NIS2-Registrierung beim BSI: Schritt für Schritt
Praxis-Leitfaden zur NIS2-Registrierung beim BSI nach NIS2UmsG — Betroffenheitsprüfung, BSI-Portal, Fristen, benötigte Daten und was danach folgt.
TL;DR / Das Wichtigste
- Das NIS2UmsG gilt seit dem 6. Dezember 2025 ohne Übergangsfrist. Das BSI-Registrierungsportal öffnete am 6. Januar 2026, die Registrierungsfrist endete am 6. März 2026 — eine verspätete Registrierung ist weiterhin verpflichtend und ratsam.
- Sie identifizieren sich selbst. Das BSI fordert Sie nicht auf. Jede juristische Person, die Größen- und Sektorkriterien erfüllt, muss sich eigenständig registrieren.
- Zwei Stufen sind relevant: wichtige Einrichtungen (≥50 Beschäftigte oder >10 Mio. EUR Umsatz) und besonders wichtige Einrichtungen (≥250 Beschäftigte oder >50 Mio. EUR Umsatz und >43 Mio. EUR Bilanzsumme).
- Registrierung ≠ Konformität. Die Registrierung erfasst Sie beim BSI; sie belegt nicht, dass Ihre Risikomanagementmaßnahmen angemessen sind.
- Die Geschäftsleitung haftet persönlich für die Überwachung und Billigung der Risikomanagementmaßnahmen. Bußgelder reichen bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes.
Deutschland hat NIS2 über das NIS2-Umsetzungsgesetz (NIS2UmsG) umgesetzt — und zwar konsequenter, als viele Organisationen erwartet hatten. Es gab keine Schonfrist: Das Gesetz gilt unmittelbar seit dem 6. Dezember 2025. Die Registrierungsfunktion des BSI-Portals (NIS2) öffnete am 6. Januar 2026, die NIS2-Registrierungsfrist endete am 6. März 2026. Wer diesen Beitrag nach diesem Datum liest und noch nicht registriert ist, kommt nicht ungeschoren davon: Eine verspätete NIS2UmsG-Registrierung bleibt eine gesetzliche Pflicht, und sie zügig nachzuholen ist sowohl rechtlich als auch im Hinblick auf die Reputation der richtige Schritt.
Dies ist ein Praxis-Leitfaden, wie Sie sich beim BSI registrieren: wie Sie Ihre Betroffenheit feststellen, welche Daten Sie vorbereiten, wie das Portal in der Praxis funktioniert und — entscheidend — was Sie tun müssen, sobald die Bestätigung im Postfach liegt.
Zuerst: Betroffenheit verbindlich feststellen
Der häufigste Fehler, den wir sehen: Organisationen behandeln die Registrierung als erste Frage. Sie ist die zweite. Die erste ist die Betroffenheitsprüfung — und sie muss je juristischer Person erfolgen, nicht je Konzern.
Das NIS2UmsG unterscheidet zwei Kategorien:
| Kriterium | Wichtige Einrichtung | Besonders wichtige Einrichtung |
|---|---|---|
| Schwelle Beschäftigte | ≥ 50 | ≥ 250 |
| Schwelle Umsatz | > 10 Mio. EUR | > 50 Mio. EUR |
| Bilanzsumme | — | > 43 Mio. EUR |
| Logik | Größe ODER Umsatz | Größe ODER (Umsatz UND Bilanzsumme) |
| Aufsichtsregime | Reaktiv (nach Vorfällen) | Proaktiv (BSI kann prüfen) |
Beide Kategorien müssen sich registrieren. Der Unterschied betrifft vor allem die Intensität der nachgelagerten Aufsicht — besonders wichtige Einrichtungen unterliegen einer proaktiven Aufsicht, wichtige Einrichtungen einer reaktiven. Es gibt keine Stufe, die "später registrieren" erlaubt.
