BSI startet zentrale Meldestelle für Cyberangriffe

Ab Dienstag müssen Zehntausende deutsche Unternehmen Cybervorfälle über eine neue Plattform melden. Sie soll erstmals IT-Sicherheit und Datenschutz vereinen – und startet unter hohem Druck.

Seit Anfang Dezember gilt das verschärfte IT-Sicherheitsgesetz NIS-2. Nun folgt der nächste große Schritt: Am 6. Januar schaltet das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine neue zentrale Meldestelle frei. Die Plattform soll den Ansturm von Vorfällen bewältigen, die das neue Gesetz meldepflichtig macht. Erstmals will sie dabei die Lücke zwischen IT-Sicherheitsmeldung und Datenschutz-Compliance schließen. Für die deutsche Wirtschaft endet damit eine Übergangsfrist – und beginnt eine Ära strengerer Kontrollen.

Der Start der BSI-Plattform ist der letzte technische Baustein zur Umsetzung der EU-Richtlinie NIS-2 in Deutschland. Seit dem Inkrafttreten des Gesetzes am 6. Dezember 2025 nutzten betroffene Unternehmen – von Energieversorgern bis zu Digitaldienstleistern – Übergangslösungen. Ab Dienstag müssen sie über das integrierte Portal melden, das via „Mein Unternehmenskonto“ (MUK) zugänglich ist.

Das System ist auf hohe Meldeaufkommen ausgelegt. Es verarbeitet die „Frühwarnungen“ und „Vorfallmeldungen“, die in neuen Fristen von 24 und 72 Stunden eingereicht werden müssen. Die Architektur zielt darauf ab, bürokratische Hürden abzubauen. Bisher litten Unternehmen unter verschiedenen Meldekanälen für unterschiedliche Vorfälle. Die neue Plattform bündelt diese Stränge in einem Dashboard.

Viele Unternehmen sind noch nicht auf das erhöhte Risiko durch Cybervorfälle nach NIS‑2 vorbereitet. Unser kostenloses E‑Book fasst die aktuellen Cyber‑Security‑Trends, die neuen Meldepflichten (inkl. NIS‑2) und die Schnittstellen zur DSGVO kompakt zusammen. Praxisnahe Schutzmaßnahmen, Prioritäten für IT‑ und Compliance‑Teams sowie konkrete Checklisten helfen Ihnen, Vorfälle früh zu erkennen und Meldungen fristgerecht vorzubereiten. Ideal für Geschäftsführer, IT‑Leiter und Datenschutzbeauftragte. Jetzt Cyber‑Security‑Guide für Unternehmen herunterladen

Der Zugang zum Portal – und damit die Erfüllung der Meldepflicht – setzt ein verifiziertes MUK-Konto voraus. Unternehmen, die dies noch nicht haben, sollten es umgehend einrichten.

Der große Wurf: NIS-2 und DSGVO unter einem Dach

Am meisten beachtet wird die Integration der Datenschutzmeldungen. Jahrelang kämpften Industrieverbände und die Datenschutzkonferenz (DSK) gegen die „Doppelbelastung“, Cybervorfälle beim BSI und Datenschutzverletzungen bei Landesbeauftragten melden zu müssen.

Die neue Plattform ermöglicht nun eine „One-Stop“-Meldung, wo rechtlich möglich. Zwar bleiben BSI und Datenschutzbehörden eigenständig. Die Schnittstelle soll den Eingabeprozess aber vereinfachen. Daten einer NIS-2-Meldung können für eine DSGVO-Benachrichtigung nach Artikel 33 formatiert und weitergeleitet werden – sofern personenbezogene Daten betroffen sind.

„Die Möglichkeit, eine DSGVO-Meldung direkt aus der Cybersicherheitsmeldung auszulösen, beseitigt eine kritische Komplexitätsschicht in den chaotischen ersten Stunden eines Cyberangriffs“, bewerten Rechtsexperten. Unternehmen müssen jedoch beachten: Der Meldeweg ist vereinheitlicht, die rechtliche Verantwortung bleibt doppelt. Das BSI bewertet die technische Reaktion, die Landesbeauftragten die Auswirkungen auf die Privatsphäre.

