剣 KENSAI
← All posts · regulations · 2026-01-01 · 6 min

NIS2 BSI-Registrierung: Der vollständige Leitfaden für deutsche Unternehmen

Alles, was deutsche Unternehmen über die Registrierung beim BSI nach NIS2UmsuCG wissen müssen: Fristen, Pflichten, Schritt-für-Schritt-Anleitung und häufige Fehler. Stand März 2026.


📋 Überblick: Was ist die BSI-Registrierung nach NIS2?

Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde in Deutschland die EU-weite NIS2-Richtlinie in nationales Recht umgesetzt. Ein zentraler Bestandteil ist die Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

🎯 Kernaussagen auf einen Blick

  • Wer muss sich registrieren? Alle "wesentlichen" und "wichtigen" Einrichtungen gemäß NIS2UmsuCG
  • Frist: Erstregistrierung bis 17. Oktober 2024 (abgelaufen) — Nachregistrierung weiterhin möglich
  • Wo? Online-Portal des BSI unter nis2.bund.de (Testportal seit Q1 2026 verfügbar)
  • Bußgeld bei Nichtregistrierung: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes

🏢 Wer muss sich beim BSI registrieren?

Die Registrierungspflicht gilt für alle Unternehmen und Organisationen, die als wesentliche Einrichtung oder wichtige Einrichtung im Sinne des NIS2UmsuCG eingestuft werden.

Größenschwellen

Kategorie Mitarbeiter Jahresumsatz ODER Bilanzsumme
Wesentliche Einrichtungen ≥ 250 ≥ 50 Mio. € ODER ≥ 43 Mio. €
Wichtige Einrichtungen 50–249 10–50 Mio. € ODER 10–43 Mio. €

Wichtig: Unabhängig von der Unternehmensgröße sind bestimmte Sektoren immer betroffen, insbesondere:

Betroffene Sektoren (Auswahl)

⚠️ Unsicher, ob Ihr Unternehmen betroffen ist?

Das BSI bietet auf seiner Website einen Betroffenheitscheck an. Alternativ empfiehlt sich eine rechtliche Bewertung durch Spezialisten. Viele Unternehmen unterschätzen die Registrierungspflicht, insbesondere im Bereich der digitalen Dienstleister und Managed-Service-Provider.


📅 Fristen und Zeitplan

Meilenstein Datum Status
NIS2-Richtlinie verabschiedet (EU) 27. Dezember 2022 ✅ Abgeschlossen
Umsetzungsfrist für EU-Mitgliedsstaaten 17. Oktober 2024 ✅ Abgeschlossen
NIS2UmsuCG tritt in Kraft (Deutschland) 18. Oktober 2024 ✅ In Kraft
Erstregistrierung beim BSI Bis 17. Oktober 2024 ⚠️ Abgelaufen — Nachregistrierung weiterhin möglich
BSI-Onlineportal (Beta) Q1 2026 🟡 Testbetrieb
Vollständige Compliance-Anforderungen Laufend 🔴 Verpflichtend ab Inkrafttreten

⚠️ Verspätete Registrierung ist ein Ordnungswidrigkeit

Die Nichtregistrierung oder verspätete Registrierung kann mit Bußgeldern bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) geahndet werden. Auch wenn die Erstfrist abgelaufen ist, sollten betroffene Unternehmen die Registrierung sofort nachholen.


🔧 Schritt-für-Schritt-Anleitung zur BSI-Registrierung

Schritt 1: Prüfen Sie Ihre Betroffenheit

Verwenden Sie den BSI-Betroffenheitscheck oder konsultieren Sie einen Rechtsberater. Dokumentieren Sie die Bewertung schriftlich — im Falle einer Aufsichtsprüfung müssen Sie nachweisen können, dass Sie die Prüfung durchgeführt haben.

  • Sektor identifizieren (siehe Liste oben)
  • Größenschwelle prüfen (Mitarbeiter + Umsatz/Bilanzsumme)
  • Besondere Rollen prüfen (DNS, TLD, öffentliche Netze, Trust-Service)

Schritt 2: Sammeln Sie die erforderlichen Informationen

Für die Registrierung beim BSI benötigen Sie folgende Angaben:

  • Unternehmensdaten: Firmenname, Rechtsform, Handelsregisternummer, Adresse
  • Kontaktdaten: Geschäftsführung, IT-Sicherheitsverantwortliche(r), Datenschutzbeauftragte(r)
  • Sektor und Dienste: Welche Dienste erbringen Sie? Welcher NIS2-Sektor trifft zu?
  • Größenangaben: Mitarbeiterzahl, Jahresumsatz, Bilanzsumme (letztes abgeschlossenes Geschäftsjahr)
  • Einstufung: Wesentliche oder wichtige Einrichtung?
  • Standorte: Alle relevanten Standorte in Deutschland (und ggf. EU-weit)