Einige Fallstricke aus unseren eigenen Projekten:
- Konzernstrukturen. Die Pflichten knüpfen an jede betroffene juristische Person an. Ein gemeinsames SOC oder eine zentrale Sicherheitsfunktion erlaubt es einer Muttergesellschaft nicht, einmalig für zwölf Töchter zu registrieren. Führen Sie die Prüfung zwölfmal durch.
- Die ODER-Logik. Sie müssen nicht beide Schwellen — Beschäftigte und Umsatz — überschreiten; eine genügt. Umsatzschwache, personalstarke Organisationen geraten hier ebenso hinein wie umgekehrt.
- Sektorzugehörigkeit ist notwendig, aber nicht hinreichend. Sie müssen in einem erfassten Sektor tätig sein und die Größenkriterien erfüllen. Umgekehrt können bestimmte Einrichtungen kritischer Sektoren unabhängig von der Größe betroffen sein.
Wenn Sie diese Entscheidung strukturiert und belastbar dokumentieren möchten, haben wir dazu einen eigenen Beitrag verfasst: die NIS2-Betroffenheitsprüfung nach NIS2UmsG. Dokumentieren Sie das Ergebnis mit benannten Verantwortlichen und Datum — die Betroffenheitsentscheidung ist selbst ein Nachweis, den das BSI später einsehen kann.
Was Sie vor dem Portalzugang benötigen
Die Registrierung ist kein Ort für Improvisation. Stellen Sie das Folgende vor der Anmeldung zusammen und lassen Sie es freigeben, denn unvollständige Einträge erzeugen Rückfragen, die Sie in einem Prüfzeitraum nicht gebrauchen können.
- Identität der juristischen Person — eingetragener Name, Rechtsform, Handelsregisternummer und Anschrift.
- Einordnung nach Sektor und Einrichtungstyp — welchem NIS2UmsG-Sektor und Anhang Sie unterfallen und ob Sie eine wichtige oder besonders wichtige Einrichtung sind.
- Die betroffenen Dienste — eine präzise Beschreibung der erfassten Tätigkeiten. Zu weite Beschreibungen laden zu Scope Creep ein, zu enge zu Beanstandungen.
- Kontaktstellen für Sicherheitsvorfälle — ein funktionsbezogenes Postfach statt eines Einzelnamens sowie eine rund um die Uhr erreichbare verantwortliche Kontaktperson. Vorfälle halten sich nicht an Bürozeiten, und die Meldefrist beginnt mit der Kenntnisnahme.
- Freigabe durch die Geschäftsleitung — da die Geschäftsleitung persönlich verantwortlich ist, sollten die Registrierungsinhalte auf Leitungsebene geprüft und gebilligt werden, nicht delegiert und vergessen.
Die BSI-Registrierung: Schritt für Schritt
So führen wir den durchgängigen Ablauf für Mandanten durch.
- Betroffenheit je Einrichtung bestätigen. Führen Sie die Betroffenheitsprüfung für jede juristische Person durch und archivieren Sie sie. Behandeln Sie Grenzfälle konservativ — eine Registrierung trotz fraglicher Betroffenheit ist weit günstiger als das Gegenteil.
- Datenpaket zusammenstellen. Führen Sie die fünf genannten Punkte in einer einzigen verlässlichen Quelle zusammen, damit mehrere Einrichtungen einheitlich registriert werden können.
- BSI-Portal aufrufen. Nutzen Sie das seit dem 6. Januar 2026 verfügbare Registrierungsportal. Legen Sie ein Konto und je betroffener Gesellschaft einen Eintrag an.
- Registrierungsformular ausfüllen. Erfassen Sie die Angaben zur Einrichtung, die Einordnung, die betroffenen Dienste und die Kontaktstellen. Prüfen Sie die Auswahl des Einrichtungstyps doppelt — sie steuert Ihr Aufsichtsregime.
- Übermitteln und Nachweis sichern. Übermitteln Sie jede Registrierung und bewahren Sie die Bestätigung auf. Diese Bestätigung ist Ihr Nachweis, dass die Registrierungspflicht erfüllt wurde; legen Sie sie dort ab, wo Compliance und Prüfer sie finden.
