Veröffentlicht am von Udo

Die Frist zur NIS2-Registrierung beim BSI

6. März 2026 – was bedeutet die Frist konkret?

Die Frist für die Registrierung NIS2-pflichtiger Unternehmen beim BSI (Bundesamt für Sicherheit in der Informationstechnik) ist der 6. März 2026.

Dabei handelt es sich nicht um einen bloßen Formalakt. Die Registrierung bildet die Grundlage dafür, dass:

  • das BSI einen vollständigen Überblick über betroffene Unternehmen erhält
  • Aufsicht und Kommunikation im Krisenfall funktionieren
  • gesetzliche Meldepflichten organisatorisch und technisch umgesetzt werden können
  • ein nationales Cyber-Lagebild aufgebaut wird

Kurz gesagt: Ohne Registrierung keine wirksame Aufsicht.

Muss die Betroffenheit bis dahin geprüft sein?

Ja.

Registrierungspflichtige Unternehmen sollten die Prüfung deutlich vorher abgeschlossen haben.

Empfohlen wird:

  • Abgleich mit den relevanten Sektoren
  • Geschäftstätigkeit analysieren
  • Prüfung der Mitarbeiter- und Umsatzschwellen
  • Dokumentation der Ergebnisse

Die Prüfung sollte im Übrigen regelmäßig erneut durchgeführt werden, um eine spätere Registrierung bei überschrittenen Schwellwerten durchzuführen.

Wenn Sie noch unsicher sind, ob Ihr Unternehmen unter NIS2 fällt, können unsere Spezialisten Sie bei der Beantwortung dieser Frage unterstützen.

Wer ist registrierungspflichtig?

Die Pflicht betrifft „wesentliche“ und „wichtige“ Einrichtungen im Sinne der NIS2-Regelungen.

Typischerweise sind Unternehmen betroffen, wenn sie:

  • in einem erfassten Sektor tätig sind (z. B. Gesundheit, Energie, Transport, digitale Infrastruktur oder bestimmte produzierende Unternehmen),
  • mindestens 50 Mitarbeiter beschäftigen und
  • einen Jahresumsatz oder eine Bilanzsumme von mindestens 10 Mio. € erreichen.

Entscheidend ist:
Die Betroffenheit wird nicht festgestellt, sondern Unternehmen sind selbst dazu  verpflichtet, diese  zu prüfen.

Die Betroffenheitsprüfung ist damit der erste Schritt jeder NIS2-Compliance und sollte dringend dokumentiert werden.

Wie erfolgt die Registrierung?

Die Registrierung erfolgt über das BSI-Portal und ist zweistufig aufgebaut.

Schritt 1: Zugang über „Mein Unternehmenskonto“ (MUK)

  • Anmeldung bei ELSTER mit einem Organisationszertifikat
  • Nutzung bzw. Hinterlegung der Unternehmensstammdaten
  • Technische Authentifizierung des Unternehmens

Die Stammdaten wie z.B. Name, Rechtsform, Anschrift oder Registerinformationen sollten bereits vorausgefüllt sein.

Schritt 2: Registrierung im BSI-Portal

Im zweiten Schritt werden die NIS2-spezifischen Angaben ergänzt, wie z.B.:

  • Sektor und Einrichtungsart
  • Unternehmensgröße (Mitarbeiter, Umsatz/Bilanzsumme)
  • zuständige Aufsichtsbehörden
  • Benennung einer NIS2-Kontaktstelle bzw. Kontaktperson
  • öffentlich erreichbare IP-Adressbereiche
  • Angabe, ob es sich um eine KRITIS-Einrichtung handelt
  • bei KRITIS-Unternehmen: bestehende Institutions-ID

Wichtig ist ausserdem, dass zukünftige Änderungen unverzüglich zu aktualisieren sind.

Können Vorfälle direkt über das Portal gemeldet werden?

Ja.

Das BSI-Portal dient nicht nur der Registrierung, sondern auch als zentrale Meldestelle für erhebliche Sicherheitsvorfälle.

Die Meldepflicht gestaltet sich wie folgt:

  • Frühwarnung innerhalb von 24 Stunden
  • Detaillierte Meldung innerhalb von 72 Stunden
  • Abschlussbericht innerhalb eines Monats

Hierfür müssen interne Prozesse, Verantwortlichkeiten und Kommunikationswege vorbereitet sein. Die Registrierung allein genügt nicht.

Was passiert bei Nicht-Registrierung?

Unternehmen, die in den Anwendungsbereich fallen und sich nicht registrieren, verstoßen gegen ihre gesetzlichen Pflichten.

Mögliche Folgen:

  • aufsichtsrechtliche Maßnahmen durch das BSI
  • Anordnungen zur Nachholung der Registrierung
  • Bußgelder
  • Reputationsschäden
  • verschärfte Prüfungen bei späteren Kontrollen

Zudem ist die Registrierung nur ein Baustein der Gesamtpflichten. Wer sie unterlässt, riskiert auch Verstöße gegen weitere Anforderungen – etwa zur Umsetzung von Sicherheitsmaßnahmen oder zur Vorfallsmeldung.

NIS2 sieht empfindliche Sanktionsrahmen vor, die Geschäftsleitung steht verstärkt in der Verantwortung.

Was gilt bei späterem Eintritt in den Anwendungsbereich?

Nicht jedes Unternehmen ist heute bereits betroffen. Manche überschreiten die relevanten Schwellenwerte erst im Zuge ihres Wachstums.

In diesem Fall gilt:

  • Die Registrierungspflicht entsteht ab dem Zeitpunkt, zu dem die Voraussetzungen erfüllt sind.
  • Ab diesem Zeitpunkt beginnt die gesetzliche Frist (regelmäßig drei Monate).
  • Eine rückwirkende Registrierungspflicht besteht nicht.

Wichtig dabei:
Die Sicherheitsanforderungen gelten ab dem Eintritt in den Anwendungsbereich. Die Vorbereitung sollte nicht erst mit der Registrierung beginnen, sondern bereits im Vorfeld begonnen werden.

Denn auch ohne eine direkte Betroffenheit sind Unternehmen gut beraten, ihre Informationssicherheit nach aktuellem Stand aufzustellen.

Empfehlung:

In der Praxis scheitert die Registrierung selten am Ausfüllen des Formulars – sondern an der korrekten Bestimmung der Anwendbarkeit der NIS2-Richtlinie.
Gerne unterstützen Sie unsere Spezialisten bei der Bewertung der Lage, sprechen Sie uns an!

vereinbaren Sie Ihr kostenloses Erstgespräch

Call Now Button