Diventus – uptime.company
LeistungenÜber uns
WissenBlogFT vs. HochverfügbarkeitNIS2 & InfrastrukturVMware-Alternative
NIS2-CheckAusfallkosten-RechnerErstberatung anfragen+49 30 802020990
NIS2 · Compliance10 Min. Lesezeit11. März 2026

NIS2 Registrierung beim BSI: Schritt-für-Schritt Anleitung

Die NIS2-Richtlinie verpflichtet betroffene Unternehmen zur Registrierung beim BSI. Dieser Leitfaden zeigt, welche Schritte notwendig sind, welche Fristen gelten und was bei Nichterfüllung droht.

Ca. 30.000 Unternehmen in Deutschland sind von der NIS2-Richtlinie betroffen. [Quelle: BSI] Viele wissen es nicht — und noch mehr wissen nicht, was konkret zu tun ist. Die Registrierung beim BSI ist dabei nur der erste Schritt in einem umfassenderen Compliance-Prozess, der technische Maßnahmen, interne Zuständigkeiten und Meldepflichten umfasst.

Dieser Leitfaden erklärt, wen NIS2 betrifft, wie die Registrierung funktioniert und welche Konsequenzen Nichterfüllung hat. Konkret, ohne Fachjargon, mit klaren Quellenangaben.

Was ist die NIS2-Richtlinie?

NIS2 steht für Network and Information Security Directive 2 — die zweite Fassung der EU-Richtlinie zur Netz- und Informationssicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 und erweitert deren Anwendungsbereich erheblich.

Ziel der Richtlinie ist die Stärkung der Cybersicherheit in kritischen und wichtigen Sektoren der Europäischen Union. In Deutschland wird NIS2 durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht überführt. [Quelle: NIS2UmsuCG Entwurf — ZEITPUNKT DER IMPLEMENTIERUNG PRÜFEN]

Eckdaten NIS2
  • EU-Richtlinie verabschiedet: Dezember 2022 [Quelle: EU-Amtsblatt]
  • Umsetzungsfrist EU: Oktober 2024 [Quelle: NIS2-Richtlinie Art. 41]
  • Deutsches Umsetzungsgesetz: NIS2UmsuCG [ZEITPUNKT DER IMPLEMENTIERUNG PRÜFEN]
  • Betroffene Unternehmen DE: Ca. 30.000 [Quelle: BSI]
  • Regulierte Sektoren: 18 Sektoren (Energie, Gesundheit, Digitale Infrastruktur u. a.)
  • Zuständige Behörde DE: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Der wesentliche Unterschied zur NIS1-Richtlinie: NIS2 erfasst deutlich mehr Unternehmen, verschärft die Anforderungen und führt eine persönliche Haftung der Geschäftsführung ein. Wer bisher glaubte, nicht betroffen zu sein, sollte die Betroffenheitsprüfung erneut durchführen.

Wer muss sich beim BSI registrieren?

NIS2 unterscheidet zwei Kategorien betroffener Einrichtungen: Besonders wichtige Einrichtungen und Wichtige Einrichtungen. Beide Kategorien unterliegen der Registrierungspflicht beim BSI, unterscheiden sich jedoch in den Aufsichtsmodalitäten und teilweise in den Bußgeldhöchstgrenzen.

Besonders wichtige Einrichtungen

Große Unternehmen in Kernsektoren: ab 250 Mitarbeitern oder ab 50 Mio. EUR Jahresumsatz.

Unterliegen proaktiver BSI-Aufsicht. Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. [Quelle: NIS2UmsuCG Entwurf]

Wichtige Einrichtungen

Mittlere Unternehmen in regulierten Sektoren: ab 50 Mitarbeitern oder ab 10 Mio. EUR Jahresumsatz.

