BSI verschärft Meldepflichten: 30.000 Unternehmen in der Pflicht

Für rund 30.000 deutsche Unternehmen und Organisationen gelten ab sofort verschärfte Regeln zur Meldung von Cyberangriffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sein neues, dreistufiges Meldeverfahren aktiviert – mit extrem engen Fristen. Wer zu spät reagiert, riskiert empfindliche Sanktionen.

Hintergrund ist das NIS-2-Umsetzungsgesetz, das seit Dezember 2025 in Kraft ist. Es setzt eine EU-Richtlinie um und soll die Widerstandsfähigkeit kritischer Infrastrukturen stärken. Der Kreis der betroffenen Sektoren wurde massiv ausgeweitet. Vom Mittelständler bis zum DAX-Konzern: Für alle gilt nun eine unmittelbare Handlungspflicht.

Dreistufiges Meldesystem mit extrem engen Fristen

Das Herzstück der Neuregelung ist ein striktes, dreistufiges Meldesystem für „erhebliche Sicherheitsvorfälle“. Ein Vorfall gilt als erheblich, wenn er zu schweren Betriebsstörungen, finanziellen Verlusten oder erheblichen Schäden für Dritte führen kann.

Die neue Prozedur ist ein Sprint gegen die Uhr:
1. Früherstmeldung: Spätestens 24 Stunden nach Kenntnis muss eine erste Warnung beim BSI eingehen – auch wenn Details noch fehlen.
2. Folgemeldung: Innerhalb von 72 Stunden muss eine detailliertere Bewertung mit ersten Erkenntnissen folgen.
3. Finaler Bericht: Nach spätestens einem Monat ist eine umfassende Analyse zu Ursache, Abhilfemaßnahmen und Folgen fällig.

Dieses System löst die bisherige, oft laschere einstufige Meldepflicht ab und zwingt Unternehmen zu einer deutlich professionelleren Incident-Response.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht ausreichend vorbereitet sind – und warum die neuen, extrem kurzen Meldefristen das Risiko weiter erhöhen. Unser kostenloses E‑Book zeigt praxisnahe Schutzmaßnahmen, mit denen Sie Incident‑Response‑Prozesse sofort verbessern, Meldewege absichern und Bußgeldern vorbeugen. Enthalten: Umsetzbare Checklisten für die Geschäftsleitung, Sensibilisierungsmaßnahmen für Mitarbeitende und Priorisierungs‑Templates für IT‑Teams. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Neue Pflicht: Registrierung im BSI-Portal bis März

Bevor überhaupt gemeldet werden kann, müssen sich alle betroffenen Einrichtungen erst registrieren. Seit Anfang Januar steht dafür ein neues BSI-Meldeportal bereit.

Die Frist ist knapp: Bis zum 6. März 2026 muss die Registrierung abgeschlossen sein. Sie erfolgt über „Mein Unternehmenskonto“ mit einem ELSTER-Zertifikat. Das Portal wird zum zentralen Kommunikationskanal für alle Meldungen. Für Vorfälle vor der Registrierung hat das BSI ein Notfall-Onlineformular eingerichtet.

Die Ausweitung des Kreises von früher etwa 4.500 auf nun fast 30.000 Organisationen stellt das BSI vor eine immense Verwaltungsaufgabe. Das Portal soll diesen Aufwand kanalisieren.

Risikomanagement wird Chefsache

Neben der Meldepflicht schreibt das Gesetz umfassende Präventionsmaßnahmen vor. Unternehmen müssen „angemessene und verhältnismäßige“ technische und organisatorische Maßnahmen ergreifen. Dazu gehören Risikoanalysen, Sicherheit in der Lieferkette, regelmäßige Tests und Business-Continuity-Pläne.

Ein entscheidender Punkt: Die Verantwortung wird explizit der Geschäftsleitung zugewiesen. Cybersicherheit ist damit nicht länger nur ein IT-Thema, sondern integraler Bestandteil des unternehmerischen Risikomanagements.

Analyse: Herausforderung und Chance für die Wirtschaft

Die neuen Regeln markieren einen Wendepunkt. Die extrem kurzen Fristen erhöhen den Druck auf Unternehmen, ihre Abläufe zu professionalisieren. Viele müssen ihre Incident-Response-Pläne komplett überarbeiten.

Experten sehen darin eine zweischneidige Entwicklung. Einerseits steigt der administrative und finanzielle Aufwand, besonders für bisher nicht regulierte Unternehmen. Andererseits schafft der einheitliche EU‑Rahmen mehr Grundsicherheit und Transparenz. Die beim BSI gesammelten Daten sollen ein besseres Lagebild ermöglichen und schnelle Reaktionen auf großangelegte Angriffswellen wie zuletzt bei Telekom oder SAP unterstützen.

Die kommenden Monate werden zeigen, wie gut die deutsche Wirtschaft die anspruchsvollen Vorgaben umsetzen kann. Der Fokus liegt jetzt auf Registrierung und der Etablierung robuster Meldeprozesse. Das BSI wird seine Rolle als Aufsichtsbehörde voraussichtlich ausbauen – bei Verstößen drohen hohe Bußgelder.

PS: Sie müssen die neuen Meldepflichten rechtssicher umsetzen? Das Gratis‑E‑Book »Cyber Security Awareness Trends« liefert einen kompakten Umsetzungsleitfaden für Geschäftsführer und IT‑Verantwortliche – mit konkreten Maßnahmen zur Stärkung der Abwehr, Checklisten für Meldeprozesse und praktischen Tipps zur schnellen Registrierung im BSI‑Portal. Ideal für Unternehmen, die Compliance pragmatisch und ohne große Zusatzkosten herstellen wollen. Gratis‑E‑Book »Cyber Security Awareness Trends« herunterladen