NIS2 BSI-Registrierung: Der vollständige Leitfaden für deutsche Unternehmen
📋 Überblick: Was ist die BSI-Registrierung nach NIS2?
Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde in Deutschland die EU-weite NIS2-Richtlinie in nationales Recht umgesetzt. Ein zentraler Bestandteil ist die Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
🎯 Kernaussagen auf einen Blick
- Wer muss sich registrieren? Alle "wesentlichen" und "wichtigen" Einrichtungen gemäß NIS2UmsuCG
- Frist: Erstregistrierung bis 17. Oktober 2024 (abgelaufen) — Nachregistrierung weiterhin möglich
- Wo? Online-Portal des BSI unter
nis2.bund.de(Testportal seit Q1 2026 verfügbar) - Bußgeld bei Nichtregistrierung: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes
🏢 Wer muss sich beim BSI registrieren?
Die Registrierungspflicht gilt für alle Unternehmen und Organisationen, die als wesentliche Einrichtung oder wichtige Einrichtung im Sinne des NIS2UmsuCG eingestuft werden.
Größenschwellen
| Kategorie | Mitarbeiter | Jahresumsatz ODER Bilanzsumme |
|---|---|---|
| Wesentliche Einrichtungen | ≥ 250 | ≥ 50 Mio. € ODER ≥ 43 Mio. € |
| Wichtige Einrichtungen | 50–249 | 10–50 Mio. € ODER 10–43 Mio. € |
Wichtig: Unabhängig von der Unternehmensgröße sind bestimmte Sektoren immer betroffen, insbesondere:
- Kritische Infrastrukturen (KRITIS)
- DNS-Diensteanbieter, TLD-Registrierungsstellen
- Anbieter öffentlicher elektronischer Kommunikationsnetze
- Trust-Service-Provider (qualifizierte Zertifikate)
Betroffene Sektoren (Auswahl)
- Energie (Strom, Öl, Gas, Wasserstoff, Fernwärme)
- Transport (Luft, Schiene, Wasser, Straße)
- Bankwesen & Finanzmarktinfrastrukturen
- Gesundheitswesen (Krankenhäuser, Labore, Pharma, Medizinprodukte)
- Trinkwasser und Abwasser
- Digitale Infrastruktur (Cloud, Rechenzentren, CDN, DNS, Internetknoten)
- ICT-Service-Management (B2B) — Managed Services
- Öffentliche Verwaltung (Bund, Länder)
- Weltraum (Bodenstationen, Betreiber von Satellitensystemen)
- Forschung (öffentlich finanziert)
- Lebensmittel (Produktion und Vertrieb im industriellen Maßstab)
- Verarbeitendes Gewerbe / Chemikalien
- Post- und Kurierdienste
- Abfallwirtschaft
⚠️ Unsicher, ob Ihr Unternehmen betroffen ist?
Das BSI bietet auf seiner Website einen Betroffenheitscheck an. Alternativ empfiehlt sich eine rechtliche Bewertung durch Spezialisten. Viele Unternehmen unterschätzen die Registrierungspflicht, insbesondere im Bereich der digitalen Dienstleister und Managed-Service-Provider.
📅 Fristen und Zeitplan
| Meilenstein | Datum | Status |
|---|---|---|
| NIS2-Richtlinie verabschiedet (EU) | 27. Dezember 2022 | ✅ Abgeschlossen |
| Umsetzungsfrist für EU-Mitgliedsstaaten | 17. Oktober 2024 | ✅ Abgeschlossen |
| NIS2UmsuCG tritt in Kraft (Deutschland) | 18. Oktober 2024 | ✅ In Kraft |
| Erstregistrierung beim BSI | Bis 17. Oktober 2024 | ⚠️ Abgelaufen — Nachregistrierung weiterhin möglich |
| BSI-Onlineportal (Beta) | Q1 2026 | 🟡 Testbetrieb |
| Vollständige Compliance-Anforderungen | Laufend | 🔴 Verpflichtend ab Inkrafttreten |
⚠️ Verspätete Registrierung ist ein Ordnungswidrigkeit
Die Nichtregistrierung oder verspätete Registrierung kann mit Bußgeldern bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) geahndet werden. Auch wenn die Erstfrist abgelaufen ist, sollten betroffene Unternehmen die Registrierung sofort nachholen.