Unterliegen reaktiver BSI-Aufsicht. Bußgelder bis zu 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes. [Quelle: NIS2UmsuCG Entwurf]

Die 18 regulierten Sektoren

Beide Größenschwellen gelten nur in Verbindung mit der Zugehörigkeit zu einem der regulierten Sektoren. Prüfen Sie, ob Ihr Unternehmen in einem der folgenden Bereiche tätig ist:

Energie (Strom, Gas, Öl, Wasserstoff)
Transport und Verkehr
Bankwesen und Finanzmarktinfrastruktur
Gesundheitswesen
Trinkwasserversorgung
Abwasserentsorgung
Digitale Infrastruktur
Öffentliche Verwaltung
Weltraum
Post- und Kurierdienste
Abfallwirtschaft
Chemische Industrie
Lebensmittelproduktion und -vertrieb
Verarbeitendes Gewerbe
Digitale Dienste (Cloud, Marktplätze, Suchmaschinen)
Forschungseinrichtungen
Anbieter von Vertrauensdiensten
DNS-Anbieter und Top-Level-Domain-Registrare

Wichtig: Auch wenn Ihr Kerngeschäft nicht in einem regulierten Sektor liegt, können Sie als Zulieferer oder Dienstleister für betroffene Einrichtungen indirekt in die Pflicht genommen werden. NIS2 enthält explizite Anforderungen an die Supply Chain Security — betroffene Unternehmen müssen die Sicherheit ihrer Lieferkette prüfen und sicherstellen.

Registrierung beim BSI — Schritt für Schritt

Die Registrierung beim BSI ist kein einmaliger Klick, sondern ein strukturierter Prozess, der interne Vorbereitung erfordert. Hier sind die sechs Schritte in der richtigen Reihenfolge.

01

Betroffenheitsprüfung durchführen

Bevor Sie mit der Registrierung beginnen, klären Sie, ob und in welcher Kategorie Ihr Unternehmen betroffen ist. Prüfen Sie Sektor, Mitarbeiterzahl und Jahresumsatz. Fehler in dieser Einschätzung führen entweder zu unnötigem Aufwand oder — schlimmer — zu verpassten Pflichten.

Kostenlosen NIS2-Check nutzen →
02

Zuständigkeiten intern klären

NIS2 ist Chefsache. Die Geschäftsführung haftet persönlich für die Erfüllung der NIS2-Pflichten — das ist keine Formalität, sondern echte zivilrechtliche Haftung. Benennen Sie intern: wer ist für IT-Sicherheit verantwortlich, wer ist Ansprechpartner für das BSI, wer genehmigt Sicherheitsmaßnahmen und Budgets?

03

BSI-Portal aufrufen und Unternehmensdaten eingeben

Das BSI stellt ein Online-Portal für die Registrierung bereit. [ZEITPUNKT DER IMPLEMENTIERUNG PRÜFEN: URL des Portals] Dort geben Sie Unternehmensname, Rechtsform, Sektor, Größenklasse, Standorte und einen Überblick über Ihre IT-Infrastruktur ein. Halten Sie diese Informationen vorab bereit, um den Prozess zu beschleunigen.

04

Kontaktstelle benennen (24/7 erreichbar)

NIS2 verlangt eine Kontaktstelle, die das BSI rund um die Uhr erreichen kann — auch nachts, am Wochenende und an Feiertagen. Diese Kontaktstelle muss handlungsfähig sein: Sie muss im Ernstfall Entscheidungen treffen und Meldungen einreichen können. Planen Sie dies organisatorisch und personell.

05

Sicherheitsmaßnahmen implementieren

Die Registrierung allein erfüllt NIS2 nicht. Parallel müssen Sie die technischen und organisatorischen Mindestanforderungen umsetzen: Risikomanagement-Framework, Zugangskontrollen, Verschlüsselung, Business Continuity, Incident Response und Supply Chain Security. Der Zeitaufwand variiert stark je nach bestehender IT-Sicherheitsreife.

Technische NIS2-Anforderungen im Detail →
06

Meldeprozesse für Sicherheitsvorfälle einrichten

Bei erheblichen Sicherheitsvorfällen gilt: Erstmeldung beim BSI innerhalb von 24 Stunden, Folgebericht innerhalb von 72 Stunden, Abschlussbericht innerhalb von einem Monat. [Quelle: NIS2UmsuCG Entwurf] Richten Sie intern Prozesse ein, die diese Fristen sicherstellen — inklusive klarer Eskalationswege und Kommunikationsvorlagen.

Fristen und Bußgelder

NIS2 ist keine Empfehlung — es ist Gesetz. Die Konsequenzen bei Nichterfüllung sind erheblich und betreffen nicht nur das Unternehmen, sondern die Geschäftsführung persönlich.

