Die NIS-2-Richtlinie betrifft inzwischen zahlreiche Unternehmen der Automobilindustrie: Von Herstellern über Zulieferer bis hin zu IT-Dienstleistern entlang der gesamten Wertschöpfungskette. Mit der Umsetzung in deutsches Recht durch die Anpassungen im BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) sind die entsprechenden Vorgaben seit dem 5. Dezember 2025 verbindlich. Die ursprünglich vorgesehene Übergangsfrist für die Registrierung beim BSI ist am 5. März 2026 ausgelaufen. Unabhängig davon stellen sich aktuell viele Unternehmen die Frage, wie mit Sicherheitsvorfällen konkret umzugehen ist und welche Meldepflichten bestehen.
Aktueller Stand des BSIG in Deutschland
Das BSIG wurde im Zuge der Umsetzung der NIS-2-Richtlinie umfassend novelliert und ist seit dem 6. Dezember 2025 in seiner neuen Fassung in Kraft. Es bildet das zentrale Regelwerk für Cybersicherheit in Deutschland und setzt die europäischen Vorgaben verbindlich in nationales Recht um.
Mit der Reform wurde der Anwendungsbereich erheblich erweitert: Statt wie bisher vor allem Betreiber kritischer Infrastrukturen zu erfassen, unterliegen nun rund 30.000 Unternehmen aus 18 Sektoren umfangreichen Pflichten zu Risikomanagement, Vorfallsmeldung und Registrierung beim BSI.
In der Praxis zeigt sich jedoch, dass die Umsetzung weiterhin in Bewegung ist. Während die gesetzlichen Grundpflichten bereits gelten, bestehen in einzelnen Bereichen noch Konkretisierungsbedarfe, etwa durch untergesetzliche Regelwerke oder behördliche Leitlinien. Unternehmen befinden sich daher aktuell in einer Phase der operativen Umsetzung und Nachschärfung ihrer Compliance-Strukturen.
Meldepflicht gilt unabhängig von der Registrierung
Zunächst ist klarzustellen, dass die Meldepflichten bereits seit Inkrafttreten der gesetzlichen Regelungen gelten, also seit dem 5. Dezember 2025. Die dreimonatige Übergangsfrist bezog sich ausschließlich auf die Registrierung beim BSI und hatte keinen Einfluss auf die Pflicht, Sicherheitsvorfälle zu melden. Unternehmen mussten daher bereits zu diesem Zeitpunkt in der Lage sein, Vorfälle zu erkennen, zu bewerten und fristgerecht zu melden.
Auch eine fehlende Registrierung beim BSI ändert nichts an dieser Rechtslage. In solchen Fällen sind Unternehmen verpflichtet, die Registrierung unverzüglich nachzuholen und gleichzeitig bestehende Notfall- oder Übergangskanäle für die Meldung zu nutzen. Wichtig ist dabei eine saubere Dokumentation, insbesondere wenn der reguläre Zugang zum BSI-Portal noch nicht verfügbar war.
Wann liegt ein meldepflichtiger Sicherheitsvorfall vor?
Eine der zentralen Herausforderungen in der Praxis besteht darin, zu beurteilen, wann ein meldepflichtiger Sicherheitsvorfall vorliegt. Grundsätzlich ist dies der Fall, wenn die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von IT-Systemen oder Daten beeinträchtigt ist und dies erhebliche Auswirkungen auf die Erbringung von Dienstleistungen hat oder haben kann.
Gerade in der Automobilindustrie lassen sich typische Fallkonstellationen identifizieren: Ransomware-Angriffe mit Produktionsausfällen, Angriffe auf die IT der Lieferkette oder die Kompromittierung von Backend-Systemen vernetzter Fahrzeuge werden regelmäßig als meldepflichtig einzustufen sein. Dagegen bedürfen Fälle wie der Diebstahl von Geschäftsgeheimnissen oder interne Störungen ohne Außenwirkung einer Einzelfallprüfung. Reine Phishing-E-Mails ohne weitere Kompromittierung sind in der Regel nicht meldepflichtig.
In Zweifelsfällen empfiehlt sich jedoch ein vorsichtiger Ansatz, da das regulatorische Risiko eines unterlassenen Meldens häufig höher ist als eine vorsorgliche Meldung.
„Wesentliche“ vs. „wichtige“ Einrichtungen: Gibt es Unterschiede?
Hinsichtlich der Einordnung als „wesentliche“ oder „wichtige“ Einrichtung im Sinne des BSIG bestehen im Meldeprozess kaum Unterschiede. Beide Kategorien unterliegen denselben grundlegenden Pflichten, insbesondere in Bezug auf Meldungen, Risikomanagement und Dokumentation. Unterschiede zeigen sich vor allem in der Intensität der behördlichen Aufsicht, möglichen Bußgeldern und den Erwartungen an die Reife der Sicherheitsorganisation.
Für die Praxis bedeutet dies, dass Unternehmen unabhängig von ihrer Einstufung robuste und einheitliche Prozesse implementieren sollten.