🔧 Schritt-für-Schritt-Anleitung zur BSI-Registrierung
Schritt 1: Prüfen Sie Ihre Betroffenheit
Verwenden Sie den BSI-Betroffenheitscheck oder konsultieren Sie einen Rechtsberater. Dokumentieren Sie die Bewertung schriftlich — im Falle einer Aufsichtsprüfung müssen Sie nachweisen können, dass Sie die Prüfung durchgeführt haben.
- Sektor identifizieren (siehe Liste oben)
- Größenschwelle prüfen (Mitarbeiter + Umsatz/Bilanzsumme)
- Besondere Rollen prüfen (DNS, TLD, öffentliche Netze, Trust-Service)
Schritt 2: Sammeln Sie die erforderlichen Informationen
Für die Registrierung beim BSI benötigen Sie folgende Angaben:
- Unternehmensdaten: Firmenname, Rechtsform, Handelsregisternummer, Adresse
- Kontaktdaten: Geschäftsführung, IT-Sicherheitsverantwortliche(r), Datenschutzbeauftragte(r)
- Sektor und Dienste: Welche Dienste erbringen Sie? Welcher NIS2-Sektor trifft zu?
- Größenangaben: Mitarbeiterzahl, Jahresumsatz, Bilanzsumme (letztes abgeschlossenes Geschäftsjahr)
- Einstufung: Wesentliche oder wichtige Einrichtung?
- Standorte: Alle relevanten Standorte in Deutschland (und ggf. EU-weit)
Schritt 3: Registrierung im BSI-Onlineportal
Das BSI betreibt seit Q1 2026 ein dediziertes Onlineportal für die NIS2-Registrierung:
- URL:
nis2.bund.de(Testportal — finale URL wird vom BSI bekanntgegeben) - Zugang: Registrierung mit ELSTER-Zertifikat oder Bundeskonto (BundID)
- Dauer: Erstmalige Registrierung ca. 30–60 Minuten
Hinweis: Stand März 2026 befindet sich das Portal im Testbetrieb. Nutzen Sie die Testphase, um sich mit dem Prozess vertraut zu machen.
Schritt 4: Bestätigung und laufende Aktualisierung
Nach erfolgreicher Registrierung erhalten Sie eine Bestätigung vom BSI. Diese dient als Nachweis der Registrierung.
Wichtig: Sie sind verpflichtet, das BSI über wesentliche Änderungen zu informieren, z.B.:
- Änderung der Unternehmensgröße (über/unter Schwellenwerte)
- Aufnahme neuer Dienste oder Sektoren
- Wechsel der IT-Sicherheitsverantwortlichen
- Änderung der Rechtsform oder Firmenstruktur
✅ Nach der Registrierung: Was kommt als Nächstes?
Die Registrierung ist nur der erste Schritt. Die eigentliche Compliance-Arbeit beginnt danach:
- Risikomanagement aufbauen oder anpassen
- Technische und organisatorische Maßnahmen umsetzen
- Meldeprozesse für Sicherheitsvorfälle einrichten
- Lieferkettenrisiken bewerten (Supply Chain Security)
- Schulungen für Geschäftsführung und Mitarbeiter
❌ Häufige Fehler bei der BSI-Registrierung
1. Falsche Einschätzung der Betroffenheit
Viele Unternehmen gehen davon aus, dass sie "zu klein" für NIS2 sind. Tatsächlich greift die Richtlinie bereits ab 50 Mitarbeitern und 10 Millionen Euro Umsatz — das betrifft einen Großteil des deutschen Mittelstands.
2. Unvollständige Angaben
Fehlende oder unvollständige Kontaktdaten (insbesondere IT-Sicherheitsverantwortliche) führen zu Rückfragen oder Ablehnungen. Bereiten Sie alle Daten im Voraus vor.
3. Keine Dokumentation
Die Registrierung sollte intern dokumentiert werden — inklusive der Entscheidungsgrundlagen für die Einstufung als wesentliche/wichtige Einrichtung. Bei Audits wird diese Dokumentation verlangt.
4. Versäumte Aktualisierungen
Änderungen müssen dem BSI unverzüglich mitgeteilt werden. Viele Unternehmen vergessen dies bei M&A-Transaktionen, Ausgründungen oder neuen Geschäftsfeldern.
