Ja, aber nicht immer, nicht überall, und mit sehr unterschiedlichen Fristen.
Welche Meldepflicht konkret greift, hängt davon ab, welche Daten betroffen sind, ob das Unternehmen unter NIS2 fällt und in welchem Sektor es tätig ist. Was viele Unternehmen unterschätzen: Mehrere Meldepflichten aus verschiedenen Rechtsakten können gleichzeitig greifen – und die kürzeste Frist läuft schon nach 24 Stunden ab.
Das Wichtigste in Kürze
- Die DSGVO verpflichtet nahezu alle Unternehmen zur Meldung innerhalb von 72 Stunden, sobald personenbezogene Daten betroffen sind.
- NIS2 schreibt für betroffene Einrichtungen eine Frühwarnung innerhalb von 24 Stunden vor, gefolgt von einer Folgemeldung nach 72 Stunden und einem Abschlussbericht nach einem Monat.
- Finanzunternehmen unterliegen zusätzlich DORA mit einer Erstmeldefrist von nur 4 Stunden gegenüber der BaFin.
- Eine Strafanzeige bei der Zentralen Ansprechstelle Cybercrime (ZAC) ist gesetzlich nicht verpflichtend, aber ausdrücklich empfohlen und für Versicherungsleistungen oft notwendig.
Welche Meldepflicht gilt für welches Unternehmen?
Die einfachste Orientierung: Die DSGVO gilt für nahezu jeden, NIS2 gilt für bestimmte Sektoren und Größen, DORA gilt für Finanzunternehmen. Alle drei können gleichzeitig greifen.
| Rechtsgrundlage | Frist | Adressat | Betrifft |
| DSGVO Art. 33 | 72 Stunden | Landesdatenschutzbehörde | Alle Unternehmen mit personenbezogenen Daten |
| DSGVO Art. 34 | Unverzüglich | Betroffene Personen direkt | Bei hohem Risiko für Betroffene |
| NIS2 Frühwarnung (§ 32 BSIG) | 24 Stunden | BSI via MIP-Portal | NIS2-pflichtige Einrichtungen |
| NIS2 Folgemeldung (§ 32 BSIG) | 72 Stunden | BSI | NIS2-pflichtige Einrichtungen |
| NIS2 Abschlussmeldung (§ 32 BSIG) | 1 Monat | BSI | NIS2-pflichtige Einrichtungen |
| DORA Erstmeldung | 4 Stunden | BaFin | Finanzunternehmen |
| KRITIS | Unverzüglich | BSI (CERT-Bund) | KRITIS-Betreiber |
| Cyberversicherung | Laut Vertrag (24 bis 72 h) | Versicherer | Versicherungsnehmer |
| Strafanzeige | Keine Pflicht, zeitnah empfohlen | ZAC beim LKA | Alle Unternehmen |
Was schreibt die DSGVO vor?
Die DSGVO trifft jedes Unternehmen, das personenbezogene Daten verarbeitet. Das schließt praktisch alle Unternehmen in Deutschland ein.
Die Meldepflicht wird ausgelöst, sobald eine Verletzung des Schutzes personenbezogener Daten eingetreten ist: jede Sicherheitslücke, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten führt. Ransomware-Angriffe fallen darunter, soweit Kundendaten, Mitarbeiterdaten oder andere personenbezogene Daten betroffen sind.
Die Frist beträgt 72 Stunden ab dem Moment, in dem irgendein Mitarbeiter oder ein beauftragter IT-Dienstleister von der Panne Kenntnis erlangt. Die Frist läuft auch am Wochenende.
Eine Ausnahme gibt es nur, wenn die Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt – diese Ausnahme ist eng auszulegen.
Die Meldung an die zuständige Landesdatenschutzbehörde muss folgende Angaben enthalten:
- Art der Datenschutzverletzung, etwa Hackerangriff
- Kategorien der betroffenen Personen: Kunden, Mitarbeiter, Lieferanten
- Anzahl der betroffenen Personen und Datensätze
- Wahrscheinliche Folgen der Verletzung
- Ergriffene oder geplante Abhilfemaßnahmen
- Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
Zusätzlich zur Behördenmeldung schreibt Art. 34 DSGVO vor, die betroffenen Personen selbst unverzüglich zu informieren, wenn die Verletzung voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten mit sich bringt. Diese Pflicht entfällt nur, wenn die Daten verschlüsselt waren oder wenn sofort und nachweislich erfolgreich geeignete Gegenmaßnahmen ergriffen wurden.
Bei Verletzung der Meldepflicht drohen Bußgelder nach Art. 83 DSGVO von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Vorjahresumsatzes.
Was schreibt NIS2 vor?
Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) gilt seit dem 6. Dezember 2025 in Deutschland. Die Meldepflichten sind in § 32 BSIG geregelt.