Der gesetzliche Meldeprozess in drei Phasen
Der Meldeprozess selbst ist gesetzlich klar strukturiert und erfolgt in mehreren Stufen. Innerhalb von 24 Stunden nach Bekanntwerden eines erheblichen Sicherheitsvorfalls muss eine Frühwarnung erfolgen, die eine erste Beschreibung und Einschätzung enthält. Innerhalb von 72 Stunden ist ein Zwischenbericht einzureichen, der detailliertere Informationen zu betroffenen Systemen, möglichen Ursachen und ersten Gegenmaßnahmen enthält. Spätestens nach einem Monat ist ein Abschlussbericht vorzulegen, der eine vollständige Analyse, die tatsächlichen Auswirkungen sowie geplante und umgesetzte Maßnahmen umfasst.
Für Unternehmen ist dabei besonders relevant, dass die Fristen bereits mit Kenntnis des Vorfalls beginnen und nicht erst nach Abschluss interner Untersuchungen. Unvollständige Informationen in der Erstmeldung sind zulässig, müssen jedoch im weiteren Verlauf ergänzt werden. Zudem ist eine nachvollziehbare Dokumentation aller Entscheidungen unerlässlich, insbesondere im Hinblick auf die Frage, warum ein Vorfall als meldepflichtig eingestuft wurde oder nicht.
In der Praxis erfordert dies eine enge Zusammenarbeit zwischen IT, Informationssicherheit, Datenschutz sowie Rechts- und Compliance-Abteilungen.
Zusammenspiel mit DSGVO und anderen Pflichten
Besondere Komplexität entsteht durch das Zusammenspiel mit anderen regulatorischen Anforderungen. Ein Sicherheitsvorfall kann gleichzeitig Meldepflichten nach NIS-2 bzw. BSIG, nach Art. 33 DSGVO sowie aus vertraglichen Verpflichtungen, etwa gegenüber OEMs, oder aus dem Produktsicherheitsrecht auslösen. Diese unterschiedlichen Anforderungen bestehen parallel und müssen in einem integrierten Prozess berücksichtigt werden.
Entsprechend wichtig ist es, Meldeprozesse nicht isoliert, sondern ganzheitlich zu denken und zu organisieren.
Internationale Konstellationen: Mehrfachmeldungen möglich
Für international tätige Unternehmen stellt sich zudem die Frage nach der Zuständigkeit von Behörden. Anders als in der DSGVO existiert unter der NIS-2-Richtlinie kein umfassendes One-Stop-Shop-Prinzip. In vielen Fällen sind daher mehrere nationale Behörden parallel zu informieren. Maßgeblich sind unter anderem der Sitz der jeweiligen Gesellschaft, der Ort der betroffenen Dienstleistungen sowie die konkrete nationale Umsetzung der Richtlinie.
Für Unternehmen der Automobilindustrie empfiehlt sich daher eine zentrale Steuerung von Sicherheitsvorfällen auf Konzernebene, kombiniert mit einer engen Abstimmung mit lokalen Compliance- und Rechtsfunktionen in den jeweiligen Ländern.
Branchenübergreifende Perspektive: Was andere Sektoren aus der Automobilindustrie lernen können
Die in der Automobilindustrie entwickelten Ansätze im Umgang mit NIS-2-Meldepflichten lassen sich in weiten Teilen auf andere Branchen übertragen. Zwar unterscheiden sich konkrete Risikoprofile und regulatorische Detailanforderungen – etwa im Gesundheitswesen, in der Energieversorgung oder im Finanzsektor –, die zentralen Herausforderungen sind jedoch vergleichbar: die frühzeitige Erkennung von Sicherheitsvorfällen, eine belastbare Bewertung ihrer Relevanz sowie die fristgerechte und rechtssichere Kommunikation mit Behörden und weiteren Stakeholdern.
Gerade die Automobilindustrie, geprägt durch komplexe, international verzahnte Lieferketten und hohe Anforderungen an Betriebssicherheit und Verfügbarkeit, fungiert hier gewissermaßen als Blaupause. Unternehmen anderer Branchen können insbesondere von etablierten Governance-Strukturen, klar definierten Incident-Response-Prozessen und der engen Verzahnung von IT, Recht und Compliance profitieren. Abstrahiert bedeutet dies: Unabhängig von der Branche wird NIS-2-Compliance vor allem dort gelingen, wo organisatorische Klarheit, schnelle Entscheidungswege und eine integrierte Betrachtung verschiedener regulatorischer Pflichten zusammenkommen.
Fazit und Handlungsempfehlung
Insgesamt zeigen die NIS-2-Meldepflichten deutlich, dass Unternehmen nicht nur rechtliche Vorgaben erfüllen müssen, sondern auch organisatorisch und technisch entsprechend aufgestellt sein müssen. Ein funktionierender Incident-Response-Prozess, klare Zuständigkeiten und eine abgestimmte Kommunikation sind dabei zentrale Erfolgsfaktoren.
Wenn Sie prüfen möchten, ob Ihr Unternehmen unter die NIS-2-Regelungen fällt oder ob Ihre bestehenden Melde- und Incident-Response-Prozesse den aktuellen Anforderungen entsprechen, unterstützen wir Sie gerne. Kontaktieren Sie uns für eine individuelle rechtliche Bewertung und praxisnahe Umsetzungsempfehlungen.
