NIS2 Registrierung beim BSI: Schritt-für-Schritt Anleitung
Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Dieser Leitfaden zeigt, welche Unternehmen die Registrierung prüfen sollten, wie das BSI-Portal einzuordnen ist und welche technischen Vorbereitungen parallel notwendig werden.
NIS2 betrifft deutlich mehr Unternehmen als die bisherige KRITIS-Regulierung. Viele wissen nicht, ob sie betroffen sind - und noch mehr wissen nicht, was konkret vorzubereiten ist. Die Registrierung beim BSI ist dabei nur ein Teil eines umfassenderen Prozesses, der technische Maßnahmen, interne Zuständigkeiten und Meldewege umfasst.
Dieser Leitfaden erklärt, wie Unternehmen die Registrierung einordnen, welche Schritte sinnvoll sind und wo technische Readiness beginnt. Er ersetzt keine Rechtsberatung, hilft aber, die operative Vorbereitung sauber zu strukturieren.
Was ist die NIS2-Richtlinie?
NIS2 steht für Network and Information Security Directive 2 — die zweite Fassung der EU-Richtlinie zur Netz- und Informationssicherheit. Sie ersetzt die ursprüngliche NIS-Richtlinie aus dem Jahr 2016 und erweitert deren Anwendungsbereich erheblich.
Ziel der Richtlinie ist die Stärkung der Cybersicherheit in kritischen und wichtigen Sektoren der Europäischen Union. In Deutschland ist das NIS2-Umsetzungsgesetz nach Angaben der Bundesregierung am 6. Dezember 2025 in Kraft getreten.
- •EU-Richtlinie verabschiedet: Dezember 2022
- •Umsetzungsfrist EU: Oktober 2024
- •Deutsches Umsetzungsgesetz: NIS2UmsuCG, in Kraft seit 6. Dezember 2025
- •Betroffene Unternehmen DE: deutlich erweiterter Kreis gegenüber NIS1/KRITIS
- •Regulierte Sektoren: 18 Sektoren (Energie, Gesundheit, Digitale Infrastruktur u. a.)
- •Zuständige Behörde DE: Bundesamt für Sicherheit in der Informationstechnik (BSI)
Der wesentliche Unterschied zur NIS1-Richtlinie: NIS2 erfasst deutlich mehr Unternehmen, verschärft die Anforderungen und bindet Leitungsorgane stärker in Cybersicherheitsmaßnahmen ein. Wer bisher glaubte, nicht betroffen zu sein, sollte die Betroffenheitsprüfung erneut durchführen.
Wer muss sich beim BSI registrieren?
NIS2 unterscheidet zwei Kategorien betroffener Einrichtungen: Besonders wichtige Einrichtungen und Wichtige Einrichtungen. Beide Kategorien unterliegen der Registrierungspflicht beim BSI, unterscheiden sich jedoch in den Aufsichtsmodalitäten und teilweise in den Bußgeldhöchstgrenzen.
Große Unternehmen in Kernsektoren, typischerweise ab 250 Mitarbeitenden oder ab 50 Mio. EUR Jahresumsatz.
Bei Verstößen können je nach Kategorie und Einzelfall höhere Sanktionen und eine stärkere Aufsicht relevant werden.
Mittlere Unternehmen in regulierten Sektoren, typischerweise ab 50 Mitarbeitenden oder ab 10 Mio. EUR Jahresumsatz.
Auch hier sind Registrierung, Meldewege und angemessene Sicherheitsmaßnahmen zu prüfen.
Die 18 regulierten Sektoren
Beide Größenschwellen gelten nur in Verbindung mit der Zugehörigkeit zu einem der regulierten Sektoren. Prüfen Sie, ob Ihr Unternehmen in einem der folgenden Bereiche tätig ist:
Wichtig: Auch wenn Ihr Kerngeschäft nicht in einem regulierten Sektor liegt, können Sie als Zulieferer oder Dienstleister für betroffene Einrichtungen indirekt in die Pflicht genommen werden. NIS2 enthält explizite Anforderungen an die Supply Chain Security — betroffene Unternehmen müssen die Sicherheit ihrer Lieferkette prüfen und sicherstellen.
Registrierung beim BSI — Schritt für Schritt
Die Registrierung beim BSI ist kein einmaliger Klick, sondern ein strukturierter Prozess, der interne Vorbereitung erfordert. Hier sind die sechs Schritte in der richtigen Reihenfolge.
