BSI startet zentrale Meldepflicht für Cyber-Angriffe

Ab sofort müssen Unternehmen in Deutschland Sicherheitsvorfälle binnen 24 Stunden digital melden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sein zentrales Meldeportal aktiviert – die Übergangsfrist ist damit ausgelaufen. Verstöße gegen die neuen Fristen können zu drastischen Strafen führen.

Seit Dienstag ist das neue Zeitalter der Cybersicherheits-Meldepflicht in Deutschland Realität. Das BSI hat sein zentrales Meldeportal in Betrieb genommen und beendet damit die Übergangsphase, die bis zum 5. Januar galt. Alle betroffenen Unternehmen – geschätzte 30.000 in Deutschland – müssen nun digitale Vorabmeldungen innerhalb von 24 Stunden nach Entdeckung eines Vorfalls einreichen.

Das Portal schafft eine lückenlose digitale Spur. „Damit entfällt jede Grauzone bei der Meldung“, erklärt eine auf IT-Compliance spezialisierte Rechtsanwältin. „Die Zeitstempel sind jetzt automatisch nachvollziehbar.“ Für viele mittelständische Unternehmen bedeutet dies einen Wettlauf gegen die Zeit. Obwohl das NIS-2-Umsetzungsgesetz bereits seit Dezember 2025 gilt, haben zahlreiche Betriebe ihre Registrierung noch nicht abgeschlossen.

Warum sind 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet? Neue Meldepflichten wie NIS‑2 erhöhen die Anforderungen an IT‑Organisationen – und die 24‑Stunden‑Frist macht schnelle, strukturierte Reaktionen zwingend. Der kostenlose Leitfaden „Cyber Security Awareness Trends“ zeigt praxisgerechte Schutzmaßnahmen, Checklisten für Incident Response und Prioritäten, mit denen Geschäftsführer und IT‑Verantwortliche ihre Organisation sofort stärken können. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Bis zu zehn Millionen Euro Strafe drohen

Die neuen Sanktionen sind hart: Für Unternehmen der „kritischen“ Kategorie können Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes fällig werden. Bei „wichtigen“ Einrichtungen sind es bis zu sieben Millionen Euro oder 1,4 Prozent des Umsatzes. Doch das ist nicht alles.

Erstmals haften auch Geschäftsführer persönlich. Wer angemessene Risikomanagement-Maßnahmen vernachlässigt oder die Compliance nicht überwacht, muss mit Konsequenzen rechnen. „Das verändert die Corporate Governance grundlegend“, betonen Rechtsexperten. Die 24-Stunden-Frist setzt IT-Abteilungen unter enormen Druck – zu schnelle Meldungen könnten unnötige Prüfungen auslösen, Zögern dagegen teure Strafen.

Management in der Verantwortung

Cybersicherheit ist damit endgültig im Vorstand angekommen. Das BSI wechselt vom beratenden zum kontrollierenden Amt. „Die persönliche Haftung der Führungsebene ist ein Game-Changer“, so ein Compliance-Berater. Viele Unternehmen stehen vor der Herausforderung, ihre internen Prozesse mit dem Bundesportal zu synchronisieren.

Rechtliche Unsicherheiten bleiben: Unternehmen ohne Portal-Zugang verstoßen zwar gegen administrative Pflichten, doch der Fokus der Behörden dürfte zunächst auf tatsächlichen Meldeverzögerungen bei Sicherheitsvorfällen liegen. Die ersten Testfälle werden in den kommenden Wochen erwartet. Branchenbeobachter rechnen mit exemplarischen Verwarnungen, um klare Signale zu setzen.

Größte IT-Sicherheitsreform seit Jahren

Die NIS-2-Umsetzung markiert die umfassendste Reform des IT-Sicherheitsrechts seit einem Jahrzehnt. Der Geltungsbereich wurde massiv ausgeweitet: Neben klassischer Kritischen Infrastruktur (KRITIS) sind jetzt auch Abfallwirtschaft, Lebensmittelproduktion und digitale Dienstleister betroffen.

Die Situation erinnert an die DSGVO-Einführung – anfängliche Verwirrung wird wohl strikter Verfahrenstreue weichen. Doch im Gegensatz zur Datenschutzgrundverordnung steht bei NIS-2 die Geschwindigkeit der Kommunikation im Krisenfall im Vordergrund. Experten vergleichen die neuen Regeln mit Meldepflichten im Finanzsektor: IT-Sicherheit wird nun ähnlich behandelt wie finanzielle Stabilität.

Was Unternehmen jetzt tun müssen

Die nächsten Wochen werden entscheidend. Das BSI plant stichprobenartige Prüfungen von Registrierungsstatus und Risikomanagement-Dokumentationen im ersten Quartal 2026. Die Vernetzung mit EU-weiten Warnsystemen wird sich in der Praxis bewähren müssen.

Unternehmen sollten umgehend „Feuerwehr-Übungen“ durchführen. Können Incident-Response-Teams die 24-Stunden-Frist unter realen Bedingungen einhalten? Die Uhr tickt – die Schonfrist ist definitiv vorbei.

PS: Sie müssen künftig Sicherheitsvorfälle binnen 24 Stunden melden — sind Ihre Abläufe und Teams darauf vorbereitet? Dieses kostenlose E‑Book fasst die wichtigsten Maßnahmen zusammen: von schnellen Erstchecks über Reporting‑Vorlagen bis zu Awareness‑Maßnahmen für Mitarbeiter. Einfach umsetzbare Schritte helfen, Bußgelder zu vermeiden und die persönliche Haftung von Führungskräften zu minimieren. E-Book jetzt kostenlos herunterladen