Zum Inhalt springen
Zurück
BSI NIS2 Registrierung Frist

BSI NIS2 Registrierung Frist: Was 29.000 Unternehmen jetzt tun müssen

Die BSI NIS2 Registrierung Frist rückt näher. Erfahren Sie alles über das ELSTER-Verfahren, Meldefristen und die persönliche Haftung für Geschäftsführer.

Martin Benes· Gründer & KI-Automatisierungsingenieur20. Februar 2026Aktualisiert am 24. Apr. 20264 Min Lesezeit
Entwurf von Flux Bot · Redigiert von Martin Benes

Für die Führungsebene von rund 29.000 deutschen Unternehmen hat die kritische Phase begonnen, da die gesetzliche BSI NIS2 Registrierung Frist am 6. März 2026 abläuft. Was lange als abstrakte EU-Richtlinie galt, wird nun zur harten Pflicht: Bis zum Stichtag müssen sich alle Organisationen, die unter das NIS2-Umsetzungsgesetz (NIS2UmsuCG) fallen, beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert haben.

Compliance wird oft als rein bürokratische Übung abgetan, doch NIS2 markiert einen fundamentalen Wandel in der deutschen Cybersicherheits-Governance. Sicherheit rückt aus dem IT-Keller direkt an den Konferenztisch der Geschäftsführung – untermauert durch drastische Bußgelder und die persönliche Haftung der Verantwortlichen. Da nur noch zwei Wochen verbleiben, ist das größte Hindernis nicht mehr die interne Strategie, sondern die technische Bearbeitungszeit externer Identitätssysteme.

1. Wer ist betroffen? Der Umfang der „29.000“

Die NIS2-Richtlinie weitet den Kreis der regulierten Unternehmen im Vergleich zum bisherigen IT-Sicherheitsgesetz massiv aus. Das BSI rechnet mit etwa 29.000 betroffenen Organisationen in Deutschland. Dabei geht es längst nicht mehr nur um klassische KRITIS-Betreiber wie Kraftwerke oder Wasserversorger.

Die Size-Cap-Regel

Grundsätzlich ist ein Unternehmen betroffen, wenn es folgende Schwellenwerte erreicht:

  • Mitarbeiter: 50 oder mehr Beschäftigte.
  • Wirtschaftskennzahlen: Ein Jahresumsatz oder eine Bilanzsumme von über 10 Millionen Euro.

Sektoren: Wesentlich vs. Wichtig

Die Regulierung unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Die Registrierungspflicht gilt für beide Kategorien. Zu den Sektoren gehören:

  • Besonders kritisch: Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser und digitale Infrastruktur.
  • Sonstige kritische Sektoren: Postdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion/-handel sowie das verarbeitende Gewerbe (z. B. Medizinprodukte, Fahrzeugbau).

2. Der Flaschenhals: Das ELSTER-Zertifikat

Das BSI hat zur Registrierung ein zentrales Portal eingerichtet. Die größte Hürde ist jedoch nicht das Portal selbst, sondern die geforderte Authentifizierung mittels ELSTER-Organisationszertifikat.

Im Gegensatz zu einfachen Login-Verfahren verlangt das BSI eine durch die Finanzverwaltung verifizierte Identität. Unternehmen, die noch nicht über ein solches Zertifikat verfügen, laufen Gefahr, die Frist zu versäumen. Der TÜV SÜD warnt, dass die Beantragung und Zustellung des Zertifikats in der Regel fünf bis zehn Werktage in Anspruch nimmt. Wer den Prozess erst in der letzten Woche vor dem 6. März anstößt, riskiert eine verspätete Meldung.

Erforderliche Daten für die Registrierung

Nach der Authentifizierung müssen im BSI-Portal unter anderem folgende Angaben gemacht werden:

  • Unternehmensgröße und Rechtsform.
  • Eine benannte NIS2-Kontaktstelle (24/7-Erreichbarkeit).
  • Die Sektoren und Teilsektoren, in denen das Unternehmen tätig ist.
  • Liste der genutzten IP-Adressbereiche und Domainnamen.

3. Persönliche Haftung der Geschäftsführung

Ein zentraler Aspekt der deutschen Umsetzung ist die explizite Managementverantwortung (§ 38 NIS2UmsuCG). NIS2 nimmt die Geschäftsführung persönlich in die Pflicht.

Die neuen Pflichten des Vorstands

Das Management ist gesetzlich verpflichtet:

  • Die vom IT-Team implementierten Risikomanagementmaßnahmen zu billigen.
  • Deren Umsetzung und Wirksamkeit kontinuierlich zu überwachen.
  • An verpflichtenden Cybersecurity-Schulungen teilzunehmen.

Besonders kritisch: Geschäftsführer können ihre Haftung nicht durch interne Verträge ausschließen. Bei schuldhaften Versäumnissen haften sie im Ernstfall mit ihrem Privatvermögen für Schäden, die dem Unternehmen durch mangelhafte Sicherheit entstehen. Cybersecurity wird damit von der technischen Option zur existenziellen Compliance-Frage.

4. Meldepflichten: Das 24-Stunden-Dilemma

Die Registrierung ist nur der erste Schritt. Einmal im System, greifen strikte Meldefristen für Sicherheitsvorfälle. Hierbei gilt ein mehrstufiges Verfahren:

  • Frühwarnung (24 Stunden): Eine erste Meldung muss innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls erfolgen.
  • Vorfallsmedung (72 Stunden): Ein detaillierterer Bericht mit einer ersten Bewertung des Schweregrads folgt spätestens nach drei Tagen.
  • Abschlussbericht (1 Monat): Eine umfassende Analyse der Ursachen und getroffenen Gegenmaßnahmen.

Diese knappen Zeitfenster setzen eine hohe Transparenz der eigenen Infrastruktur voraus. Unternehmen, die auf intransparente Black-Box-Lösungen setzen, könnten Schwierigkeiten haben, die notwendigen forensischen Daten rechtzeitig zu liefern. Hier zeigen sich die Vorteile von souveränen Infrastrukturlösungen, bei denen das Unternehmen die volle Hoheit über Logs und Datenströme behält.

5. Strategische Resilienz und Digitale Souveränität

Über die Frist am 6. März hinaus ist das Ziel der NIS2, die Widerstandsfähigkeit der Wirtschaft zu stärken. Die Wahl der Technologie-Architektur wird dabei zum Wettbewerbsvorteil.

Interessanterweise nutzt das BSI-Portal selbst AWS-Infrastruktur, was Debatten über digitale Souveränität ausgelöst hat. Für die 29.000 betroffenen Unternehmen ist die Lehre klar: Compliance ist dort am einfachsten, wo man die Kontrolle behält. Selbst gehostete oder EU-souveräne Cloud-Lösungen ermöglichen es, Sicherheitsmaßnahmen nach dem „Stand der Technik“ ohne Einschränkungen durch Drittanbieter umzusetzen und so die strengen Anforderungen der NIS2 proaktiv zu erfüllen.

Fazit: Jetzt handeln

Das Zeitfenster für ein „Abwarten“ hat sich geschlossen. Wenn Ihr Unternehmen die NIS2-Kriterien erfüllt, sollte die Prüfung des ELSTER-Zertifikats heute oberste Priorität haben. Nach der Registrierung muss der Fokus auf dem Aufbau einer Sicherheitsarchitektur liegen, die nicht nur Daten schützt, sondern auch die Geschäftsführung vor Haftungsrisiken bewahrt.

Quelle: www.heise.de

Brauchen Sie das für Ihr Business?

Wir können das für Sie implementieren.

Kontakt aufnehmen