist die erste Gelegenheit, der Aufsicht ein klares Bild der eigenen Reaktionsfähigkeit zu zeigen. Eine schlampig formulierte Folgemeldung erzeugt Rückfragen und verlängert das Verfahren. Eine sauber strukturierte Folgemeldung mit klaren Zahlen, klaren Indikatoren und klaren Gegenmaßnahmen reduziert die Wahrscheinlichkeit, dass eine Behörden-Vor-Ort-Prüfung folgt. Der Prüfer ruft an, der Nachweis liegt bereit. Strukturierte Folgemeldungen werden zudem in der internen ISMS-Steuerung verwertet, weil sie die Reife der Reaktionsfähigkeit objektiv messbar machen und in das Reporting nach ISO/IEC 27001:2022 einfließen. Die Erstbewertung wird in den späteren Audit-Zyklen als Referenz für die Wirksamkeit der Controls verwendet, ohne weitere Aufbereitung. Die Folgemeldung sollte nicht vorzeitig vor Ablauf der 72 Stunden eingereicht werden, sondern erst dann, wenn die Erstbewertung belastbar ist; eine vorzeitige Meldung führt zu Folgekorrekturen.

Spätestens einen Monat nach der Folgemeldung übermittelt die Einrichtung dem BSI einen Abschlussbericht nach § 32 Absatz 1 Satz 3 BSIG. Der Bericht enthält: eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen; die Art der Bedrohung oder Grundursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat; die ergriffenen und laufenden Maßnahmen zur Eindämmung; und gegebenenfalls die grenzüberschreitenden Auswirkungen.

Die Grundursache wird mit einer strukturierten Methode hergeleitet, üblich sind die Fünf-Warum-Methode oder die Fishbone-Analyse, kombiniert mit einer Zeitschiene der Ereignisse. Reine Symptombeschreibungen genügen dem BSI nicht; die Behörde erwartet eine Aussage zur Wurzel des Problems, etwa fehlende Patch-Disziplin, fehlende Mehrfaktor-Authentifizierung, fehlende Segmentierung der Netzwerke, fehlende Backup-Trennung. Diese Aussage ist auch die Grundlage für die nachfolgenden Maßnahmen, die in der Regel binnen 90 Tagen umgesetzt werden.

Der Abschlussbericht ist intern zudem die Grundlage für die Lessons-Learned-Sitzung mit ISB, IT-Leitung, Geschäftsführung und gegebenenfalls Datenschutzbeauftragten. Die CIVAC-Vorlage enthält ein Lessons-Learned-Protokoll mit Maßnahmenliste, Verantwortlichkeiten und Fristen, das in den ISMS-Kontext nach ISO/IEC 27001:2022 einfließt und beim nächsten internen Audit als Beweis der kontinuierlichen Verbesserung dient. Audit-fest, dokumentiert, § 32 BSIG-fest. Der Abschlussbericht ist zugleich die Grundlage für die nächste Risikobeurteilung, weil er die tatsächlich realisierte Schwachstelle dokumentiert und die Wirksamkeit der vorher dokumentierten Annahmen objektiv prüft. Die Maßnahmenliste daraus wird mit Fristen versehen und im nächsten Audit auf Umsetzung kontrolliert, ohne dass eine separate Nachverfolgungs-Tabelle entsteht. Eine Kopie des Berichts geht an die Konzern-Compliance, sofern eine solche existiert, und an die zuständige Aufsichtsbehörde der gemeinsamen Verantwortlichkeit, sofern eine solche bestand.

Die Geschäftsleitung trägt die Letztverantwortung nach § 38 BSIG. Sie genehmigt die Meldungen, sie unterzeichnet den Abschlussbericht, und sie ist gegenüber der Aufsichtsbehörde der Ansprechpartner. Die operative Vorbereitung der Meldungen liegt beim ISB. Der ISB sammelt die Sachverhalte, schreibt die Texte, hält die Fristen und führt die Meldung im System aus. Die IT-Leitung liefert die technischen Indikatoren, die Auswirkungsanalyse und die Gegenmaßnahmen.

Bei Vorfällen mit Personenbezug ist zusätzlich der Datenschutzbeauftragte involviert; eine NIS-2-Meldung kann zusätzlich eine DSGVO-Meldung nach Art. 33 mit 72-Stunden-Frist auslösen. Die beiden Meldepfade laufen parallel, nicht alternativ. Der Workspace führt sie als getrennte Tickets mit verlinktem Sachverhalt. Bei Vorfällen mit Auswirkungen auf Lieferanten oder Kunden wird der Compliance-Beauftragte informiert; vertragliche Meldepflichten gegenüber Geschäftspartnern werden separat geprüft.

