Mit dem Inkrafttreten des neuen BSI-Gesetzes am 6. Dezember 2025 wurde die europäische NIS‑2-Richtlinie in deutsches Recht umgesetzt. Ziel ist es, die Cybersicherheit deutlich zu stärken – insbesondere bei Unternehmen mit hoher Bedeutung für Wirtschaft, Versorgung und Gesellschaft. Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.
Die Registrierung hätte ursprünglich bis zum 6. März 2026 erfolgen müssen. Das BSI geht davon aus, dass ein erheblicher Teil der betroffenen Unternehmen noch nicht registriert ist. Laut BSI muss die Registrierung nun spätestens bis zum 31. Juli 2026 abgeschlossen sein.
Wir empfehlen Unternehmen, die Betroffenheit zu prüfen und die Einschätzung zu dokumentieren. Zudem sollte eine Registrierung im BSI-Portal in Betracht gezogen werden. Diese ist nicht mit der NIS-2-Registrierung gleichzusetzen, sondern ermöglicht zunächst den Zugang zu den Angeboten des BSI, beispielsweise zur Allianz für Cybersicherheit. Die NIS-2-Registrierung kann dort erfolgen, muss aber nicht.
Maßnahmen
Im Detail, was sollten Sie jetzt konkret tun?
Prüfen und dokumentieren Sie umgehend Ihre NIS-2-Betroffenheit
Nutzen Sie die BSI-FAQund Betroffenheitsprüfung.
Ziehen Sie ggf. rechtliche Beratung hinzu.
Sowohl bei Registrierung als auch bei Nicht‑Betroffenheit ist eine Dokumentation der Entscheidung wichtig als Nachweis gegenüber dem BSI.
Starten Sie die Registrierung im BSI‑Portal:
Diese Registrierung ermöglicht den Zugriff auf das BSI-Portal und ist nicht die eigentliche NIS-2-Registrierung. Im BSI-Portal selbst wird neben einigen weiteren Angeboten (z. B. Beitritt zur „Allianz für Cybersicherheit“) die eigentliche NIS-2 Registrierung optional angeboten.
Die Registrierung selbst erfolgt über das Unternehmenskonto (MUK) mit ELSTER‑Zertifikat. Sie benötigen dafür die Steuernummer der jeweiligen juristischen Person und Kontaktdaten eines Ansprechpartners. Per Briefpost erhält das Unternehmen nach dem Abschicken einen Aktivierungscode. Achtung: Dieser Brief wird nicht an den Ansprechpartner verschickt, sondern an die Elster-Kontaktadresse des Unternehmens (Buchhaltung, Personalabteilung etc.). Gibt man den Aktivierungscode ein, erhält der Ansprechpartner per Mail das für Logins nötige Zertifikat.
Wichtig: Jede juristische Person muss sich separat registrieren
Klären Sie vorab intern Verantwortlichkeiten
Wer ist zuständig für die Registrierung im BSI-Portal und die interne Zuteilung von Berechtigungen? Der Ansprechpartner der erstmaligen Registrierung ist der Verwalter für alle nachfolgenden Registrierungen. Die Registrierungen sind an den jeweils genannten Ansprechpartner gebunden.
Wer verwaltet wie die ELSTER-Zertifikate und die zugehörigen Passwörter des Unternehmens? Falls die Verantwortung bei einzelnen Personen liegt, sollten sichere Passwörter verwendet und in einem Passwort‑Safe gespeichert werden.
Einordnung
Wer ist von der NIS-2 betroffen?
NIS‑2 betrifft vor allem mittelgroße und große Unternehmen (ab 50 MA / 10 Mio. €) in 18 kritischen Branchen – darunter viele typische Industrie‑ und Dienstleistungsunternehmen. Es ist deshalb nicht nur ein IT-Thema, sondern auch ein Thema für die unterschiedlichen Branchen.
Diese sind Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff), Verkehr (Luft, Schiene, Straße, Schifffahrt), Banken & Finanzmarktinfrastruktur, Gesundheitswesen (Krankenhäuser, Pharma etc.), Trinkwasser & Abwasser, Digitale Infrastruktur (Cloud, Rechenzentren, Netze), IT‑Dienstleister (Managed Services, MSSP), Weltraum/Bodeninfrastruktur, Post- und Kurierdienste, Abfallwirtschaft, Chemie (Produktion/Handel),Lebensmittelproduktion und -verarbeitung, verarbeitendes Gewerbe (z. B. Maschinenbau, Automotive, Elektronik), digitale Dienste (Online-Marktplätze, Suchmaschinen, Social Media), Forschungseinrichtungen.
Einige Unternehmen sind unabhängig von Größe betroffen, z. B. DNS- und Domain-Anbieter, Telekommunikationsanbieter, Vertrauensdiensteanbieter (z. B. Zertifikate).
Weiterführende Informationen
NIS‑2 Informationen des BSI: https://www.bsi.bund.de/nis-2
Betroffenheitsprüfung: https://www.bsi.bund.de/dok/nis-2-betroffenheitspruefung
BSI‑Portal (Registrierung): https://portal.bsi.bund.de/