Viele Unternehmen der Automobilindustrie unterliegen den Anforderungen der NIS 2 Richtlinie. In unseren FAQs zu NIS 2 für die Automobilindustrie haben wir zusammengefasst, wer davon betroffen ist.
Die jeweiligen NIS 2-Umsetzungsgesetze treten nach und nach in den einzelnen Mitgliedstaaten in Kraft, zuletzt die geänderten Bestimmungen im BSIG in Deutschland. Die Bestimmungen sind seit dem 5. Dezember 2025 rechtskräftig. Für die Verpflichtung zur Registrierung betroffener Unternehmen beim BSI gilt eine Übergangsfrist von drei (3) Monaten, die somit am 5. März 2026 ausläuft.
Unternehmen, die seit dem 5. Dezember 2025 erstmals den Anforderungen unterliegen, fragen sich derzeit zunehmend, wann und wie schwerwiegende Sicherheitsvorfälle dem BSI zu melden sind. Die folgenden FAQs sollen bei der ersten Einschätzung und Festlegung der zu ergreifenden Maßnahmen helfen.
1. Müssen NIS-2-regulierte Unternehmen IT-Sicherheitsvorfälle ab dem 5. Dezember 2025 oder erst ab Ablauf der Registrierungspflicht am 5. März 2026 melden?
Die Meldepflicht gilt ab dem Zeitpunkt des Inkrafttretens der gesetzlichen Verpflichtungen, d. h. ab dem 5. Dezember 2025, unabhängig von der Registrierungsfrist.
Die dreimonatige Übergangsfrist gilt nur für die Registrierung beim BSI, nicht für die laufenden Sicherheits- und Meldepflichten.
Praktische Auswirkungen für Recht/Compliance: Die Prozesse zur Meldung von Vorfällen müssen funktionsfähig sein.
2. Wir haben uns noch nicht auf dem BSI-Portal registriert. Gilt die Meldepflicht bereits? Wie reiche ich die Meldung ein?
Ja. Die Verpflichtung gilt weiterhin. Die Nichtregistrierung ändert nichts an der Rechtslage. In diesem Fall müssen Unternehmen:
Parallel handeln:
- sich unverzüglich beim BSI registrieren, damit sie zumindest „so bald wie möglich” über den offiziellen Kanal (eigenes Konto beim BSI) mit dem BSI kommunizieren können.
- den Vorfallbericht auf jeden Fall unverzüglich erstellen.
Meldekanal:
- Nutzen Sie die vom BSI bereitgestellten Notfall-/Übergangskanäle (z. B. allgemeine Meldeformulare, Kontaktstellen für Cybersicherheitsvorfälle).
- Dokumentation, aus der hervorgeht, warum noch kein regulärer Portalzugang verfügbar war (z. B. unter Verweis auf die laufende Registrierungsphase).
3. Handelt es sich überhaupt um einen schwerwiegenden Sicherheitsvorfall? Wie kann ich das konkret feststellen?
Das ist die zentrale Frage, die sich viele Unternehmen derzeit stellen, da ihnen noch die Erfahrung im Umgang mit den
Bestimmungen des BSIG oder der NIS-2 fehlt.
Ein Vorfall ist in der Regel meldepflichtig, wenn er
- die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von IT-Systemen oder Daten beeinträchtigt und
- erhebliche Auswirkungen auf die Erbringung von Dienstleistungen hat oder hatte.
Typische Indikatoren für Situationen in der Automobilindustrie:
Ransomware, die zu Produktionsausfällen führt: 🔴 sehr wahrscheinlich meldepflichtig
Angriff auf die IT der Lieferkette mit Ausfall der Produktionsplanung 🔴 sehr wahrscheinlich meldepflichtig
Kompromittierung von Backend-Systemen für vernetzte Fahrzeuge 🔴 sehr wahrscheinlich meldepflichtig
Kurzfristige interne Störung ohne externe Auswirkungen 🟡 Einzelfallprüfung
Kompromittierung von Geschäfts- und Handelsgeheimnissen 🟡 Einzelfallprüfung
Reine Phishing-E-Mail ohne Kompromittierung 🟢 wahrscheinlich nicht meldepflichtig, aber Einzelfallprüfung
Fragen, die die Rechts-/Compliance-/IT-Sicherheitsabteilung stellen sollte:
- Gibt es Auswirkungen auf Produktion, Logistik oder Sicherheit?
- Sind Kunden, Fahrzeuge oder sicherheitsrelevante Systeme betroffen?
- Ist ein erheblicher wirtschaftlicher Schaden möglich?
- Besteht ein Reputations- oder Regulierungsrisiko?
Im Zweifelsfall gilt wie bei der DSGVO wahrscheinlich die Faustregel „melden“ – aus regulatorischer Sicht ist Nichtmelden riskanter als Übermelden.
4. Unterscheiden sich die Meldepflichten je nachdem, ob ich eine wichtige oder wesentliche Einrichtung im Sinne des BSIG bin?
In der Praxis gibt es kaum Unterschiede im Meldeprozess. Sowohl „wesentliche” als auch „wichtige” Einrichtungen im Sinne des BSIG unterliegen:
- Meldepflichten für Vorfälle
- Risikomanagementanforderungen
- Dokumentationspflichten
Unterschiede bestehen in der Regel in folgenden Bereichen:
- Intensität der Aufsicht
- Mögliche Bußgelder
- Erwartungen an die Reife der Sicherheitsorganisation
Für Rechts-/Compliance-Teams bedeutet dies: Richten Sie den Meldeprozess mit derselben Robustheit ein – keine „Light-Version“ für „wichtige“ Einrichtungen.