Die Vertretungsregelung ist Pflicht. ISB-Urlaub oder ISB-Krankheit darf den Meldepfad nicht blockieren. CIVAC schreibt im Standardvertrag eine Vertretungsperson je Rolle vor und ermöglicht im Workspace die rollenbasierte Übergabe ohne Datenverlust. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen, in beiden Fällen ist die Vertretung dokumentiert und im Audit-Trail belegbar. Eine zusätzliche Eskalationsstelle für Fälle, in denen sowohl ISB als auch Vertretung ausfallen, ist sinnvoll und im Workspace mit einer dritten Stufe vorgesehen, üblicherweise die IT-Leitung oder ein externer Krisendienstleister. Die dritte Stufe wird mindestens jährlich auf Aktualität geprüft und gegebenenfalls an Personalwechsel angepasst. Diese Mehrfach-Absicherung ist Bestandteil der Sorgfalt nach § 38 BSIG und wird in der Aufsichtsprüfung dokumentiert abgefragt; eine fehlende dritte Stufe gilt als organisatorischer Mangel und führt zu Folgefragen der Behörde.

Die ersten Minuten nach dem Erstindiz entscheiden über die 24-Stunden-Frist. Stufe 1: Erkennung durch das Security Operations Center, durch einen Mitarbeitenden oder durch einen externen Hinweis. Stufe 2: Erstbewertung durch den IT-Bereitschaftsdienst, üblich in den ersten 30 Minuten. Stufe 3: Eskalation an den ISB, sobald der Verdacht eines erheblichen Sicherheitsvorfalls vorliegt. Stufe 4: Vorbewertung durch den ISB in Abstimmung mit der IT-Leitung, üblich in den ersten zwei Stunden.

Stufe 5: Eskalation an die Geschäftsführung, sobald die Frühwarnungs-Schwelle nach § 2 Nummer 11 BSIG erreicht ist. Stufe 6: Freigabe der Frühwarnung durch die Geschäftsführung, üblich in der vierten bis sechsten Stunde. Stufe 7: Übermittlung an das BSI über die Meldeplattform, mit Zeitstempel und Bestätigungsnummer. Stufe 8: Aktivierung der Folgemeldungs-Vorbereitung, parallel zur fortlaufenden technischen Untersuchung. Diese acht Stufen sind im CIVAC-Workspace als vorkonfigurierter Workflow hinterlegt.

Jede Stufe hat eine SLA, einen Verantwortlichen und eine Vertretung. Wird eine Stufe nicht innerhalb der SLA erreicht, eskaliert das System automatisch an die nächsthöhere Ebene. Dadurch entsteht ein dokumentierter Ablauf, der auch im Streitfall den Verlauf nachvollziehbar macht und die Behörde davon überzeugt, dass die Frist von 24 Stunden nicht zufällig, sondern strukturiert eingehalten wurde. Bestellurkunde, unterschrieben, abgelegt, belegbar, ebenso die Meldung selbst. Die Übung des Pfads erfolgt mindestens einmal jährlich als Tabletop-Exercise mit allen benannten Rollen, dokumentiert mit Datum, Teilnehmenden und Lehrpunkten, und ist Teil des ISMS-Pflichtprogramms. CIVAC stellt für die Übung ein Szenario-Paket aus drei vorbereiteten Vorfällen bereit, mit Lösungsvorschlägen und Bewertungskriterien, die nach jeder Übung im Lessons-Learned-Format aufgenommen werden.

Das BSI stellt seit der NIS2-Umsetzung 2026 ein digitales Meldeportal bereit, das die drei Meldestufen unterstützt. Die Anmeldung erfolgt mit dem von der Einrichtung registrierten Konto; die Erstregistrierung ist eine der ersten Pflichten nach der Einstufung als wesentliche oder wichtige Einrichtung. Wer die Registrierung versäumt, kann im Ernstfall nicht innerhalb von 24 Stunden melden, weil die Anmeldung selbst bereits einen Werktag dauert. Die Registrierung ist ein einmaliger, aber zeitkritischer Schritt.

Die Formularstruktur des BSI-Portals folgt der Reihenfolge der Inhalte des § 32 BSIG: Identifikation der Einrichtung, Klassifikation des Vorfalls, Sachverhalt, Erstvermutung, Indikatoren, Gegenmaßnahmen, Auswirkungen. Pflichtfelder sind farblich markiert. Anlagen können hochgeladen werden, übliche Formate sind PDF, STIX und CSV. Die Bestätigung der Meldung erhält die Einrichtung als signiertes PDF mit Eingangsdatum und Meldungs-ID; dieses PDF ist Teil des Audit-Trails.

