NIS2 Meldepflicht: Was bei einem E-Mail-Sicherheitsvorfall sofort zu tun ist
NIS2 verpflichtet Unternehmen zur Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden. Was das konkret bedeutet, wann ein E-Mail-Vorfall meldepflichtig wird und wie Audit-Logs die BSI-Meldung erst möglich machen.
NIS2 Meldepflicht: Was bei einem E-Mail-Sicherheitsvorfall sofort zu tun ist
Freitagnachmittag, 16:47 Uhr. Ein Mitarbeiter öffnet eine täuschend echte E-Mail – vermeintlich von der IT-Abteilung. Er klickt auf den Link, gibt seine Zugangsdaten ein. Drei Minuten später läuft Ransomware durch das Netzwerk.
Ab dem Moment, in dem jemand in Ihrem Unternehmen davon erfährt: 24 Stunden bis zur Pflichtmeldung beim BSI.
Seit dem 6. Dezember 2025 gilt §32 BSIG – die NIS2-Meldepflicht. Für rund 29.500 Unternehmen in Deutschland ist das kein theoretisches Szenario mehr, sondern geltendes Recht. Und der häufigste Auslöser für meldepflichtige Vorfälle ist E-Mail.
Was ist die NIS2 Meldepflicht nach §32 BSIG?
Die NIS2-Meldepflicht verpflichtet besonders wichtige und wichtige Einrichtungen dazu, erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Die gesetzliche Grundlage ist §32 des novellierten BSI-Gesetzes (BSIG), das am 6. Dezember 2025 in Kraft getreten ist.
Die Meldung erfolgt ausschließlich über das BSI Melde- und Informationsportal (MIP), das seit dem 6. Januar 2026 aktiv ist. Das Prinzip des BSI lautet dabei eindeutig: Schnelligkeit vor Vollständigkeit. Eine unvollständige Meldung ist besser als eine verspätete.
Wann wird ein E-Mail-Vorfall meldepflichtig?
Nicht jeder Spam und nicht jeder Phishing-Versuch löst die Meldepflicht aus. Entscheidend ist der Begriff des „erheblichen Sicherheitsvorfalls" nach §2 Abs. 1 Nr. 11 BSIG.
Ein Vorfall gilt als erheblich, wenn er:
Schwerwiegende Betriebsstörungen verursacht hat oder verursachen kann, oder
Finanzielle Verluste für die Einrichtung verursacht hat oder verursachen kann, oder
Erhebliche materielle oder immaterielle Schäden bei anderen natürlichen oder juristischen Personen verursacht hat oder verursachen kann
Die Formulierung „verursachen kann" ist dabei entscheidend. Ein Vorfall muss keinen Schaden bereits angerichtet haben. Sobald das Schadenspotenzial erheblich ist, greift die Meldepflicht.
Konkrete E-Mail-Szenarien und ihre Einstufung
Vorfall
Meldepflichtig?
Begründung
Phishing-Mail landet in Quarantäne, kein Klick
Nein
Kein Schadenspotenzial realisiert
Mitarbeiter klickt Phishing-Link, gibt Credentials ein
Kundendaten durch unverschlüsselte E-Mail kompromittiert
Ja
Schaden bei Dritten
DDoS-Angriff legt E-Mail-System für 2 Stunden lahm
Prüfen
Abhängig von Schwere der Betriebsstörung
Die 3 Fristen: Was wann beim BSI eingehen muss
Die NIS2-Meldepflicht ist dreistufig aufgebaut. Alle Fristen beginnen mit dem Zeitpunkt der Kenntniserlangung – also dem Moment, in dem ein Mitarbeiter Ihrer Einrichtung (innerhalb der Arbeitszeit) von dem Vorfall erfährt.
Stufe 1: Frühwarnung – innerhalb von 24 Stunden
Die erste Meldung hat den Charakter einer Frühwarnung. Sie muss keine vollständige Analyse enthalten. Gefordert sind:
Einstufung des Vorfalls (erheblicher Sicherheitsvorfall / Sicherheitsvorfall / Beinahevorfall)
Vorläufige Beschreibung: Was ist passiert, welche Systeme sind betroffen?
Einschätzung: Besteht Verdacht auf böswillige oder rechtswidrige Handlung?
Das BSI betont ausdrücklich: Warten Sie nicht auf die vollständige Root-Cause-Analyse. Melden Sie sofort, auch mit unvollständigen Informationen.
