NIS-2: Wichtige Fristen und Registrierungspflichten für Unternehmen

Mit dem Inkrafttreten des neuen BSI-Gesetzes am 6. Dezember 2025 wurde die europäische NIS‑2-Richtlinie in deutsches Recht umgesetzt. Ziel ist es, die Cybersicherheit deutlich zu stärken – insbesondere bei Unternehmen mit hoher Bedeutung für Wirtschaft, Versorgung und Gesellschaft. Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.

Die Registrierung hätte ursprünglich bis zum 6. März 2026 erfolgen müssen. Das BSI geht davon aus, dass ein erheblicher Teil der betroffenen Unternehmen noch nicht registriert ist. Laut BSI muss die Registrierung nun spätestens bis zum 31. Juli 2026 abgeschlossen sein.

Wir empfehlen Unternehmen, die Betroffenheit zu prüfen und die Einschätzung zu dokumentieren. Zudem empfehlen wir, sich beim BSI-Portal zu registrieren, was noch nicht die NIS-2 Registrierung bedeutet, sondern den grundsätzlichen Zugang zu Angeboten des BSI wie die Allianz für Cybersicherheit. Die NIS-2 Registrierung kann dort erfolgen, muss aber nicht.

Im Detail, was sollten Sie jetzt konkret tun?

1. Prüfen und dokumentieren Sie umgehend Ihre NIS2-Betroffenheit

  • Nutzen Sie die BSI-FAQ und Betroffenheitsprüfung.
  • Ziehen Sie ggf. rechtliche Beratung hinzu.
  • Sowohl bei Registrierung als auch bei Nicht‑Betroffenheit ist eine Dokumentation der Entscheidung wichtig als Nachweis gegenüber dem BSI.

2. Starten Sie die Registrierung im BSI‑Portal

  • Diese Registrierung ermöglicht den Zugriff auf das BSI-Portal und ist nicht die eigentliche NIS-2-Registrierung. Im BSI-Portal selbst wird neben einigen weiteren Angeboten (z. B. Beitritt zur „Allianz für Cybersicherheit“) die eigentliche NIS-2 Registrierung optional angeboten.
  • Die Registrierung selbst erfolgt über das Unternehmenskonto (MUK) mit ELSTER‑Zertifikat. Sie benötigen dafür die Steuernummer der jeweiligen juristischen Person und Kontaktdaten eines Ansprechpartners. Per Briefpost erhält das Unternehmen nach dem Abschicken einen Aktivierungscode. Achtung: Dieser Brief wird nicht an den Ansprechpartner verschickt, sondern an die Elster-Kontaktadresse des Unternehmens (Buchhaltung, Personalabteilung etc.). Gibt man den Aktivierungscode ein, erhält der Ansprechpartner per Mail das für Logins nötige Zertifikat.
  • Wichtig: Jede juristische Person muss sich separat registrieren

3. Klären Sie vorab intern Verantwortlichkeiten

  • Wer ist zuständig für die Registrierung im BSI-Portal und die interne Zuteilung von Berechtigungen?
    Der Ansprechpartner der erstmaligen Registrierung ist der Verwalter für alle nachfolgenden Registrierungen. Die Registrierungen sind an den jeweils genannten Ansprechpartner gebunden.
  • Wer verwaltet wie die ELSTER-Zertifikate und die zugehörigen Passwörter des Unternehmens?
    Falls die Verantwortung bei einzelnen Personen liegt, sollten sichere Passwörter verwendet und in einem Passwort‑Safe gespeichert werden.

Ihre IHK unterstützt Sie bei offenen Fragen:

Wir sammeln Ihre Praxisfragen, bündeln diese und stellen sie dem BSI anonymisiert zur Verfügung. Das BSI hat zugesagt, die offenen Punkte gesammelt im Rahmen seiner FAQ zu beantworten.

Senden Sie uns Ihre Fragen daher gern zu – wir leiten sie anonym und gebündelt an das BSI weiter.

Wir informieren Sie zu allen Themen rund um NIS 2. Als Einstieg können die DIHK-Webinare zur NIS2-Umsetzung dienen.

Artikelnr: 387536