Cyberangriff? Diese Meldepflichten gelten in Deutschland

Die DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, Verletzungen des Schutzes personenbezogener Daten binnen 72 Stunden der zuständigen Aufsicht zu melden; bei hohem Risiko sind auch Betroffene zu informieren. Kernziel ist Transparenz und der Schutz der Rechte der betroffenen Personen.

Zentrale Meldestellen der Länder:

NIS2 verpflichtet wesentliche und wichtige Einrichtungen aus 18 Sektoren zu Risikomanagement und gestuftem Incident-Reporting (Frühwarnung, 72-Stunden-Meldung, Abschlussbericht) an die nationale Behörde/CSIRT. Die Richtlinie stärkt die Resilienz kritischer und wichtiger Dienste und harmonisiert Sicherheitsanforderungen in der EU. In Deutschland erfolgt die Umsetzung über das NIS2-Umsetzungsgesetz.

Hinweis: Das deutsche NIS-2-Umsetzungsgesetz (NIS2UmsuCG) ist noch nicht in Kraft getreten. Nach der Verabschiedung des Kabinetts am 30. Juli 2025 und der aktuellen Beratung im parlamentarischen Verfahren wird das Inkrafttreten für Ende 2025 oder Anfang 2026 erwartet.

KRITIS-Betreiber sind verpflichtet, erhebliche IT-Störungen unverzüglich an das BSI zu melden und relevante Informationen bereitzustellen. Der Kern ist die Aufrechterhaltung der Funktionsfähigkeit kritischer Infrastrukturen und die schnelle Lagebewertung.

DORA schafft ein einheitliches Rahmenwerk für digitale operative Resilienz im Finanzsektor, inklusive ICT-Risikomanagement, Tests und Third-Party-Aufsicht. Kern ist ein harmonisiertes Meldewesen für schwere IKT-Vorfälle (Initial, Interim, Final) an die Aufsicht, in Deutschland zentral über die BaFin. Ziel ist die Stabilität des Finanzsystems trotz Cyber- und IT-Störungen.

Zahlungsdienstleister müssen „schwerwiegende Betriebs- oder Sicherheitsvorfälle“ unverzüglich der BaFin melden; diese informiert EBA/EZB weiter. Kernziel ist ein einheitliches Incident-Reporting im PSD2-/ZAG-Rahmen.

Betreiber von Energieversorgungsnetzen melden erhebliche IT-Sicherheitsstörungen unverzüglich an das BSI – unabhängig von KRITIS-Schwellen. Der Fokus liegt auf Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit, die den Netzbetrieb beeinträchtigen können.

Unternehmen im besonderen öffentlichen Interesse sind u. a. zu Meldungen signifikanter IT/OT-Störungen an das BSI verpflichtet. Der Schwerpunkt liegt auf der Absicherung volkswirtschaftlich oder sicherheitsrelevanter Unternehmen.

Hinweis: Dieser Abschnitt ergänzt KRITIS und wird perspektivisch mit den NIS2-Kategorien verzahnt, sobald die Direktive offiziell in nationales Recht übertragen wurde.

Das TKG verlangt von Betreibern öffentlicher TK-Netze/-Dienste die Meldung erheblicher Sicherheitsvorfälle an BNetzA und BSI sowie datenschutzrelevanter Vorfälle an BNetzA und BfDI. Ziel ist die Sicherung von Verfügbarkeit und Sicherheit elektronischer Kommunikation bei gleichzeitiger Wahrung des Datenschutzes. Die Pflichten bestehen parallel zu ggf. anwendbarer DSGVO/NIS2.

eIDAS verpflichtet Vertrauensdiensteanbieter, Sicherheitsverletzungen und Integritätsverluste ihrer Dienste unverzüglich der nationalen Aufsicht zu melden. Kerninhalt ist der Erhalt des Vertrauens in qualifizierte elektronische Signaturen, Siegel und zugehörige Dienste.

Der Cyber Resilience Act schafft EU-weit Sicherheits- und Meldepflichten für Produkte mit digitalen Elementen über den gesamten Lebenszyklus. Hersteller müssen aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle über eine zentrale Plattform (ENISA) melden und ein wirksames Vulnerability-Management betreiben. Ziel ist ein höheres Mindestschutzniveau für vernetzte Hardware und Software.

Hinweis: zum aktuellen Zeitpunkt ist der Cyber Resilience Act noch nicht vollständig in Kraft getreten. Meldepflichten gelten derzeit voraussichtlich ab 11.09.2026.

Die MDR-Vigilanz verpflichtet Hersteller von Medizinprodukten/IVD zur Meldung schwerwiegender Vorkommnisse und Feldsicherheitsmaßnahmen an die zuständigen Stellen (in DE: BfArM). Auch cyberbedingte Beeinträchtigungen können meldepflichtig sein, wenn Patientensicherheit betroffen ist. Kern ist die kontinuierliche Überwachung der Produktsicherheit nach dem Inverkehrbringen.

Die Marktmissbrauchsverordnung verpflichtet Emittenten, Insiderinformationen unverzüglich zu veröffentlichen; schwerwiegende Cybervorfälle können eine solche Information darstellen. Ein Aufschub ist nur unter engen Voraussetzungen möglich und muss dokumentiert werden. Ziel ist Markttransparenz und der Schutz von Anlegern.

Anbieter zugelassener TI-Komponenten, -Dienste und -Anwendungen sowie Betriebsleistungen müssen Sicherheits-/Betriebsstörungen mit TI-Bezug melden. Die gematik hat zudem eigene Meldepflichten u. a. gegenüber BSI/BMG und koordiniert Maßnahmen zur Gefahrenabwehr. Ziel ist die Aufrechterhaltung von Funktionsfähigkeit und Sicherheit der Telematikinfrastruktur.

Unternehmen der Zivilluftfahrt (z. B. Luftfahrtunternehmen, Flughäfen, Lieferkettenakteure) müssen Cybersicherheitsmaßnahmen nach EU-DVO 2019/1583 umsetzen und relevante Vorfälle an die zuständige Luftsicherheitsbehörde melden. Der Kern ist die Integration von Cyber-Vorgaben in das bestehende Luftsicherheitsregime.

Genehmigungsinhaber melden meldepflichtige Ereignisse (inkl. IT-bedingter Störungen sicherheitswichtiger Systeme) unverzüglich an die Aufsicht (§ 6 AtSMV). IT-Sicherheitsvorfälle in kerntechnischen Anlagen sind zudem dem BSI zu melden; dieses leitet an die zuständigen Atomaufsichten weiter (§ 44b AtG). Bei (über-)regionalen Notfällen wird das radiologische Lagezentrum des Bundes eingebunden (§ 106 StrlSchG).

Aus individuell geschlossenen Verträgen mit Partnern, Kunden, Zulieferern und Dienstleistern können sich Meldepflichten ergeben. Diese sind individuell zu prüfen.

Eine Meldung von Angriffen kann an bestehende Informationsverbünde erfolgen, bspw. CERTs des Bundes und der Länder.

Eine Meldung an die Polizei kann hilfreich sein und ist für die Strafverfolgung unerlässlich.