- Meldewesen und Governance aufsetzen. Die Registrierung ist der Auslöser, nicht die Ziellinie. Operationalisieren Sie den Meldeprozess und stimmen Sie die Billigung der Risikomanagementmaßnahmen durch die Geschäftsleitung ab (mehr dazu unten).
Praxishinweis: Bei einer konzernweiten Registrierung für einen mittelständischen europäischen Fertiger mit mehreren deutschen Gesellschaften war der Engpass nie das Portal — sondern die Klärung, wer die Sicherheitskontaktstelle jeder Einrichtung tatsächlich verantwortet, und die rechtzeitige Terminierung der Freigabe auf Leitungsebene. Beginnen Sie die interne Abstimmung Wochen, bevor Sie das Formular anfassen.
Die Registrierung ist der einfache Teil — das Meldewesen hat die Zähne
Auf der BSI-Liste zu stehen macht Sie nicht konform. Die materiellen Pflichten beginnen danach, und die Meldefristen sind der Punkt, an dem unvorbereitete Organisationen Schaden nehmen:
| Stufe | Frist | Was Sie übermitteln |
|---|---|---|
| Frühwarnung | innerhalb 24h nach Kenntnis | Erstmeldung über den Verdacht eines erheblichen Vorfalls |
| Detailbericht | innerhalb 72h | Erstbewertung, Schwere, Kompromittierungsindikatoren |
| Abschlussbericht | innerhalb 1 Monats | Ursachenanalyse und Abhilfemaßnahmen |
Eine 24-Stunden-Frist lässt sich nicht mit einer manuellen E-Mail-Kette erfüllen, die davon abhängt, dass eine Person eine Warnmeldung sieht. Sie benötigen Detektion, Triage und einen Eskalationspfad, der Ihre Meldefunktion automatisch erreicht. Wie Sie das aufbauen, beschreiben wir in unserem Runbook zur Meldung binnen 24/72 Stunden.
Die Governance-Ebene: Die Geschäftsleitung haftet persönlich
Das NIS2UmsG legt die persönliche Verantwortung der Geschäftsleitung für die Überwachung und Billigung der Risikomanagementmaßnahmen fest. Das ist keine delegierbare Unterschriftsformalität. Die Geschäftsleitung muss die Maßnahmen verstehen und billigen und kann für Überwachungsversäumnisse persönlich in Haftung genommen werden. Das verändert die Diskussion: Registrierung und Konformität sind kein IT-Posten mehr, sondern ein Thema der Unternehmensführung.
Wenn Ihr Sicherheitsmodell noch auf einem gehärteten Perimeter und implizitem Vertrauen im Inneren beruht, ist das NIS2UmsG ein Anstoß zur Modernisierung. Eine Zero-Trust-Architektur — minimale Rechte, starke Identität, kontinuierliche Verifikation und Segmentierung — bildet die vom Gesetz erwarteten Risikomanagementmaßnahmen unmittelbar ab. Die Haftungsdimension behandeln wir ausführlich in unserem Beitrag zur Haftung der Geschäftsleitung nach NIS2 in Deutschland.
Pragmatische Checkliste nach der Registrierung
- Betroffenheitsprüfung je juristischer Person archiviert, mit Verantwortlichem und Datum
- Registrierungsbestätigung als Konformitätsnachweis abgelegt
- Rund-um-die-Uhr-Kontaktstelle verifiziert und überwacht
- Meldeprozess mit 24h / 72h / Ein-Monats-Frist durchgängig getestet
- Risikomanagementmaßnahmen von der Geschäftsleitung förmlich gebilligt
- Anforderungen an die Lieferkettensicherheit an wesentliche Lieferanten weitergegeben
- Asset-Inventar aktuell und den betroffenen Diensten zugeordnet
- Jährlicher Überprüfungszyklus terminiert, inklusive erneuter Betroffenheitsprüfung bei Veränderungen
Wo Sie damit stehen
Wenn Sie registriert sind: gut — betrachten Sie das aber als Tag eins, nicht als Ziellinie. Wenn Sie die NIS2-Registrierungsfrist versäumt haben, registrieren Sie sich jetzt und dokumentieren Sie, warum es zur Verzögerung kam und was Sie dagegen unternehmen; eine verspätete, aber vollständige Haltung ist weit besser verteidigbar als Schweigen. In beiden Fällen zählt die operative Arbeit: Detektion, die eine 24-Stunden-Frist erfüllt, Risikomanagementmaßnahmen, die Ihre Geschäftsleitung tatsächlich gebilligt hat, und eine Lieferkette, für die Sie einstehen können.