5. Registrierung ohne Compliance-Plan
Die Registrierung allein erfüllt NIS2 nicht. Unternehmen müssen parallel die technischen und organisatorischen Anforderungen umsetzen. Ein häufiger Fehler: Registrierung erfolgt, aber keine Maßnahmen werden ergriffen.
🛡️ NIS2-Anforderungen nach der Registrierung
Nach erfolgreicher Registrierung beim BSI gelten für Ihr Unternehmen folgende Mindestanforderungen an die Cybersicherheit:
Technische Maßnahmen
- Risikoanalyse und Sicherheitskonzept für Informationssysteme
- Vorfallsmanagement (Incident Response Plan)
- Geschäftskontinuität (Business Continuity) und Notfallwiederherstellung
- Sicherheit der Lieferkette (Supply Chain Security)
- Zugriffskontrollen und Multi-Faktor-Authentifizierung (MFA)
- Verschlüsselung sensibler Daten
- Regelmäßige Sicherheitstests (z.B. Penetrationstests, Vulnerability Scans)
- Patch Management und Schwachstellenmanagement
Organisatorische Maßnahmen
- Schulung der Mitarbeiter (Security Awareness)
- Schulung der Geschäftsführung (persönliche Haftung!)
- Sicherheitsrichtlinien und Governance
- Meldepflichten bei Sicherheitsvorfällen (innerhalb von 24 Stunden Erstmeldung)
- Dokumentation aller Maßnahmen
⚠️ Geschäftsführerhaftung
Ein Novum in Deutschland: Die persönliche Haftung der Geschäftsführung für NIS2-Verstöße. Vorstände und Geschäftsführer können persönlich mit Bußgeldern von bis zu 500.000 Euro belegt werden, wenn sie ihren Aufsichtspflichten nicht nachkommen.
📊 Meldepflichten: Was Sie dem BSI melden müssen
Registrierte Unternehmen müssen dem BSI erhebliche Sicherheitsvorfälle melden. Ein Vorfall ist erheblich, wenn er:
- Die Sicherheit oder Verfügbarkeit der Dienste erheblich beeinträchtigt
- Erhebliche materielle oder immaterielle Schäden verursacht
- Die Erbringung der Dienste verhindert oder erheblich beeinträchtigt
Meldefristen
| Meldung | Frist | Inhalt |
|---|---|---|
| Erstmeldung | 24 Stunden | Vorfall bekannt, erste Informationen |
| Zwischenmeldung | 72 Stunden | Detailanalyse, betroffene Systeme, erste Maßnahmen |
| Abschlussmeldung | 1 Monat | Ursachenanalyse, Behebung, Lessons Learned |
Verstöße gegen die Meldepflicht werden mit Bußgeldern bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes geahndet.
NIS2-Compliance automatisiert mit KENSAI
KENSAI hilft deutschen Unternehmen, die technischen Anforderungen der NIS2-Richtlinie zu erfüllen — mit automatisierten Penetrationstests, kontinuierlichem Schwachstellenmanagement und Compliance-Reports auf Deutsch.
Kostenloses Beratungsgespräch vereinbaren🔗 Weiterführende Ressourcen
- BSI: www.bsi.bund.de/nis2
- Gesetzestext: NIS2UmsuCG im Bundesgesetzblatt
- EU NIS2-Richtlinie: Richtlinie (EU) 2022/2555
- KENSAI NIS2-Ressourcen: Compliance-Leitfäden, Checklisten, Webinare
✅ Checkliste: BSI-Registrierung
- ☐ Betroffenheit geprüft (Sektor + Größenschwelle)
- ☐ Einstufung dokumentiert (wesentlich/wichtig)
- ☐ Alle erforderlichen Unternehmensdaten gesammelt
- ☐ Kontaktpersonen benannt (IT-Sicherheit, Datenschutz, Geschäftsführung)
- ☐ ELSTER-Zertifikat oder BundID vorhanden
- ☐ Registrierung im BSI-Portal abgeschlossen
- ☐ Bestätigung vom BSI erhalten
- ☐ Interne Dokumentation angelegt
- ☐ Compliance-Maßnahmen geplant (Risikomanagement, Incident Response, etc.)
- ☐ Geschäftsführung geschult (persönliche Haftung!)
Bleiben Sie compliant,
Das KENSAI Security Team
Dieser Leitfaden wird regelmäßig aktualisiert. Stand: März 2026. Keine Rechtsberatung — konsultieren Sie bei Unsicherheiten einen Fachanwalt für IT-Recht.