xH
FluxHuman
Zurück
BSI NIS2 Registrierung Frist

BSI NIS2 Registrierung Frist: Was 29.000 Unternehmen jetzt tun müssen

Die BSI NIS2 Registrierung Frist rückt näher. Erfahren Sie alles über das ELSTER-Verfahren, Meldefristen und die persönliche Haftung für Geschäftsführer.

20. Februar 20264 Min Lesezeit

Für die Führungsebene von rund 29.000 deutschen Unternehmen hat die kritische Phase begonnen, da die gesetzliche **BSI NIS2 Registrierung Frist** am 6. März 2026 abläuft. Was lange als abstrakte EU-Richtlinie galt, wird nun zur harten Pflicht: Bis zum Stichtag müssen sich alle Organisationen, die unter das NIS2-Umsetzungsgesetz (NIS2UmsuCG) fallen, beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert haben.

Compliance wird oft als rein bürokratische Übung abgetan, doch NIS2 markiert einen fundamentalen Wandel in der deutschen Cybersicherheits-Governance. Sicherheit rückt aus dem IT-Keller direkt an den Konferenztisch der Geschäftsführung – untermauert durch drastische Bußgelder und die persönliche Haftung der Verantwortlichen. Da nur noch zwei Wochen verbleiben, ist das größte Hindernis nicht mehr die interne Strategie, sondern die technische Bearbeitungszeit externer Identitätssysteme.

1. Wer ist betroffen? Der Umfang der „29.000“

Die NIS2-Richtlinie weitet den Kreis der regulierten Unternehmen im Vergleich zum bisherigen IT-Sicherheitsgesetz massiv aus. Das BSI rechnet mit etwa 29.000 betroffenen Organisationen in Deutschland. Dabei geht es längst nicht mehr nur um klassische KRITIS-Betreiber wie Kraftwerke oder Wasserversorger.

Die Size-Cap-Regel

Grundsätzlich ist ein Unternehmen betroffen, wenn es folgende Schwellenwerte erreicht:

  • Mitarbeiter: 50 oder mehr Beschäftigte.
  • Wirtschaftskennzahlen: Ein Jahresumsatz oder eine Bilanzsumme von über 10 Millionen Euro.

Sektoren: Wesentlich vs. Wichtig

Die Regulierung unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Die Registrierungspflicht gilt für beide Kategorien. Zu den Sektoren gehören:

  • Besonders kritisch: Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser und digitale Infrastruktur.
  • Sonstige kritische Sektoren: Postdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion/-handel sowie das verarbeitende Gewerbe (z. B. Medizinprodukte, Fahrzeugbau).

2. Der Flaschenhals: Das ELSTER-Zertifikat

Das BSI hat zur Registrierung ein zentrales Portal eingerichtet. Die größte Hürde ist jedoch nicht das Portal selbst, sondern die geforderte Authentifizierung mittels ELSTER-Organisationszertifikat.

Im Gegensatz zu einfachen Login-Verfahren verlangt das BSI eine durch die Finanzverwaltung verifizierte Identität. Unternehmen, die noch nicht über ein solches Zertifikat verfügen, laufen Gefahr, die Frist zu versäumen. Der TÜV SÜD warnt, dass die Beantragung und Zustellung des Zertifikats in der Regel fünf bis zehn Werktage in Anspruch nimmt. Wer den Prozess erst in der letzten Woche vor dem 6. März anstößt, riskiert eine verspätete Meldung.

Erforderliche Daten für die Registrierung

Nach der Authentifizierung müssen im BSI-Portal unter anderem folgende Angaben gemacht werden:

  • Unternehmensgröße und Rechtsform.
  • Eine benannte NIS2-Kontaktstelle (24/7-Erreichbarkeit).
  • Die Sektoren und Teilsektoren, in denen das Unternehmen tätig ist.
  • Liste der genutzten IP-Adressbereiche und Domainnamen.

3. Persönliche Haftung der Geschäftsführung

Ein zentraler Aspekt der deutschen Umsetzung ist die explizite Managementverantwortung (§ 38 NIS2UmsuCG). NIS2 nimmt die Geschäftsführung persönlich in die Pflicht.

Die neuen Pflichten des Vorstands

Das Management ist gesetzlich verpflichtet:

  • Die vom IT-Team implementierten Risikomanagementmaßnahmen zu billigen.
  • Deren Umsetzung und Wirksamkeit kontinuierlich zu überwachen.
  • An verpflichtenden Cybersecurity-Schulungen teilzunehmen.

