Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
Cybervorfall: Meldepflicht & Frist im Griff | vsca
Incident ResponseZuletzt aktualisiert: 2026-06-23

Cybervorfall: Meldepflichten & Fristen sicher einhalten – der Doppel-Guide

Zuletzt aktualisiert: 23.06.2026

Ein Verschlüsselungstrojaner legt Ihre Systeme lahm, ein Datenabfluss wird entdeckt oder eine Schwachstelle in Ihrem Produkt wird aktiv ausgenutzt – und auf einmal läuft die Uhr. Denn fast jeder ernsthafte Cybervorfall löst heute eine oder mehrere Meldepflichten mit harten Fristen aus: 72 Stunden an die Datenschutzaufsicht, gestaffelte Meldungen an das BSI, künftig 24 Stunden Frühwarnung nach dem Cyber Resilience Act. Wer im Krisenmoment erst recherchiert, wer was an wen in welcher Frist melden muss, verliert die wertvollsten Stunden. Unser kostenloser Cyber-Vorfall-Doppel-Guide gibt Ihnen genau dafür zwei einsatzbereite Werkzeuge an die Hand: eine Sofortmaßnahmen-Checkliste für die erste Stunde und einen 72-Stunden-Meldeplan, der die Fristen aus DSGVO, NIS2 und CRA sauber trennt.

Guide herunterladen · oder direkt Fragen mit uns klären.

Warum der Ernstfall heute mehrere Uhren gleichzeitig startet

Bis vor Kurzem war für die meisten mittelständischen Unternehmen nur eine Meldepflicht relevant: die Datenpanne nach DSGVO. Das hat sich grundlegend geändert. Mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG), das in Deutschland seit dem 6. Dezember 2025 in Kraft ist (BSI, 2025), und mit den Meldepflichten des Cyber Resilience Act ab dem 11. September 2026 (Art. 14 CRA, EU 2024/2847) kann derselbe Vorfall gleich mehrere Meldepflichten parallel auslösen – jede mit eigenem Adressaten, eigener Frist und eigenem Inhalt.

Das ist der eigentliche Stolperstein. Ein Ransomware-Angriff auf einen Maschinenbauer kann zugleich:

  • eine Datenpanne nach DSGVO sein (personenbezogene Daten betroffen) – Meldung an die Datenschutzaufsicht in 72 Stunden,
  • einen erheblichen Sicherheitsvorfall nach NIS2 darstellen (wenn das Unternehmen in einem der 18 Sektoren betroffen ist) – gestaffelte Meldung an das BSI,
  • und – sobald ein vernetztes Produkt betroffen ist – unter die CRA-Meldekaskade fallen, sofern eine aktiv ausgenutzte Schwachstelle vorliegt.

Hinzu kommt: NIS2 trifft in Deutschland rund 29.500 Einrichtungen statt zuvor etwa 4.500 (BSI, 2025), und der CRA kennt keine Ausnahme für kleine und mittlere Unternehmen (EU 2024/2847). Es lohnt sich also nicht mehr, die Meldepflichten als „Thema für Konzerne" abzutun. Der Doppel-Guide hilft Ihnen, im Ernstfall in Minuten zu erkennen, welche Uhren bei Ihnen ticken – und keine zu übersehen.

Die drei Meldepflichten sauber getrennt

Der größte Fehler im Ernstfall ist, die Fristen zu vermischen. Sie unterscheiden sich nach Auslöser, Adressat, Frist und Inhalt. Der Guide stellt sie nebeneinander; hier das Wichtigste im Überblick.

DSGVO Art. 33/34 – Datenpanne: 72 Stunden an die Aufsicht

Wenn personenbezogene Daten von einer Verletzung des Schutzes betroffen sind, gilt Art. 33 DSGVO: Meldung an die zuständige Datenschutzaufsichtsbehörde unverzüglich, möglichst binnen 72 Stunden ab Kenntnis – es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen. Bei voraussichtlich hohem Risiko müssen Sie zusätzlich die betroffenen Personen benachrichtigen (Art. 34 DSGVO). Wie ernst die Aufsicht den Umgang mit personenbezogenen Daten nimmt, zeigt der deutsche Rekordbußgeldbescheid gegen Vodafone über 45 Mio. € (BfDI, 3.6.2025) – unter anderem wegen unzureichender Auftragsverarbeiter-Kontrolle nach Art. 28 DSGVO.

