Mit der deutschen NIS2-Umsetzung kommen ab Ende 2024 auf betroffene Einrichtungen viele neue Informations- und Meldepflichten zu, die über die bisherigen §8b BSIG Meldepflichten von KRITIS hinausgehen. Besonders wichtige Einrichtungen, Betreiber kritischer Anlagen und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle innerhalb von 24 Stunden melden. Die Meldepflichten durch das KRITIS-Dachgesetz an das BBK kommen noch dazu. Erstmeldung bei erheblichen Sicherheitsvorfällen unverzüglich, innerhalb von 24h nach Kenntniserlangung, ob der Vorfall möglicherweise auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenz­überschreitende Auswirkungen haben könnte Meldung über einen erheblichen Sicherheitsvorfall innerhalb von 72h mit Bewertung der Erstmeldung (Schwere, Auswirkungen, Kompromittierung) Zwischenmeldungen auf Nachfrage des BSI Abschlussmeldung innerhalb eines Monats mit Beschreibung, Ursachen, Maßnahmen, grenzüberschreitenden Auswirkungen Alternativ eine Statusmeldung, falls der Vorfall noch andauert Vertrauensdienste müssen unverzüglich, “in jedem Fall innerhalb von 24 Stunden” melden Betreiber kritischer Anlagen müssen zusätzlich die Anlagen, kritische Dienstleistung und Auswirkungen melden Die verschiedenen Arten von Vorfällen regulierter Einrichtungen sind in der NIS2-Umsetzung definiert: Es gibt erhebliche Sicherheitsvorfälle , Sicherheitsvorfälle , Beinahevorfälle und erhebliche Cyberbedrohungen, die in den Meldepflichten eine Rolle spielen. Diese Vorgaben können durch Rechtsverordnung (BMI) oder einen Implementing Act (EU) angepasst werden. Je nach Sektor und Vorfallsart, müssen manche Einrichtungen zusätzlich zum BSI auch die Kunden ihrer Dienste über erhebliche Sicherheits­vorfälle und erhebliche Cyberbedrohungen informieren – teils inklusive Gegenmaßnahmen.