NIS2 betrifft Unternehmen in 18 kritischen und wichtigen Sektoren – Energie, IT und Telekommunikation, Gesundheit, Transport, Finanzen, Wasser, Abfallentsorgung und weitere – wenn sie bestimmte Schwellenwerte überschreiten:
| Einrichtungstyp | Mitarbeitende | Umsatz und Bilanzsumme |
| Besonders wichtige Einrichtung | 250 und mehr | Umsatz über 50 Mio. Euro und Bilanzsumme über 43 Mio. Euro |
| Wichtige Einrichtung | 50 und mehr | Umsatz über 10 Mio. Euro und Bilanzsumme über 10 Mio. Euro |
| Betreiber kritischer Anlagen | Unabhängig von der Größe | Immer besonders wichtig |
In Deutschland sind schätzungsweise rund 30.000 Unternehmen NIS2-pflichtig. Die Registrierung beim BSI war bis zum 6. März 2026 verpflichtend. Ein versäumter Registrierungseintrag ist bereits ein eigenständiger Bußgeldtatbestand mit einem Bußgeld von bis zu 500.000 Euro.
Wie funktioniert das dreistufige Meldeverfahren?
NIS2 schreibt ein gestuftes Verfahren vor, bei dem Schnelligkeit ausdrücklich vor Vollständigkeit geht:
Erste Stufe: Frühwarnung innerhalb von 24 Stunden
Die Frühwarnung an das BSI über das Melde- und Informationsportal (MIP) muss abgesetzt werden, sobald das Unternehmen von dem Vorfall Kenntnis erlangt. Inhalt: eine vorläufige Einschätzung des Vorfalls, Verdacht auf böswillige Handlung, mögliche grenzüberschreitende Auswirkungen. Eine unvollständige Frühwarnung innerhalb von 24 Stunden ist besser als ein vollständiger Bericht nach 48 Stunden – das BSI macht das ausdrücklich so klar.
Zweite Stufe: Folgemeldung innerhalb von 72 Stunden
Bestätigung oder Aktualisierung der Erstmeldung mit erster belastbarer Bewertung: Schweregrad, Auswirkungen, erste Kompromittierungsindikatoren.
Dritte Stufe: Abschlussmeldung nach einem Monat
Ausführliche Beschreibung des Vorfalls, Ursachenanalyse und getroffene Abhilfemaßnahmen. Bei noch andauerndem Vorfall stattdessen ein Fortschrittsbericht.
Die Bußgelder bei NIS2-Verstößen:
| Einrichtungstyp | Maximales Bußgeld |
| Besonders wichtige Einrichtungen | 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes |
| Registrierungsverstoß | Bis 500.000 Euro zusätzlich |
Anders als bei der DSGVO sind bei NIS2 nicht nur Meldepflichten sanktioniert, sondern auch das Versäumnis, die Cybersicherheitsmaßnahmen nach § 30 BSIG überhaupt zu implementieren.
Was gilt für Finanzunternehmen nach DORA?
Für Banken, Versicherungen, Zahlungsdienstleister und Finanzberater gilt seit dem 17. Januar 2025 zusätzlich der Digital Operational Resilience Act (DORA). Die Meldekette an die BaFin ist deutlich strenger als unter NIS2:
| Frist | Meldung |
| Innerhalb von 4 Stunden nach Klassifikation | Erstmeldung an BaFin |
| Innerhalb von 24 Stunden nach Feststellung | Folgemeldung |
| Mindestens alle 72 Stunden | Zwischenberichte bei Statusänderungen |
| Innerhalb von 30 Tagen | Abschlussbericht |
Das bedeutet für Finanzunternehmen: Ein IKT-Sicherheitsvorfall löst parallel eine DORA-Meldung an die BaFin und eine NIS2-Meldung an das BSI aus. Unterschiedliche Formulare, unterschiedliche Behörden, unterschiedliche Fristen. Bußgelder nach DORA betragen bis zu 1 Prozent des weltweiten Jahresumsatzes pro Tag bei andauerndem Verstoß.
Was sollte zusätzlich gemeldet werden?
Strafanzeige bei der Zentralen Ansprechstelle Cybercrime
Eine gesetzliche Pflicht zur Strafanzeige gibt es nicht – aber das BKA, das BSI und die Polizei empfehlen sie ausdrücklich. Die Vorteile sind konkret: Strafverfolgungsbehörden können forensische Beweissicherung unterstützen, Ermittlungen können zur Täteridentifikation führen, und viele Cyberversicherungen verlangen eine Strafanzeige als Nachweis.
Anlaufstelle ist die Zentrale Ansprechstelle Cybercrime (ZAC) beim jeweils zuständigen Landeskriminalamt. Die ZAC-Dienststellen garantieren vertrauliche Behandlung aller Informationen und stellen sicher, dass der laufende Betrieb durch polizeiliche Ermittlungen nicht beeinträchtigt wird.