Seit Dezember gilt: Meldepflicht ohne Gnadenfrist

Die Dringlichkeit des Portalstarts ergibt sich aus der sofortigen Anwendbarkeit des NIS-2-Umsetzungsgesetzes. Seit dem 6. Dezember unterliegen rund 29.500 deutsche Unternehmen strengeren Cybersicherheitsvorgaben – statt bisher 4.500. Erfasst sind nicht mehr nur „Kritische Infrastrukturen“ (KRITIS), sondern auch „Wichtige“ und „Besonders wichtige“ Einrichtungen in Sektoren wie Abfallwirtschaft, Lebensmittelproduktion und verarbeitendem Gewerbe.

Das Gesetz ließ keine „Gnadenfristen“ zu. Die Pflicht, erhebliche Vorfälle zu melden, bestand von Tag eins an. Die Übergangslösung des BSI bearbeitete über die Feiertage bereits Meldungen. Die automatisierten Fähigkeiten der neuen Plattform sind nun aber essenziell, um den Prozess zu bewältigen.

Für „Besonders wichtige“ Einrichtungen gilt ein strenger Drei-Stufen-Meldezyklus:
1. Frühwarnung (24 Stunden): Schnelle Alarmierung bei einem möglichen schwerwiegenden Vorfall.
2. Vorfallmeldung (72 Stunden): Detaillierter Bericht mit erster Einschätzung von Schwere und Auswirkungen.
3. Abschlussbericht (1 Monat): Umfassende Analyse von Ursache und Gegenmaßnahmen.

Das neue Portal überwacht diese Fristen automatisch, mahnt verspätete Meldungen an und führt ein Prüfprotokoll.

Erleichterung und Anspannung in der Wirtschaft

Die Reaktion der deutschen Wirtschaft ist gemischt. Der Deutsche Industrie- und Handelskammertag (DIHK) begrüßte den einheitlichen Meldeweg als notwendig, um „Compliance-Fatigue“ zu verhindern. Sorgen gibt es jedoch zur technischen Stabilität der Plattform beim Start. Mit fast 30.000 potenziellen Nutzern steht die BSI-Infrastruktur vor einem Belastungstest.

Cybersicherheitsberater raten ihren Kunden, den Start als Übung zu behandeln. „Wir empfehlen allen betroffenen Mandanten, sich am 6. Januar einzuloggen, ihren MUK-Zugang zu prüfen und sich mit der Oberfläche vertraut zu machen – bevor eine Krise eintritt“, heißt es in einem Rundschreiben einer großen IT-Compliance-Firma.

Der Fokus wird sich nach dem Start auf die Durchsetzung verlagern. Das BSI hat signalisiert, dass zunächst Onboarding und Support im Vordergrund stehen. Das Sanktionsregime – mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes für essentielle Einrichtungen – werde aber gegen jene angewendet, die ihre Meldepflichten vernachlässigen.

Der Erfolg der vereinheitlichten Plattform könnte zum Vorbild für andere EU-Staaten werden, die NIS-2 und DSGVO in Einklang bringen müssen. Jetzt blicken alle auf Dienstagmorgen, wenn die URL live geht und die neue Realität der deutschen Cybersicherheits-Compliance beginnt.

PS: Die neue Meldestelle ist jetzt live – sind Ihre Melde- und Schutzprozesse darauf vorbereitet? Der kostenlose Cyber‑Security‑Awareness‑Report erklärt in vier praxisnahen Schritten, wie Sie Phishing‑Angriffe abwehren, interne Meldewege DSGVO‑konform gestalten und Verantwortlichkeiten klar verteilen, damit Meldungen fristgerecht erfolgen und Bußgelder vermieden werden. Lesedauer: ca. 10 Minuten; mit umsetzbarer Checkliste für IT- und Compliance-Teams. Gratis Cyber‑Security‑Awareness-Report sichern