FAQ: Meldewesen für Vorfälle – Fristen & Protokolle 2026
Meldewesen für Vorfälle
Im Krisenfall zählt jede Sekunde. Das Jahr 2026 markiert den Übergang zu einem hochgradig automatisierten und zeitkritischen Störungsmanagement. KRITIS-Betreiber müssen Sicherheitsvorfälle nun nach einem strikten 3-Stufen-Schema melden, um die nationale und europäische Reaktionsfähigkeit sicherzustellen. Diese FAQ klärt, was als „erheblicher Vorfall“ gilt, welche Fristen für die 24-Stunden-Meldung gelten und wie die Kooperation zwischen BSI und BBK im Meldeprozess abläuft.
Kontaktieren Sie uns bei weiteren Fragen gerne:
FAQ: Fristen & Protokolle 2026
Wann genau ist ein Vorfall meldepflichtig?
Ein Vorfall muss gemeldet werden, wenn er die Erbringung einer kritischen Dienstleistung erheblich beeinträchtigt oder beeinträchtigen könnte. Dazu zählen sowohl technische IT-Sicherheitsvorfälle als auch physische Ereignisse (z. B. Sabotage oder Naturkatastrophen).
Wie sieht das 3-stufige Meldeschema aus?
Das Meldewesen folgt einer klaren zeitlichen Abfolge:
- Erstmeldung (Frühwarnung): Innerhalb von 24 Stunden nach Kenntnisnahme.
- Update-Meldung: Innerhalb von 72 Stunden mit einer ersten detaillierten Bewertung.
- Abschlussbericht: Spätestens nach einem Monat.
Wo müssen die Meldungen eingereicht werden?
Meldungen erfolgen digital über die gemeinsam vom BSI und BBK eingerichtete Meldeplattform. Diese Plattform stellt sicher, dass sowohl die IT-Sicherheitsexperten als auch die Katastrophenschützer sofort informiert sind.
Was muss die Erstmeldung (innerhalb von 24h) enthalten?
Die Erstmeldung dient als Warnung und muss Informationen darüber enthalten, ob der Vorfall vermutlich auf rechtswidrige Handlungen zurückzuführen ist und ob er grenzüberschreitende Auswirkungen haben könnte.
Welche Details fordert der Abschlussbericht nach einem Monat?
Der ausführliche Bericht muss mindestens folgende Daten enthalten:
- Anzahl und Anteil der betroffenen Personen.
- Die genaue Dauer des Vorfalls.
- Das betroffene geografische Gebiet.
Gibt es Unterschiede zwischen IT- und physischen Vorfällen?
Ja, in der Definition: Ein Sicherheitsvorfall betrifft die Verfügbarkeit, Integrität oder Vertraulichkeit von Daten und IT-Systemen. Ein Vorfall nach dem KRITIS-Dachgesetz umfasst darüber hinaus physische Einwirkungen wie Sabotage oder Unfälle.
Muss ich auch andere KRITIS-Betreiber informieren?
Ja, das Gesetz sieht vor, dass erhebliche Störungen auch an andere betroffene KRITIS-Betreiber gemeldet werden, um das Gesamtsystem resilienter zu machen.
Was passiert bei Vorfällen mit Auswirkungen auf andere EU-Staaten?
Wenn ein Vorfall wesentliche Dienste in oder für andere EU-Mitgliedstaaten beeinträchtigt, leitet das BSI oder BBK diese Informationen unverzüglich an die betroffenen Staaten und die Europäische Kommission weiter.
Wie werden Störungen aktuell statistisch erfasst?
Das BSI veröffentlicht regelmäßige Statistiken („KRITIS in Zahlen“). Im zweiten Quartal 2025 wurden beispielsweise die meisten Störungen im Sektor Transport und Verkehr (50 Meldungen) verzeichnet, gefolgt von der Gesundheit (44 Meldungen).
Welche Sanktionen drohen bei Verstößen gegen die Meldepflicht?
Werden Meldungen nicht, unvollständig oder verspätet abgegeben, handelt es sich um eine Ordnungswidrigkeit. Diese kann mit einem Bußgeld von bis zu 500.000 € geahndet werden.