Endspurt bei der Registrierung NIS-2 betroffener Unternehmen (Update)

Am 16. Januar 2023 ist auf europäischer Ebene die Network and Information Systems Directive 2 (NIS-2), eine Richtlinie zur Stärkung der Sicherheit und Integrität von Netzwerken und Informationssystemen in der Europäischen Union (EU), in Kraft getreten.  Ziel dieser Richtlinie ist es, das Cybersicherheitsniveau in der EU zu stärken und ein europaweites Schutzniveau zu etablieren. Hierfür werden verpflichtende Sicherheitsmaßnahmen sowie Meldepflichten für betroffene Unternehmen festgelegt. Ziel hierbei ist es potenzielle Risiken zu ermitteln, zu evaluieren und zu managen, sowie die Auswirkungen von sicherheitsrelevanten Vorfällen zu begrenzen. Ähnlich wie bereits in anderen europarechtlichen Regelungen wird innerhalb der NIS2-Richtlinie ein risikobasierter Ansatz verfolgt. Die NIS-2-Richtlinie stellt eine Weiterentwicklung der (ersten) NIS-Richtlinie aus dem Jahr 2016 dar und erweitert dabei den Kreis der betroffenen Unternehmen und deren Mindestanforderungen an die Informationssicherheit.

Nationales Gesetz zur NIS-2 Richtlinie seit 06.12.2025 in Kraft

Das in der Vorbereitung in mehreren Entwürfen erarbeitete und damals als NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) bezeichnete Gesetz ist seit dem 6. Dezember 2025 als „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ in Kraft.

Registrierungspflicht und Registrierungsfrist bis 06.03.2026

Die von der NIS-2 betroffenen Einrichtungen müssen sich spätestens drei Monate, nachdem sie erstmals oder erneut NIS-2 betroffen sind, beim Bundesamt für Sicherheit in der Informationstechnik (BSI) im BSI-Portal registrieren. Somit endet das Zeitfenster für die Registrierung am 6. März 2026.

Registrierung basiert auf ELSTER-Technologie

Da das BSI-Portal für die Registrierung die ELSTER-Technologie nutzt, müssen Sie hier einen gewissen Vorlauf und auch eine gewisse Bearbeitungszeit einkalkulieren, um die Registrierung noch rechtzeitig abzuschließen. Das BSI sieht für „besonders wichtige Einrichtungen“, „wichtige Einrichtungen“ und weitere regulierte Unternehmen einen zweistufigen Registrierungsprozess vor: Im ersten Schritt muss eine Registrierung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erfolgen. Hier finden Sie mehr Informationen zu „Mein Unternehmenskonto“. Im zweiten Schritt folgt dann die Registrierung im BSI-Portal. Möglicherweise gibt es in Ihrem Unternehmen schon ein Unternehmenskonto (MUK). Hier ist eine gewisse Abstimmung bezüglich der Verwaltung der ELSTER-Zertifikate erforderlich.

Was ist jetzt unbedingt zu tun?

Um das Zeitfenster der Registrierungsfrist noch einhalten zu können, empfehlen wir Ihnen daher umgehend diese drei Punkte des BSI zu berücksichtigen und durchzuführen:

• 1. Prüfen Sie Ihre NIS-2-Betroffenheit!
  • Nutzen Sie die Betroffenheitsprüfung des BSI. Betrachten Sie dabei unbedingt die Anlage 1 und Anlage 2 des Gesetzes, sowie alle darin aufgeführten und verlinkten Gesetze und Regularien, um die Betroffenheitsprüfung so genau wie möglich für Ihr Unternehmen durchzuführen.
• 2. Legen Sie Verantwortlichkeiten fest!
  • Legen Sie in Ihrem Unternehmen fest, welche Personen Sie im BSI-Portal registrieren wollen. Diese nehmen dann zukünftig die Meldung der erheblichen Sicherheitsvorfälle im BSI-Portal vor.
• 3. Registrieren Sie sich im BSI-Portal!
  • Führen Sie die Registrierung durch.