Stufe 2: Vollständige Meldung – innerhalb von 72 Stunden
Die zweite Meldung erweitert die Frühwarnung um eine erste Bewertung des Vorfalls:
Bestätigung oder Aktualisierung der Angaben aus der Frühwarnung
Schweregrad und Auswirkungen des Vorfalls
Kompromittierungsindikatoren (IOCs), soweit bereits bekannt
Ergriffene und laufende Abhilfemaßnahmen
Ggf. grenzüberschreitende Auswirkungen
Stufe 3: Abschlussbericht – spätestens 1 Monat nach Erstmeldung
Der Abschlussbericht enthält die vollständige Nachbetrachtung:
Art der Bedrohung und zugrunde liegende Ursache
Vollständige Beschreibung des Vorfallverlaufs
Ergriffene Abhilfemaßnahmen und ihre Wirksamkeit
Präventive Maßnahmen für die Zukunft
Dauert der Vorfall nach einem Monat noch an, wird statt des Abschlussberichts eine Fortschrittsmeldung eingereicht.
Wichtig: Die Fristen gelten auch dann, wenn Ihr Unternehmen sich noch nicht im BSI-Portal registriert hat. In diesem Fall nutzen Sie das Übergangsformular im MIP und holen die Registrierung unverzüglich nach.
Praxis-Szenario: Phishing-Angriff – Minute für Minute
Ein konkretes Beispiel, wie die Fristen in der Realität ablaufen:
Freitag, 16:47 Uhr – Mitarbeiter öffnet Phishing-Mail, gibt Credentials auf gefälschter Login-Seite ein.
Freitag, 17:23 Uhr – IT-Alert: Ungewöhnliche Anmeldeversuche mit den kompromittierten Zugangsdaten. Ein IT-Mitarbeiter erlangt Kenntnis. Ab jetzt läuft die 24-Stunden-Frist.
Freitag, 18:00 Uhr – Zugangsdaten gesperrt, Incident Response eingeleitet. Erste Analyse: Zugriff auf freigegebene Verzeichnisse mit Kundendaten möglich gewesen.
Samstag, 17:23 Uhr – Deadline für Frühwarnung beim BSI. Diese muss auch am Wochenende übermittelt werden. Das BSI kommuniziert im Notfall auch nachts und an Feiertagen.
Montag, 17:23 Uhr – Deadline für die vollständige Meldung (72h nach Kenntniserlangung).
24. April 2026 – Deadline für den Abschlussbericht (1 Monat nach Erstmeldung).
Warum Audit-Logs die BSI-Meldung erst möglich machen
Hier liegt der entscheidende operative Engpass: Um beim BSI zu melden, müssen Sie wissen, was genau passiert ist. Das setzt eine lückenlose Protokollierung des E-Mail-Verkehrs voraus – und zwar schon vor dem Vorfall.
Konkret brauchen Sie für die BSI-Meldung:
Wann genau wurde die Phishing-Mail empfangen und zugestellt?
Welche E-Mail-Adresse hat die Mail erhalten?
Welche weiteren Empfänger könnten betroffen sein?
Wurden Anhänge geöffnet oder Links geklickt?
Welche Daten waren möglicherweise in den betroffenen Postfächern?
Ohne E-Mail-Tracing und revisionssichere Audit-Logs sind diese Fragen in 24 Stunden nicht zu beantworten.
Was MailGuard für die Meldepflicht liefert
Conbool MailGuard protokolliert jeden E-Mail-Vorgang in einem 90-Tage Audit-Log:
Exportierbare Compliance-Reports – auf Knopfdruck BSI-ready
Im Vorfallsfall können Sie innerhalb von Minuten einen vollständigen E-Mail-Trace exportieren. Das ist der Unterschied zwischen einer fristgerechten Meldung und einem Bußgeld wegen Meldeverzugs.
Wie Verschlüsselung Meldepflichten verhindert – nicht nur dokumentiert
Der reaktive Aspekt – Meldung nach einem Vorfall – ist wichtig. Aber noch wichtiger ist der präventive: Wenn Vorfälle durch Verschlüsselung verhindert werden, entsteht keine Meldepflicht.
Das Beispiel macht es deutlich: Wenn ein Mitarbeiter eine Phishing-Mail öffnet, aber MailGuard den bösartigen Anhang bereits im Gateway isoliert hat, gibt es keinen meldepflichtigen Vorfall. Wenn eine E-Mail mit sensiblen Kundendaten abgefangen wird, aber durch SecureMail verschlüsselt war, entsteht kein Datenschutz- oder NIS2-Vorfall.
Das Ziel ist nicht, besser melden zu können, sondern weniger melden zu müssen.