Bußgeld max.
10 Mio. EUR

oder 2 % des weltweiten Jahresumsatzes (für besonders wichtige Einrichtungen) [Quelle: NIS2UmsuCG Entwurf]

Erstmeldung bei Vorfällen
24 Stunden

ab Kenntnis eines erheblichen Sicherheitsvorfalls [Quelle: NIS2UmsuCG Entwurf]

Abschlussbericht
30 Tage

nach der Erstmeldung muss ein vollständiger Abschlussbericht beim BSI eingehen [Quelle: NIS2UmsuCG Entwurf]

Persönliche Haftung der Geschäftsführung

NIS2 führt in Deutschland eine explizite persönliche Haftung der Geschäftsführer ein. Wer nachweislich notwendige Sicherheitsmaßnahmen nicht veranlasst hat, haftet für daraus entstehende Schäden — auch nach Ausscheiden aus dem Unternehmen. [Quelle: NIS2UmsuCG Entwurf, §38 BSI-Gesetz — ZEITPUNKT DER IMPLEMENTIERUNG PRÜFEN]

Das bedeutet: "Das war Aufgabe der IT-Abteilung" ist keine ausreichende Verteidigung. Die Geschäftsführung muss NIS2-Compliance aktiv steuern, genehmigen und dokumentieren.

Registrierungsfrist: Ab Inkrafttreten des NIS2UmsuCG besteht die Registrierungspflicht. [ZEITPUNKT DER IMPLEMENTIERUNG PRÜFEN] Unternehmen sollten die Registrierung nicht bis zur letzten Minute aufschieben — die interne Vorbereitung erfordert Zeit, die im Ernstfall fehlt.

Technische Anforderungen unter NIS2

Die Registrierung ist der administrative Teil. Der operative Teil — die eigentliche Sicherheitsarbeit — beginnt mit der Umsetzung technischer Mindestanforderungen. NIS2 schreibt konkrete Maßnahmenbereiche vor:

Business Continuity und Disaster Recovery

Unternehmen müssen nachweislich in der Lage sein, geschäftskritische Systeme nach einem Sicherheitsvorfall zeitnah wiederherzustellen. Das schließt dokumentierte Recovery-Pläne, regelmäßig getestete Wiederherstellungsverfahren und räumlich getrennte Backup-Systeme ein. Ein tägliches Backup auf einer externen Festplatte erfüllt diese Anforderung in der Regel nicht.

Disaster Recovery erklärt →

Incident Response

Dokumentierte Prozesse für den Ernstfall sind Pflicht: Wer entscheidet was? Wer meldet an das BSI? Wer kommuniziert intern und extern? Die 24-Stunden-Erstmeldefrist macht funktionierende Eskalationsketten unverzichtbar.

Risikomanagement

NIS2 verlangt ein systematisches Risikomanagement-Framework: Identifikation von IT-Risiken, Bewertung nach Eintrittswahrscheinlichkeit und Schadenshöhe, Maßnahmen zur Risikominimierung und regelmäßige Überprüfung.

Zugangskontrolle und Verschlüsselung

Strikte Zugangskontrollen, Multi-Faktor-Authentifizierung für kritische Systeme und Verschlüsselung sensibler Daten sind explizit gefordert. Das gilt sowohl für interne Systeme als auch für den Fernzugriff.

Supply Chain Security

Betroffene Unternehmen müssen die Sicherheit ihrer IT-Lieferkette prüfen: Welche Dienstleister haben Zugriff auf kritische Systeme? Welche Sicherheitsstandards erfüllen sie? NIS2 macht Ihre Sicherheit nicht an Ihren eigenen Systemen halt — sie zieht die Grenzen bis zu Ihren Lieferanten.

Eine detaillierte Aufstellung der technischen NIS2-Anforderungen und ihrer praktischen Umsetzung finden Sie in unserem Artikel NIS2 und IT-Infrastruktur.