CIVAC liefert die Texte für jede Meldestufe als Vorlage im Workspace und füllt die Pflichtfelder aus den im System bereits vorhandenen Stammdaten (Einrichtungs-ID, Ansprechpartner, Sektor, Standort). Der ISB ergänzt nur noch die vorfallspezifischen Felder und gibt die Meldung zur Freigabe weiter. Diese Vorlagen-Befüllung spart in der Krise rund 30 bis 45 Minuten je Meldung, also genau die Zeit, die in den ersten Stunden nach Kenntnis am knappsten ist. Die Vorlagen werden zentral aktualisiert, sobald das BSI seine Anforderungen ändert, damit der Meldende immer mit dem aktuellen Stand arbeitet und keine veralteten Felder ausfüllt. Jede Vorlagen-Aktualisierung wird mit Version und Datum im Workspace dokumentiert und ist im Audit-Trail nachvollziehbar. Eine zentrale Pflegestelle entlastet die einzelnen Einrichtungen vom Monitoring der BSI-Hinweise.

§ 60 BSIG sieht Bußgelder vor, gestaffelt nach der Einstufung der Einrichtung. Für wesentliche Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Konzernumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent des Konzernumsatzes. Die Geldbußen können je Verstoß verhängt werden; mehrere Verstöße in einem Vorfall sind möglich, wenn beispielsweise die Frühwarnung verspätet, die Folgemeldung unvollständig und der Abschlussbericht verspätet sind.

Über die Geldbußen hinaus stehen weitere Maßnahmen zur Verfügung. Das BSI kann eine Aufsichtsprüfung durchführen, eine externe Sicherheitsprüfung anordnen, die Geschäftsleitung persönlich in Anhörung laden und in Extremfällen die Tätigkeit untersagen. Die Untersagung ist die schärfste Maßnahme und wurde in den ersten zwölf Monaten der NIS2-Umsetzung in Deutschland bisher nicht ausgesprochen, aber im Regelwerk vorgesehen.

Die persönliche Verantwortung der Geschäftsleitung nach § 38 BSIG ist neu im Vergleich zur Vorgängerregelung. Die Geschäftsleitung haftet persönlich für die Einhaltung der Sicherheits- und Meldepflichten und kann sich nicht auf delegierende Aufträge zurückziehen. Eine dokumentierte Berichtslinie vom ISB zur Geschäftsleitung mit nachweisbaren Sitzungen und Beschlüssen ist daher kein Komfort, sondern Pflichtnachweis im Aufsichtsverfahren. Der CIVAC-Workspace bildet diese Berichtslinie standardmäßig ab. Die regelmäßige ISB-Sitzung mit der Geschäftsleitung wird automatisch terminiert, das Protokoll wird im Audit-Trail abgelegt und ist im Aufsichtsverfahren ohne weitere Aufbereitung vorlegbar. Die Geschäftsleitung sieht damit ohne Wartezeit, welche Themen offen sind und welche Frist als nächste läuft. Die Sitzungsfrequenz richtet sich nach der Risikoklasse der Einrichtung und ist mindestens quartalsweise vorgesehen.

Der Meldepfad nach § 32 BSIG ist kein Dokument, sondern ein Workflow. Er funktioniert nur dann unter Druck, wenn er vor dem Vorfall einmal vollständig durchgespielt wurde, mit jeder benannten Rolle, jedem dokumentierten Eskalationsschritt und jeder freigegebenen Vorlage. CIVAC liefert diesen Workflow als vorkonfigurierten Bestandteil des Workspaces, mit den 490 Audit-Vorlagen, den 93 Controls nach ISO/IEC 27001:2022 und der EU-Datenresidenz, die für eine BSI-Meldung Voraussetzung ist.

Als Compliance-Plattform und Officer-as-a-Service bietet CIVAC zwei Wege. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im ersten Fall arbeiten Ihr ISB und Ihre IT-Leitung im Workspace mit vorkonfiguriertem Meldepfad. Im zweiten Fall übernimmt ein CIVAC-ISB die Rolle innerhalb von zwei Werktagen, mit Bestellurkunde, Berichtslinie an die Geschäftsleitung und sofortiger Aktivierung des Meldepfads. Beide Modelle decken die 24/72-Stunden-Fristen vollständig ab, beide Modelle erzeugen denselben Audit-Trail, und beide Modelle sind im Notfall durch die zentrale CIVAC-Vertretung gestützt.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de mit Ihrer NIS-2-Einstufung (wesentlich oder wichtig), Ihrem Sektor und dem aktuellen Stand Ihres Meldepfads, oder nutzen Sie das Kontaktformular auf civac.de. Die erste Rückmeldung enthält eine Checkliste der erforderlichen Vorbereitungen und eine Kostenindikation, schriftlich, innerhalb von zwei Werktagen, gezeichnet durch die verantwortliche Beauftragte. Ein optionaler Tabletop-Workshop mit Ihrem Krisenteam ist innerhalb von zwei Wochen ab Vertragsunterzeichnung buchbar und schließt mit einer dokumentierten Probemeldung in einer Test-Umgebung ab. Damit ist der Pfad nicht nur beschrieben, sondern einmal vollständig durchlaufen, bevor der erste echte Vorfall eintritt.