Ratgeber

BSI-Compliance: Schritt-für-Schritt zur Registrierung und Vorfallmeldung

Sven Hillebrecht
06/05/2026

Prozessuale Sicherheit: Ihr Fahrplan für die Behördenkommunikation

Für Sie als CISO ist die NIS2-Umsetzung ein strategisches Projekt. Während die IT die Technik liefert, müssen Sie sicherstellen, dass die Governance-Strukturen für die Zusammenarbeit mit dem BSI stehen. Ein zentraler Pfeiler ist dabei das fristgerechte Meldewesen.

1. Die Registrierungspflicht beim BSI

Unternehmen, die als „wesentliche“ oder „wichtige“ Einrichtungen eingestuft werden, müssen sich spätestens mit Inkrafttreten der nationalen Gesetzgebung beim BSI registrieren. Die Registrierung erfolgt über ein zentrales Portal. Dafür sollten Sie folgende Informationen parat halten:

Stammdaten: Name, Anschrift und Kontaktdaten des Unternehmens.
Sektor-Zuordnung: Identifikation der kritischen Dienstleistungen.
Kontaktstelle: Benennung einer 24/7 erreichbaren Kontaktstelle für Sicherheitsmeldungen.

2. Der 24-Stunden-Meldezyklus: Zeit ist Compliance

Eines der kritischsten Elemente der NIS2-Richtlinie sind die verschärften Meldefristen bei erheblichen Sicherheitsvorfällen. Wer diese Fristen versäumt, riskiert Sanktionen.

Phase	Zeitfenster	Inhalt der Meldung
Frühwarnung	Innerhalb von 24h	Erste Einschätzung: Handelt es sich um einen rechtswidrigen Vorfall?
Update / Meldung	Innerhalb von 72h	Detailliertere Analyse, erste Auswirkungen und Indikatoren für Kompromittierung (IoCs).
Abschlussbericht	Nach 1 Monat	Umfassende Darstellung des Vorfalls, Ursachenanalyse und getroffene Abhilfemaßnahmen.

3. Kooperation mit den Mobile Incident Response Teams (MIRT)

Das BSI ist im Ernstfall kein reiner Prüfer, sondern ein operativer Partner. Die MIRTs können bei schweren Angriffen angefordert werden.

Vor-Ort-Unterstützung: Experten des BSI analysieren die Angriffsvektoren in Ihrer Infrastruktur.
Lagebild: Profitieren Sie von den Erkenntnissen des BSI über aktuelle Kampagnen, die auch andere Unternehmen betreffen.
Prävention: Nutzen Sie die Erkenntnisse aus MIRT-Einsätzen zur Härtung Ihrer eigenen Systeme.

FAQ: Häufig gestellt Fragen zum BSI-Meldewesen

Muss ich jeden kleinen Phishing-Versuch beim BSI melden?

Nein, nur Vorfälle mit „erheblichen Auswirkungen“ auf die Erbringung der Dienste oder die Sicherheit.

Wie melde ich einen Vorfall beim BSI?

Die Meldung erfolgt über das Melde- und Informationsportal (MIP) des BSI.

Was passiert, wenn die 24-Stunden-Frist am Wochenende abläuft?

Die Frist gilt kalendarisch. Prozesse müssen also 24/7 besetzt sein.

Können anonyme Meldungen abgegeben werden?

Für regulierte Unternehmen besteht eine Identifizierungspflicht bei der Meldung.

Ein Beitrag von

Sven Hillebrecht

General Manager, Chief Digital Officer (CDO), Information Security Management Beauftragter (ISMB)

Sven Hillebrecht ist General Manager und Chief Digital Officer (CDO) der ADLON Intelligent Solutions GmbH und verantwortet seit 2017 die strategische Weiterentwicklung des Unternehmens. Darüber hinaus ist er als Information Security Management Beauftragter (ISMB) für die Governance und Weiterentwicklung der Informationssicherheit bei ADLON zuständig.

Zuvor war er über mehrere Jahre als Consultant sowie als Verantwortlicher für den Servicebereich tätig und Mitglied des ADLON Boards. Seine fachlichen Schwerpunkte liegen in der digitalen Transformation, der strukturierten Einführung sicherer Digital‑Workplace‑Konzepte sowie in der strategischen Beratung zu Informationssicherheit.

Als Referent teilt Sven Hillebrecht seine Erfahrung regelmäßig in Fachvorträgen rund um Digitalisierung, Informationssicherheit und Cybersecurity.