In der aktuellen comply. (1/2026) zeigen Dirk Libuda und Dr. Thomas Altenbach, warum Art. 14 NIS2UmsuCG die Rolle der internen Meldestelle grundlegend verändert.
Verstöße gegen IT-Sicherheitsvorgaben fallen nun ausdrücklich unter das Hinweisgeberschutzgesetz. Damit wird die Meldestelle faktisch zum kritischen Sensor im unternehmerischen Cyber-Frühwarnsystem – und zur „Second Line of Defense“ der IT-Sicherheit.
Entscheidend ist die Wissenszurechnung:
Geht ein Hinweis zu einem erheblichen IT-Sicherheitsvorfall bei der Meldestelle ein, wird dieses Wissen der Geschäftsleitung unmittelbar zugerechnet – unabhängig davon, ob die Meldung operativ bereits gesichtet wurde. Gleichzeitig läuft die 24-Stunden-Meldepflicht nach § 32 BSIG.
Wenn der Prozess nicht abgestimmt ist, entsteht ein Haftungsrisiko: Verstreicht die Frist, ohne dass eine Frühwarnung ans BSI erfolgt, ist die Ordnungswidrigkeit bereits begangen – noch bevor inhaltlich geprüft wurde.
Viele Organisationen haben HinSchG-Prozesse sauber aufgebaut. Was häufig fehlt, ist die Integration in das Incident-Response-Framework. Genau dort liegt die Lücke.
NIS2-betroffene Unternehmen brauchen:
klare Eskalationswege zwischen Meldestelle und CISO
verbindliche Triage-Zeiten im Stundenbereich
dokumentierte Schnittstellenregelungen
eine belastbare und minutengenaue Dokumentation
Die Frage lautet nicht, ob HinSchG und NIS2 jeweils erfüllt werden.
Die Frage lautet, ob beide Regime organisatorisch zusammengedacht sind.
Wer hier strukturiert handelt, reduziert Haftungsrisiken deutlich. Wer es laufen lässt, verschiebt das Risiko in die Geschäftsleitung.
Für alle mit comply.-Abo: Der Beitrag geht detailliert auf die praktische Umsetzung ein.