5. Welche Anforderungen müssen wir im Rahmen des Meldeprozesses beachten und erfüllen?
Die Botschaft lautet: Es handelt sich um einen gesetzlich strukturierten, schrittweisen Prozess gemäß BSIG (Umsetzung der NIS2-Richtlinie), der befolgt werden muss. Verstöße können mit Sanktionen geahndet werden.
Gesetzlich vorgeschriebene Meldephasen:
Phase 1: Frühwarnung – Unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Sicherheitsvorfalls
Zweck:
- Bekanntgabe, dass wahrscheinlich ein schwerwiegender Vorfall eingetreten ist
- Erste Einstufung, ob illegale oder böswillige Handlungen vermutet werden
Typischer Inhalt:
- Zeitpunkt der Entdeckung
- Erste Beschreibung der Störung
- Erste Einschätzung der Auswirkungen auf die Dienste
Stufe 2: Folgebericht/Zwischenbericht: innerhalb von 72 Stunden nach Bekanntwerden
Zweck: Bereitstellung detaillierterer Informationen zum Erstbericht auf der Grundlage der bisherigen Analyse des Vorfalls.
Typischer Inhalt:
- Aktualisierte Einschätzung der Schwere
- Betroffene Systeme/Standorte
- Vermutete Ursache (sofern bekannt)
- Erste Eindämmungsmaßnahmen
- Grenzüberschreitende Auswirkungen, falls zutreffend
Stufe 3: Abschlussbericht: Spätestens einen Monat nach dem ersten Bericht
Zweck: Vollständige Untersuchung des Vorfalls.
Typischer Inhalt:
- Grundursache
- Tatsächliche Auswirkungen (Betrieb, Sicherheit, Lieferkette usw.)
- Dauer des Vorfalls
- Abschließende Schadensbewertung
- Getroffene und langfristig geplante Maßnahmen
Was dies in der Praxis für Rechts- und Compliance-Teams bedeutet:
Beginn der 24-Stunden-Frist: Beginnt, wenn das Unternehmen Kenntnis von dem Vorfall erlangt – nicht nach Abschluss der IT-Analyse
Bereitstellung unvollständiger Informationen: Zulässig im ersten Bericht – weitere Verfeinerung ist geplant
Dokumentation: Die Entscheidungsfindung („warum meldepflichtig/nicht meldepflichtig“) muss überprüfbar sein
Interne Koordination: IT-, Sicherheits-, Datenschutz- und Rechtsabteilungen müssen sofort zusammenarbeiten
Wechselwirkung mit anderen Verpflichtungen: Fristen laufen parallel zu anderen Verpflichtungen (z. B. 72 Stunden gemäß Art. 33 DSGVO). Ein Vorfall kann daher mehrere Fristen gleichzeitig auslösen – bei verschiedenen Behörden.
Faustregel: Melden innerhalb von 24 Stunden – erläutern innerhalb von 72 Stunden – abschließen innerhalb von 1 Monat.
6. In welchem Zusammenhang steht dies mit anderen Meldepflichten, beispielsweise gemäß Art. 33 DSGVO? Was ist dabei zu beachten?
Neben NIS-2/BSIG kann auch Folgendes gelten:
- Artikel 33 DSGVO – Meldung von Datenschutzverletzungen an Datenschutzaufsichtsbehörden
- Vertragliche Meldepflichten (OEMs, Tier-1-Zulieferer), falls zutreffend
- Produktsicherheitsrecht für fahrzeugbezogene IT-Systeme
Ein Vorfall kann alle diese Verpflichtungen gleichzeitig auslösen.
Unterschiedliche Fristen und Inhalte müssen parallel berücksichtigt und im Prozess umgesetzt werden.
7. Wir haben Niederlassungen in verschiedenen europäischen Ländern, die alle oder zumindest einige von einem Vorfall betroffen sind. Müssen wir den Vorfall einzeln jeder zuständigen nationalen Behörde melden oder reicht eine zentrale Meldung an eine Aufsichtsbehörde in einem der Mitgliedstaaten aus?
In den meisten Fällen ja.
Gemäß der NIS2-Richtlinie gibt es kein vollständiges „One-Stop-Shop“-Prinzip wie in der DSGVO.
Unter anderem sind folgende Faktoren entscheidend dafür, wer was an welche Behörde melden muss:
- der Sitz des betroffenen Unternehmens
- der Standort der betroffenen Dienste
- die jeweilige nationale Umsetzung
Eine wichtige Praxis für Unternehmen der Automobilindustrie muss daher eine zentralisierte Vorfallskoordination auf Konzernebene sein, kombiniert mit den folgenden Schritten:
- Überprüfung jeder betroffenen nationalen Tochtergesellschaft
- Einbeziehung der lokalen Rechts-/Compliance-Funktion
- Parallele Meldungen an mehrere Behörden sind möglich, in der Regel aber auch erforderlich
In jedem Fall ist eine konzernweite Incident Governance ein klarer Compliance-Faktor!
