Vorfall (NIS2)
§ 31 BSIG — meldepflichtiger Sicherheitsvorfall
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
Vorfall (NIS2) ist nach § 31 BSIG ein Ereignis, das die Sicherheit von Netzwerk- und Informationssystemen tatsächlich beeinträchtigt. Bei 'erheblichen' Vorfällen greift Meldepflicht 24/72/30.
Was ist Vorfall (NIS2)?
Erheblichkeits-Schwellen (§ 32 Abs. 2 BSIG):
- Schwerwiegende Auswirkungen auf Erbringung der Dienste
- Wesentliche Auswirkungen auf andere Personen
- Reputationsschaden / finanzieller Schaden >100k EUR
Praxisbeispiel
Ransomware verschlüsselt Server. Vorfall ja. Erheblich ja (Service-Ausfall >1h). 24h-Erstmeldung an BSI Pflicht.
Häufig gestellte Fragen
Was ist 'erheblich'?
BSI-Konkretisierung 02/2026: Service-Ausfall >30min, Datenverlust >1k Datensätze, Schaden >100k EUR.
Meldefrist?
24h Erstmeldung, 72h Update, 30 Tage Abschlussbericht.
Bußgeld bei Nicht-Meldung?
§ 60 BSIG bis 10 Mio. EUR / 2%.