Wie Diventus bei der NIS2-Umsetzung hilft

Diventus entwickelt IT-Infrastruktur, die NIS2-Anforderungen technisch erfüllt — ohne dass Unternehmen sich in Compliance-Details verlieren müssen. Unser Drei-Säulen-System adressiert die zentralen NIS2-Anforderungen direkt:

Server-Fehlertoleranz

NIS2: Business Continuity

Fehlertolerante Server mit Lock-Step-Synchronisation laufen auch bei Hardware-Ausfall ohne Unterbrechung weiter. Das erfüllt die NIS2-Anforderung an Business Continuity auf Infrastruktur-Ebene: Kein Neustart, kein Datenverlust, keine manuelle Intervention.

Stratus everRun →

24/7 Monitoring (DCM)

NIS2: Incident Response

Das Diventus Continuous Monitoring überwacht Ihre IT-Systeme rund um die Uhr und löst bei Anomalien sofort Alarm aus. Das verkürzt die Zeit zwischen Vorfall und Erkennung — und schafft die Grundlage für die NIS2-Erstmeldung innerhalb von 24 Stunden.

DCM Monitoring →

Disaster Recovery (DCW)

NIS2: Business Continuity + Incident Response

Continous Workload Replikation erstellt kontinuierliche Snapshots Ihrer Systeme an einem entfernten Standort. Im Ernstfall stellt One Button Recovery das komplette System zeitpunktgenau wieder her — auch nach Ransomware-Angriffen.

Disaster Recovery DCW →

NIS2-Compliance ist kein Projekt, das man einmal abschließt. Sie ist ein fortlaufender Prozess — technisch und organisatorisch. In einer kostenlosen Erstberatung analysieren wir, wo Sie heute stehen und welche Maßnahmen den größten NIS2-Hebel bieten.

Häufige Fragen zur NIS2-Registrierung

Was passiert wenn ich mich nicht beim BSI registriere?

Bei Nichtregistrierung drohen Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Zusätzlich haften Geschäftsführer persönlich für Verstöße gegen die NIS2-Pflichten. Das BSI kann proaktive Aufsichtsmaßnahmen einleiten, einschließlich Vor-Ort-Prüfungen. [Quelle: NIS2UmsuCG Entwurf — ZEITPUNKT DER IMPLEMENTIERUNG PRÜFEN]

Wie lange dauert die NIS2-Registrierung?

Die technische Registrierung im BSI-Portal dauert erfahrungsgemäß wenige Stunden. Der größere Aufwand liegt in der vorbereitenden Betroffenheitsprüfung, der internen Klärung von Zuständigkeiten und der Benennung einer 24/7 erreichbaren Kontaktstelle. Realistisch sollten Unternehmen zwei bis vier Wochen für die vollständige Vorbereitung einplanen. [SCHÄTZUNG]

Muss sich jedes Unternehmen bei NIS2 registrieren?

Nein. NIS2 gilt für Unternehmen ab 50 Mitarbeitern ODER ab 10 Mio. EUR Jahresumsatz, die in einem der 18 regulierten Sektoren tätig sind. Kleinere Unternehmen sind grundsätzlich ausgenommen, es sei denn, sie sind Teil kritischer Infrastruktur (z. B. alleiniger Anbieter eines kritischen Dienstes). Ca. 30.000 Unternehmen in Deutschland sind betroffen. [Quelle: BSI]

Was kostet die NIS2-Umsetzung?

Die Kosten variieren stark nach Unternehmensgröße und bestehender IT-Sicherheitsreife. Für mittelgroße Unternehmen werden Initialkosten im fünf- bis sechsstelligen Bereich und laufende Kosten im fünfstelligen Bereich pro Jahr geschätzt. [SCHÄTZUNG — individuelle Beratung empfohlen] Die Kosten für Nichterfüllung — Bußgelder bis 10 Mio. EUR plus Haftung — übersteigen Umsetzungskosten regelmäßig erheblich.

Weiterführende Artikel
NIS2 & Infrastruktur →Disaster Recovery erklärt →NIS2-Check starten →

Sind Sie von NIS2 betroffen?

In einer kostenlosen NIS2-Erstberatung prüfen wir Ihre Betroffenheit, analysieren Ihren aktuellen Sicherheitsstand und zeigen, welche Maßnahmen prioritär sind.

Kostenlose NIS2-Erstberatung anfragen
+49 30 802020990