Die zwei Schutzschichten gegen Meldepflichten
Schicht 1: Prävention – MailGuard KI-basierte Erkennung von Phishing, Malware und BEC-Angriffen, bevor sie das Postfach erreichen. SPF, DKIM, DMARC und ARC-Validierung als Grundschutz. Zero-Day-Schutz durch Verhaltensanalyse.
Schicht 2: Schadensminimierung – SecureMail Auch wenn eine E-Mail abgefangen wird: Verschlüsselte Inhalte können nicht ausgelesen werden. Kein lesbarer Datenverlust = kein meldepflichtiger Vorfall für Drittschäden.
NIS2 Meldepflicht: Checkliste für E-Mail-Vorfälle
Sofort (0–2 Stunden):
☐ Vorfall intern eskalieren und Incident Response einleiten
☐ Zeitpunkt der Kenntniserlangung dokumentieren – die Frist läuft ab jetzt
☐ E-Mail-Tracing starten: Welche Mails, welche Empfänger, welche Anhänge?
☐ Betroffene Accounts vorsorglich sperren oder Passwörter zurücksetzen
☐ Prüfen: Handelt es sich um einen erheblichen Sicherheitsvorfall?
Innerhalb von 24 Stunden:
☐ Frühwarnung über das BSI MIP einreichen (auch mit unvollständigen Infos!)
☐ Vorfall als erheblich / nicht erheblich einstufen
☐ Parallel: DSGVO-Meldepflicht prüfen (72h an Datenschutzbehörde)
Innerhalb von 72 Stunden:
☐ Vollständige Meldung mit IOCs und erster Bewertung beim BSI
☐ Ergriffene Maßnahmen dokumentieren
☐ Audit-Log-Export für Nachvollziehbarkeit
Nach 1 Monat:
☐ Abschlussbericht mit Root-Cause-Analyse und Abhilfemaßnahmen
☐ Präventive Maßnahmen dokumentieren
Häufig gestellte Fragen zur NIS2 Meldepflicht
Gilt die 24-Stunden-Frist auch am Wochenende? Ja. Die Frist beginnt mit der Kenntnis eines Mitarbeiters – unabhängig von Uhrzeit und Wochentag. Das BSI kommuniziert im Notfall auch nachts und an Feiertagen. Geeignete Ansprechpartner müssen daher auch außerhalb der Geschäftszeiten erreichbar sein.
Was passiert, wenn wir uns noch nicht beim BSI registriert haben? Die Meldepflicht gilt trotzdem. Unregistrierte Einrichtungen nutzen das Übergangsformular im BSI MIP und holen die Registrierung unverzüglich nach. Nichtregistrierung ändert nichts an der Rechtslage.
Müssen wir DSGVO und NIS2 parallel melden? Ja, wenn Personendaten betroffen sind. Die NIS2-Meldung (24h ans BSI) und die DSGVO-Meldung (72h an die zuständige Datenschutzbehörde) laufen parallel. Beide Prozesse müssen vorbereitet sein.
Was ist der Unterschied zwischen einem Sicherheitsvorfall und einem erheblichen Sicherheitsvorfall? Nur erhebliche Sicherheitsvorfälle sind meldepflichtig. Die Schwelle liegt bei schwerwiegenden Betriebsstörungen, finanziellen Verlusten oder erheblichen Schäden bei Dritten. Ein kurzzeitig kompromittiertes Funktionspostfach ohne Datenabfluss überschreitet diese Schwelle in der Regel nicht.
Kann die Meldung an das BSI delegiert werden? Ja. Die Verantwortung liegt bei der Einrichtung, die konkrete Meldung kann aber an autorisierte Mitarbeitende oder externe Dienstleister delegiert werden. Die Geschäftsleitung bleibt nach §38 BSIG persönlich verantwortlich für die Überwachung.
Welche Bußgelder drohen bei versäumter Meldung? Besonders wichtige Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des Jahresumsatzes.
Fazit: Vorbereitung ist alles
Die NIS2 Meldepflicht ist kein Bürokratieakt – sie ist der Beweis dafür, ob Ihr Incident-Management wirklich funktioniert. Unternehmen, die im Vorfall nicht innerhalb von 24 Stunden melden können, haben in der Regel ein strukturelles Problem: fehlende Audit-Logs, fehlende Tracing-Infrastruktur oder fehlende Prozesse.
Conbool löst den technischen Teil: MailGuard liefert die Audit-Logs und IOC-Daten, SecureMail verhindert meldepflichtige Datenvorfälle durch Verschlüsselung, und beide zusammen machen aus einer reaktiven Meldepflicht einen kontrollierbaren Compliance-Prozess.