Schritt 3: Registrierung im BSI-Onlineportal

Das BSI betreibt seit Q1 2026 ein dediziertes Onlineportal für die NIS2-Registrierung:

  • URL: nis2.bund.de (Testportal — finale URL wird vom BSI bekanntgegeben)
  • Zugang: Registrierung mit ELSTER-Zertifikat oder Bundeskonto (BundID)
  • Dauer: Erstmalige Registrierung ca. 30–60 Minuten

Hinweis: Stand März 2026 befindet sich das Portal im Testbetrieb. Nutzen Sie die Testphase, um sich mit dem Prozess vertraut zu machen.

Schritt 4: Bestätigung und laufende Aktualisierung

Nach erfolgreicher Registrierung erhalten Sie eine Bestätigung vom BSI. Diese dient als Nachweis der Registrierung.

Wichtig: Sie sind verpflichtet, das BSI über wesentliche Änderungen zu informieren, z.B.:

  • Änderung der Unternehmensgröße (über/unter Schwellenwerte)
  • Aufnahme neuer Dienste oder Sektoren
  • Wechsel der IT-Sicherheitsverantwortlichen
  • Änderung der Rechtsform oder Firmenstruktur

✅ Nach der Registrierung: Was kommt als Nächstes?

Die Registrierung ist nur der erste Schritt. Die eigentliche Compliance-Arbeit beginnt danach:

  • Risikomanagement aufbauen oder anpassen
  • Technische und organisatorische Maßnahmen umsetzen
  • Meldeprozesse für Sicherheitsvorfälle einrichten
  • Lieferkettenrisiken bewerten (Supply Chain Security)
  • Schulungen für Geschäftsführung und Mitarbeiter

❌ Häufige Fehler bei der BSI-Registrierung

1. Falsche Einschätzung der Betroffenheit

Viele Unternehmen gehen davon aus, dass sie "zu klein" für NIS2 sind. Tatsächlich greift die Richtlinie bereits ab 50 Mitarbeitern und 10 Millionen Euro Umsatz — das betrifft einen Großteil des deutschen Mittelstands.

2. Unvollständige Angaben

Fehlende oder unvollständige Kontaktdaten (insbesondere IT-Sicherheitsverantwortliche) führen zu Rückfragen oder Ablehnungen. Bereiten Sie alle Daten im Voraus vor.

3. Keine Dokumentation

Die Registrierung sollte intern dokumentiert werden — inklusive der Entscheidungsgrundlagen für die Einstufung als wesentliche/wichtige Einrichtung. Bei Audits wird diese Dokumentation verlangt.

4. Versäumte Aktualisierungen

Änderungen müssen dem BSI unverzüglich mitgeteilt werden. Viele Unternehmen vergessen dies bei M&A-Transaktionen, Ausgründungen oder neuen Geschäftsfeldern.

5. Registrierung ohne Compliance-Plan

Die Registrierung allein erfüllt NIS2 nicht. Unternehmen müssen parallel die technischen und organisatorischen Anforderungen umsetzen. Ein häufiger Fehler: Registrierung erfolgt, aber keine Maßnahmen werden ergriffen.


🛡️ NIS2-Anforderungen nach der Registrierung

Nach erfolgreicher Registrierung beim BSI gelten für Ihr Unternehmen folgende Mindestanforderungen an die Cybersicherheit:

Technische Maßnahmen

Organisatorische Maßnahmen

⚠️ Geschäftsführerhaftung

Ein Novum in Deutschland: Die persönliche Haftung der Geschäftsführung für NIS2-Verstöße. Vorstände und Geschäftsführer können persönlich mit Bußgeldern von bis zu 500.000 Euro belegt werden, wenn sie ihren Aufsichtspflichten nicht nachkommen.


📊 Meldepflichten: Was Sie dem BSI melden müssen

Registrierte Unternehmen müssen dem BSI erhebliche Sicherheitsvorfälle melden. Ein Vorfall ist erheblich, wenn er:

Meldefristen

Meldung Frist Inhalt
Erstmeldung 24 Stunden Vorfall bekannt, erste Informationen
Zwischenmeldung 72 Stunden Detailanalyse, betroffene Systeme, erste Maßnahmen
Abschlussmeldung 1 Monat Ursachenanalyse, Behebung, Lessons Learned

Verstöße gegen die Meldepflicht werden mit Bußgeldern bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes geahndet.