NIS2 – erheblicher Sicherheitsvorfall: gestaffelte Meldung an das BSI

Betroffene wesentliche und wichtige Einrichtungen müssen erhebliche Sicherheitsvorfälle in einem gestaffelten Verfahren an das BSI melden. Anders als bei der DSGVO knüpft NIS2 nicht an personenbezogene Daten an, sondern an die Erheblichkeit für die Dienste-Erbringung. NIS2 gilt seit dem 6.12.2025 ohne allgemeine Übergangsfrist (BSI, 2025), kennt eine Selbstprüfungspflicht (es gibt keinen behördlichen Bescheid über die Betroffenheit) sowie eine persönliche Haftung der Geschäftsleitung; Bußgelder reichen bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – maßgeblich ist der höhere Wert. Ob und in welcher Kategorie Sie betroffen sind, klären Sie am besten vorab; dabei unterstützt unsere NIS2-Beratung.

CRA Art. 14 – aktiv ausgenutzte Schwachstelle: 24h / 72h / 14 Tage (ab 11.9.2026)

Mit dem Cyber Resilience Act gilt für Hersteller von „Produkten mit digitalen Elementen" ab dem 11. September 2026 eine dreistufige Meldekaskade nach Art. 14 CRA (EU 2024/2847) bei einer aktiv ausgenutzten Schwachstelle oder einem schwerwiegenden Sicherheitsvorfall:

  • 24 Stunden: Frühwarnung,
  • 72 Stunden: vollständige Meldung,
  • 14 Tage: Abschlussbericht.

Der CRA trifft Maschinenbau (vernetzte Anlagen), Software- und SaaS-Anbieter sowie IoT-Hersteller – ohne KMU-Ausnahme; Strafen reichen bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes (EU 2024/2847). Die Vollanwendung des CRA (CE-Kennzeichnung, Konformität, SBOM) folgt am 11.12.2027. Was das konkret für Ihre Produkte bedeutet, lesen Sie auf unserer Themenseite Cyber Resilience Act; die Umsetzung begleiten wir in der CRA-Beratung.

Hinweis: Ein einziger Vorfall kann alle drei Pflichten gleichzeitig auslösen. Prüfen Sie im Ernstfall jede Uhr einzeln – und dokumentieren Sie auch begründete Entscheidungen, nicht zu melden.

Was im Doppel-Guide drinsteckt

Der Cyber-Vorfall-Doppel-Guide ist bewusst zweiteilig aufgebaut: Das eine Werkzeug trägt Sie durch die ersten, chaotischen Minuten, das andere durch die fristgebundene Meldephase.

Teil 1 – Sofortmaßnahmen-Checkliste (die erste Stunde)

Wenn der Vorfall auffällt, zählt klares, geübtes Handeln statt Aktionismus. Die Checkliste führt Sie durch die kritischen ersten Schritte:

  • Krisenteam aktivieren – wer wird sofort informiert (Geschäftsleitung, IT, Datenschutz, ggf. externe Forensik, Kommunikation)? Mit Rollen und Erreichbarkeiten.
  • Betroffene Systeme isolieren – Ausbreitung stoppen, ohne vorschnell Beweise zu zerstören.
  • Beweise sichern statt löschen – Logs, Speicherabbilder und Zeitstempel sichern; nichts überschreiben.
  • Lückenlos dokumentieren – Zeitpunkt der Kenntnisnahme, ergriffene Maßnahmen und Entscheidungen protokollieren (dieser Zeitstempel ist später der Fristbeginn).
  • Vorfall bewerten – erste Einordnung: Sind personenbezogene Daten betroffen? Ist der Dienst erheblich gestört? Ist ein vernetztes Produkt betroffen?
  • Externe Hilfe und Behörden vorbereiten – wen Sie wann einbinden, ohne in Panik zu verfallen.

Teil 2 – 72-Stunden-Meldeplan (wer meldet was an wen)

Der Meldeplan übersetzt die drei Rechtsrahmen in eine klare Zeitachse. Er beantwortet für jeden Vorfall die drei entscheidenden Fragen: Wer meldet, was wird gemeldet und an wen in welcher Frist.