Kontakte nach Bundesland:
| Bundesland | Kontakt |
| Baden-Württemberg | LKA BW, Tel. 0711/5401-2444 |
| Bayern | LKA Bayern, Tel. 089/1212-3300 |
| Berlin | Tel. 030/4664-924924 |
| Niedersachsen | LKA Nds., Tel. (0511) 9873-6230 |
| Alle Bundesländer | polizei.de, Stichwort ZAC |
Cyberversicherung informieren
Wer eine Cyberversicherung hat, muss den Schaden laut Police in der Regel innerhalb von 24 bis 72 Stunden melden. Fristversäumnisse können zur Leistungsablehnung führen. Die meisten Cyberversicherungen bieten einen 24/7-Notfallservice, über den sofort IT-Forensiker und Krisenmanager eingebunden werden.
Was gilt für Lösegeldzahlungen bei Ransomware?
BSI, BKA und Polizei raten ausdrücklich von Lösegeldzahlungen ab. Die Gründe:
- Keine Garantie, dass die Daten tatsächlich entschlüsselt werden
- Häufig folgen weitere Lösegeldforderungen
- Unter bestimmten Umständen kann die Zahlung strafbar sein, etwa als Unterstützung einer kriminellen Vereinigung oder als Verstoß gegen Bereitstellungsverbote bei sanktionierten Gruppen
- Manche Cyberversicherungen erstatten Lösegeld inzwischen nicht mehr
Bei einer Lösegeldforderung ist juristische Beratung zwingend, und die Abstimmung mit der Zentralen Ansprechstelle Cybercrime sollte vor jeder Zahlung stattfinden.
Was sollten Unternehmen unmittelbar nach einem Cyberangriff tun?
Die ersten Stunden nach einem Angriff entscheiden. Wer die Meldepflichten erfüllen will, muss zunächst wissen, was überhaupt passiert ist – und das setzt eine strukturierte Erstreaktion voraus.
Hierzu ist es natürlich unbedingt erforderlich, bereits im Vorfeld und präventiv entsprechende Notfallpläne zu erstellen, welche, anders als im Zeitalter der Digitalisierung üblich und zu erwarten, zwingend in analoger Form vorzuhalten sind und allen Mitarbeitern in verschiedenen Abstufungen (je nach Verantwortung und Zuständigkeit) zugänglich sein müssen.
Der beste Notfallplan hilft nämlich nichts, wenn im Fall der Fälle nicht darauf zugegriffen werden kann, weil die IT lahmgelegt ist.
Stunden 0 bis 6: Kontrolle zurückgewinnen
Betroffene Systeme sofort vom Netzwerk isolieren, aber nicht einfach ausschalten – im flüchtigen Speicher (RAM) liegen wichtige Beweise. Logs, RAM-Abbilder und Netzwerkprotokolle sichern, bevor irgendetwas bereinigt wird. Das ist der häufigste Fehler: Unternehmen bereinigen Systeme, bevor Beweise gesichert wurden, und erschweren damit jede spätere Analyse und Strafanzeige. Alle Passwörter und Zugangsdaten sofort zurücksetzen. Externe IT-Forensiker hinzuziehen.
Stunden 6 bis 24: Melden und analysieren
NIS2-Frühwarnung an das BSI absetzen, wenn das Unternehmen betroffen ist. Cyberversicherung informieren. Forensische Analyse starten. Datenschutzbeauftragten einbinden und prüfen, ob personenbezogene Daten betroffen sind.
Stunden 24 bis 72: Rechtliche Meldungen absetzen
DSGVO-Meldung an die Landesdatenschutzbehörde. NIS2-Folgemeldung ans BSI. Strafanzeige bei der ZAC. Falls betroffene Personen einem hohen Risiko ausgesetzt sind: Direkte Benachrichtigung nach Art. 34 DSGVO.
Tage 3 bis 30: Wiederherstellung und Abschluss
Systeme neu aufsetzen, nicht nur bereinigen – das Risiko verbleibender Backdoors ist zu hoch. Backups vor dem Einspielen auf Integrität prüfen. NIS2-Abschlussbericht nach einem Monat. Lessons Learned dokumentieren und Sicherheitskonzept aktualisieren.
Wo gibt es kostenlose Hilfe für KMU?
Die Transferstelle Cybersicherheit im Mittelstand bietet kostenlose Notfallhilfe, Selbstchecks und Webinare unter https://transferstelle-cybersicherheit.de. Das BSI ist über die Cyber-Sicherheits-Hotline 0800 274 1000 erreichbar (kostenfrei, Montag bis Freitag 8 bis 18 Uhr). Für NIS2-Meldungen steht das BSI-Melde- und Informationsportal unter https://mip2.bsi.bund.de/de/ zur Verfügung.
Der Beitrag wurde geschrieben mit Dipl.-Kfm. Guido Babinsky von der CORLEOS GmbH.