Genau diese Arbeit leisten wir wöchentlich — Betroffenheitsprüfungen, Registrierung, Melde-Runbooks und die zugrunde liegende Zero-Trust-Architektur. Wenn Sie ein zweites Paar erfahrener, zertifizierter Augen auf Ihre NIS2-Aufstellung wünschen, sehen Sie unseren Ansatz auf der Seite Zero Trust & Cybersicherheit.
FAQ
Wann war die Frist für die NIS2-Registrierung beim BSI?
Das BSI-Registrierungsportal öffnete am 6. Januar 2026, die Registrierungsfrist endete am 6. März 2026. Es gab keine Übergangsfrist — das NIS2UmsG gilt unmittelbar seit dem 6. Dezember 2025. Wer die Frist versäumt hat, ist weiterhin gesetzlich zur Registrierung verpflichtet und sollte sie unverzüglich nachholen.
Wer muss sich nach NIS2UmsG beim BSI registrieren?
Betroffen sind 'wichtige Einrichtungen' (mindestens 50 Beschäftigte oder mehr als 10 Mio. EUR Umsatz) sowie 'besonders wichtige Einrichtungen' (mindestens 250 Beschäftigte oder mehr als 50 Mio. EUR Umsatz und mehr als 43 Mio. EUR Bilanzsumme) in den erfassten Sektoren. Die Einrichtungen müssen sich selbst identifizieren und eigenständig registrieren; das BSI versendet keine Aufforderungen.
Bedeutet die Registrierung beim BSI, dass wir NIS2-konform sind?
Nein. Die Registrierung ist eine verwaltungsrechtliche Meldung, die Sie beim BSI erfasst. Sie bestätigt nicht, dass Ihre Risikomanagementmaßnahmen, Ihre Meldefähigkeit oder Ihre Lieferkettensicherheit den Anforderungen des NIS2UmsG genügen. Registrierung und materielle Konformität sind getrennte, parallel laufende Pflichten.
Welche Angaben werden für die BSI-Registrierung benötigt?
Erforderlich sind die Angaben zur juristischen Person, die Einordnung nach Sektor und Einrichtungstyp, die erfüllten Schwellenwerte, Kontaktstellen für Sicherheitsvorfälle sowie eine benannte, rund um die Uhr erreichbare verantwortliche Kontaktperson. Zudem sollten Sie die betroffenen Dienste beschreiben können.
Was passiert, wenn wir uns nicht beim BSI registrieren?
Die fehlende Registrierung ist ein Verstoß gegen das NIS2UmsG und kann Bußgelder bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Umsatzes für besonders wichtige Einrichtungen nach sich ziehen. Die Geschäftsleitung haftet persönlich für die Überwachung und Billigung der Konformität, sodass eine Nichtregistrierung auch ein Governance- und Haftungsrisiko darstellt.
Kann eine Tochtergesellschaft stellvertretend für den gesamten Konzern registrieren?
In der Regel nein. Die Pflichten des NIS2UmsG knüpfen an jede juristische Person an, die eigenständig die Schwellenwerte in einem erfassten Sektor erfüllt. Konzerne sollten die Betroffenheitsprüfung je Einrichtung durchführen und jede betroffene Gesellschaft registrieren, auch wenn die Sicherheit zentral aus einem gemeinsamen SOC betrieben wird.
Themen