  • Entscheidungsbaum: Welche Meldepflicht ist überhaupt einschlägig (DSGVO, NIS2, CRA – einzeln oder kombiniert)?
  • Fristen-Zeitstrahl: 72-Stunden-Logik der DSGVO, gestaffeltes NIS2-Meldewesen ans BSI und die CRA-Kaskade (24h / 72h / 14 Tage ab 11.9.2026) übersichtlich nebeneinander.
  • Zuständigkeiten: Wer zeichnet die Meldung, wer ist Ansprechperson gegenüber Aufsicht und BSI.
  • Inhalts-Bausteine: Welche Angaben eine erste Meldung mindestens enthalten sollte – auch wenn der Sachverhalt noch unvollständig ist.
  • Nachgang: Was nach der Erstmeldung folgt (Abschlussbericht, Benachrichtigung Betroffener, Lessons Learned).

Wichtig: Der Doppel-Guide ist ein praxistaugliches Werkzeug und ein hervorragender Startpunkt für Ihre Vorbereitung – er ersetzt aber keine Rechtsberatung im konkreten Vorfall. Welche Meldepflichten tatsächlich greifen, hängt von Sektor, Datenarten, Produkten und Schweregrad ab.

In 3 Schritten zur Meldefähigkeit

  1. Guide herunterladen – Sie erhalten Sofortmaßnahmen-Checkliste und 72-Stunden-Meldeplan als bearbeitbares Dokument per E-Mail.
  2. An Ihr Unternehmen anpassen – tragen Sie Ihr Krisenteam, Ihre zuständige Datenschutzaufsicht und Ihre Erreichbarkeiten ein. So wird aus der Vorlage Ihr persönlicher Notfallplan.
  3. Einmal durchspielen – gehen Sie den Ablauf in einer kurzen Übung mit den Beteiligten durch. Wer den Plan einmal geprobt hat, verliert im Ernstfall keine Zeit mit der Frage „Wer macht jetzt was?".

So verwandeln Sie eine abstrakte Pflicht in einen vorzeigbaren, geübten Prozess – bevor der Ernstfall eintritt.

Cyber-Vorfall-Doppel-Guide kostenlos anfordern {#guide-formular}

Tragen Sie Ihre Daten ein und Sie erhalten den Doppel-Guide umgehend per E-Mail. Kostenlos, unverbindlich und sofort einsetzbar.

  • Name
  • Unternehmen
  • Geschäftliche E-Mail-Adresse
  • (optional) Branche / Unternehmensgröße (Auswahl)

Guide herunterladen

Nach der Bestätigung Ihrer E-Mail-Adresse (Double-Opt-in) liegen Checkliste und Meldeplan direkt in Ihrem Postfach. Kein Vertrieb, keine versteckten Kosten.

Nach dem Download: vom Plan zur belastbaren Vorbereitung

Ein Meldeplan in der Schublade ist gut – ein geübter, in Ihre Prozesse eingebetteter Incident-Response-Ablauf ist besser. Drei Punkte machen den Unterschied:

  • Betroffenheit vorab klären. Welche Meldepflichten Sie überhaupt treffen, sollten Sie nicht erst im Vorfall herausfinden. Bei NIS2 gilt eine Selbstprüfungspflicht ohne behördlichen Bescheid – die NIS2-Beratung schafft hier Klarheit.
  • Produkt-Pflichten einordnen. Stellen Sie vernetzte Produkte, Software oder SaaS her, kommt ab dem 11.9.2026 die CRA-Meldekaskade hinzu. Was zu tun ist, klären wir in der CRA-Beratung; die Grundlagen finden Sie auf der Themenseite Cyber Resilience Act.
  • Datenschutz verzahnen. Die 72-Stunden-Meldepflicht aus Art. 33 DSGVO gehört in jeden Notfallplan. Wie Sie Meldeprozesse, Verzeichnis und Auftragsverarbeiter-Kontrolle sauber aufstellen, begleitet unsere Datenschutzberatung.

So wird aus dem Doppel-Guide ein gelebter Prozess – und Ihre Geschäftsleitung kann nachweisen, dass der Ernstfall geregelt ist.

Häufige Fragen zu Cybervorfall, Meldepflicht und Frist

Welche Frist gilt bei einem Cybervorfall mit Datenpanne? Sind personenbezogene Daten betroffen, müssen Sie die Verletzung nach Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden ab Kenntnis an die zuständige Datenschutzaufsichtsbehörde melden – außer es besteht voraussichtlich kein Risiko für die Betroffenen. Bei voraussichtlich hohem Risiko müssen Sie zusätzlich die betroffenen Personen benachrichtigen (Art. 34 DSGVO). Die 72-Stunden-Frist beginnt mit der Kenntnisnahme, nicht mit der vollständigen Aufklärung – deshalb ist eine erste Meldung auch mit unvollständigem Sachverhalt zulässig und sinnvoll.