Besonders kritisch: Geschäftsführer können ihre Haftung nicht durch interne Verträge ausschließen. Bei schuldhaften Versäumnissen haften sie im Ernstfall mit ihrem Privatvermögen für Schäden, die dem Unternehmen durch mangelhafte Sicherheit entstehen. Cybersecurity wird damit von der technischen Option zur existenziellen Compliance-Frage.

4. Meldepflichten: Das 24-Stunden-Dilemma

Die Registrierung ist nur der erste Schritt. Einmal im System, greifen strikte Meldefristen für Sicherheitsvorfälle. Hierbei gilt ein mehrstufiges Verfahren:

  • Frühwarnung (24 Stunden): Eine erste Meldung muss innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls erfolgen.
  • Vorfallsmedung (72 Stunden): Ein detaillierterer Bericht mit einer ersten Bewertung des Schweregrads folgt spätestens nach drei Tagen.
  • Abschlussbericht (1 Monat): Eine umfassende Analyse der Ursachen und getroffenen Gegenmaßnahmen.

Diese knappen Zeitfenster setzen eine hohe Transparenz der eigenen Infrastruktur voraus. Unternehmen, die auf intransparente Black-Box-Lösungen setzen, könnten Schwierigkeiten haben, die notwendigen forensischen Daten rechtzeitig zu liefern. Hier zeigen sich die Vorteile von souveränen Infrastrukturlösungen, bei denen das Unternehmen die volle Hoheit über Logs und Datenströme behält.

5. Strategische Resilienz und Digitale Souveränität

Über die Frist am 6. März hinaus ist das Ziel der NIS2, die Widerstandsfähigkeit der Wirtschaft zu stärken. Die Wahl der Technologie-Architektur wird dabei zum Wettbewerbsvorteil.

Interessanterweise nutzt das BSI-Portal selbst AWS-Infrastruktur, was Debatten über digitale Souveränität ausgelöst hat. Für die 29.000 betroffenen Unternehmen ist die Lehre klar: Compliance ist dort am einfachsten, wo man die Kontrolle behält. Selbst gehostete oder EU-souveräne Cloud-Lösungen ermöglichen es, Sicherheitsmaßnahmen nach dem „Stand der Technik“ ohne Einschränkungen durch Drittanbieter umzusetzen und so die strengen Anforderungen der NIS2 proaktiv zu erfüllen.

Fazit: Jetzt handeln

Das Zeitfenster für ein „Abwarten“ hat sich geschlossen. Wenn Ihr Unternehmen die NIS2-Kriterien erfüllt, sollte die Prüfung des ELSTER-Zertifikats heute oberste Priorität haben. Nach der Registrierung muss der Fokus auf dem Aufbau einer Sicherheitsarchitektur liegen, die nicht nur Daten schützt, sondern auch die Geschäftsführung vor Haftungsrisiken bewahrt.

Häufige Fragen

Muss jedes Unternehmen mit 50 Mitarbeitern registriert werden?

Nein, das Unternehmen muss zusätzlich in einem der in der NIS2-Richtlinie definierten kritischen oder wichtigen Sektoren tätig sein. Die Liste ist jedoch sehr breit gefasst und umfasst auch Bereiche wie Maschinenbau und Lebensmittel.

Was passiert, wenn wir die Frist am 6. März 2026 verpassen?

Die Nicht-Registrierung stellt einen formalen Verstoß dar. Das BSI kann Bußgelder verhängen, zudem kann das Versäumnis als Indiz für Fahrlässigkeit bei Haftungsfragen gegen die Geschäftsführung herangezogen werden.

Können wir das ELSTER-Zertifikat der Buchhaltung nutzen?

Ja, sofern es sich um ein gültiges Organisationszertifikat handelt. Es sollte jedoch geprüft werden, ob die für die BSI-Meldung zuständigen Personen Zugriff darauf haben oder ein separates Zertifikat benötigen.

Sind Tochtergesellschaften ausländischer Firmen betroffen?

Ja, wenn die Tochtergesellschaft in Deutschland tätig ist und die Größen- sowie Sektorenkriterien erfüllt, unterliegt sie dem deutschen NIS2-Umsetzungsgesetz.

Muss jeder kleine Virenbefall gemeldet werden?

Nein. Die Meldepflicht gilt nur für 'erhebliche Vorfälle', die zu beträchtlichen Betriebsstörungen führen oder das Potenzial für große finanzielle oder physische Schäden haben.

Quelle: www.heise.de

Brauchen Sie das für Ihr Business?

Wir können das für Sie implementieren.

Kontakt aufnehmen
BSI NIS2 Registrierung Frist: Was 29.000 Unternehmen jetzt tun müssen | FluxHuman Blog