Wer muss einen Sicherheitsvorfall an das BSI melden? Nach NIS2 sind betroffene wesentliche und wichtige Einrichtungen verpflichtet, erhebliche Sicherheitsvorfälle in einem gestaffelten Verfahren an das BSI zu melden. NIS2 gilt in Deutschland seit dem 6.12.2025 ohne allgemeine Übergangsfrist (BSI, 2025) und umfasst rund 29.500 Einrichtungen in 18 Sektoren. Da NIS2 eine Selbstprüfungspflicht vorsieht und keinen behördlichen Bescheid über die Betroffenheit kennt, sollten Sie vorab klären, ob und in welcher Kategorie Sie betroffen sind – dabei hilft die NIS2-Beratung.

Was ändert sich durch die CRA-Meldepflichten ab dem 11. September 2026? Für Hersteller von Produkten mit digitalen Elementen gilt ab dem 11.9.2026 eine dreistufige Meldekaskade nach Art. 14 CRA (EU 2024/2847): 24 Stunden Frühwarnung, 72 Stunden vollständige Meldung und 14 Tage Abschlussbericht bei einer aktiv ausgenutzten Schwachstelle oder einem schwerwiegenden Vorfall. Der CRA kennt keine KMU-Ausnahme und trifft unter anderem Maschinenbau, Software/SaaS und IoT; Strafen reichen bis 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes. Die Vollanwendung folgt am 11.12.2027.

Kann ein einziger Vorfall mehrere Meldepflichten gleichzeitig auslösen? Ja – und genau das wird im Ernstfall häufig übersehen. Ein Ransomware-Angriff kann zugleich eine Datenpanne nach DSGVO (72 Stunden an die Aufsicht), einen erheblichen Sicherheitsvorfall nach NIS2 (gestaffelte Meldung ans BSI) und – bei betroffenen vernetzten Produkten ab dem 11.9.2026 – einen CRA-Meldefall (24h/72h/14 Tage) darstellen. Jede Pflicht hat eigenen Adressaten, eigene Frist und eigenen Inhalt. Der 72-Stunden-Meldeplan im Doppel-Guide trennt diese Uhren sauber.

Was sind die wichtigsten Sofortmaßnahmen in der ersten Stunde? Krisenteam aktivieren, betroffene Systeme isolieren (ohne Beweise zu zerstören), Beweise und Logs sichern, alles lückenlos dokumentieren – inklusive des Zeitpunkts der Kenntnisnahme, da dieser den Fristbeginn markiert – und den Vorfall erst einordnen, bevor gemeldet wird. Die Sofortmaßnahmen-Checkliste im Doppel-Guide führt Sie Schritt für Schritt durch diese erste, entscheidende Phase.

Was kostet der Doppel-Guide? Nichts. Der Cyber-Vorfall-Doppel-Guide ist kostenlos. Sie erhalten ihn nach Bestätigung Ihrer E-Mail-Adresse (Double-Opt-in) – ohne Verpflichtung und ohne versteckte Kosten.

Jetzt den Cyber-Vorfall-Doppel-Guide sichern {#kontakt}

Laden Sie Checkliste und Meldeplan herunter und sorgen Sie dafür, dass im Ernstfall jede Frist sitzt. Möchten Sie Ihren Incident-Response-Prozess belastbar aufstellen, Ihre Betroffenheit nach NIS2 oder CRA klären oder Ihre Datenschutz-Meldeprozesse prüfen lassen, klären wir das in einem kostenlosen, unverbindlichen Erstgespräch.

Guide herunterladen

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Mehr zum Thema: NIS2-Beratung · Cyber Resilience Act · CRA-Beratung · Datenschutzberatung

Zuletzt aktualisiert: 23.06.2026. Alle regulatorischen Angaben auf dieser Seite geben den Stand vom 23.06.2026 wieder. Der Cyber-Vorfall-Doppel-Guide und dieser Text liefern eine praxisorientierte Orientierung und ersetzen keine individuelle Rechtsberatung im konkreten Vorfall.

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.