Betroffenheitsprüfung durchführen
Bevor Sie mit der Registrierung beginnen, klären Sie, ob und in welcher Kategorie Ihr Unternehmen betroffen ist. Prüfen Sie Sektor, Mitarbeiterzahl, Umsatz oder Bilanzsumme sowie Sonderrollen in der Versorgungskette. Fehler in dieser Einschätzung führen entweder zu unnötigem Aufwand oder zu verpassten Pflichten.
Kostenlosen NIS2-Check nutzen →Zuständigkeiten intern klären
NIS2 ist ein Leitungsthema. Klären Sie, wer IT-Sicherheit verantwortet, wer Ansprechpartner für das BSI ist, wer Maßnahmen und Budgets freigibt und wie Entscheidungen im Vorfall dokumentiert werden. Haftungsfragen sollten rechtlich eingeordnet werden; operativ zählt, dass Verantwortung nicht nur informell bei der IT liegt.
BSI-Portal aufrufen und Unternehmensdaten vorbereiten
Das BSI stellt für Registrierungs- und Meldepflichten nach dem NIS2-Umsetzungsgesetz das BSI-Portal unter portal.bsi.bund.de bereit. Nach BSI-Hinweis erfolgt die NIS2-Registrierung über dieses Portal und nicht über MIP2; MIP2 bleibt übergangsweise für bestimmte etablierte Meldeprozesse nutzbar.
Kontaktstelle und Meldewege benennen
Legen Sie fest, wer vom BSI erreichbar ist und wer intern Entscheidungen trifft. Diese Kontaktstelle muss handlungsfähig sein: Sie muss Informationen sammeln, Eskalationen auslösen und Meldungen fristgerecht einreichen können.
Sicherheitsmaßnahmen implementieren
Die Registrierung allein erfüllt NIS2 nicht. Parallel müssen technische und organisatorische Maßnahmen umgesetzt werden: Risikomanagement, Zugangskontrollen, Business Continuity, Incident Response, Lieferketten-Sicherheit und Wiederherstellungskonzepte.
Technische NIS2-Anforderungen im Detail →Meldeprozesse für Sicherheitsvorfälle einrichten
Bei erheblichen Sicherheitsvorfällen müssen Meldewege schnell funktionieren. Richten Sie Eskalationsketten, Kommunikationsvorlagen und Zuständigkeiten so ein, dass die gesetzlichen Meldefristen eingehalten werden können.
Fristen, Meldewege und mögliche Sanktionen
NIS2 ist keine Empfehlung. Nach Angaben der Bundesregierung ist das deutsche Umsetzungsgesetz am 6. Dezember 2025 in Kraft getreten. Damit sollten betroffene Unternehmen Registrierung, Meldewege und technische Maßnahmen nicht mehr als Zukunftsthema behandeln.
Seit diesem Datum gelten die im Umsetzungsgesetz vorgesehenen Registrierungs- und Meldepflichten.
Das BSI verweist für NIS2-Registrierung und Meldungen auf das dafür vorgesehene BSI-Portal.
Je nach Einrichtungskategorie und Verstoß können empfindliche Sanktionen relevant werden.
NIS2 bindet Leitungsorgane ausdrücklich in das Cybersicherheits-Risikomanagement ein. Praktisch heißt das: Maßnahmen müssen nicht nur technisch umgesetzt, sondern auch genehmigt, überwacht und dokumentiert werden.
Das bedeutet: „Das war Aufgabe der IT-Abteilung“ ist organisatorisch zu dünn. Die Geschäftsführung sollte Betroffenheit, Budgets, Verantwortlichkeiten und Fortschritt nachvollziehbar steuern. Konkrete Haftungsfragen gehören in eine rechtliche Einzelfallprüfung.
Registrierung: Das BSI stellt für die NIS2-Registrierung das BSI-Portal bereit. MIP2 ist laut BSI nicht das reguläre Portal für die NIS2-Registrierung, bleibt aber übergangsweise für bestimmte etablierte KRITIS- und Behördenmeldungen verfügbar.
Technische Anforderungen unter NIS2
Die Registrierung ist der administrative Teil. Der operative Teil — die eigentliche Sicherheitsarbeit — beginnt mit der Umsetzung technischer Mindestanforderungen. NIS2 schreibt konkrete Maßnahmenbereiche vor:
Business Continuity und Disaster Recovery
Unternehmen müssen nachweislich in der Lage sein, geschäftskritische Systeme nach einem Sicherheitsvorfall zeitnah wiederherzustellen. Das schließt dokumentierte Recovery-Pläne, regelmäßig getestete Wiederherstellungsverfahren und räumlich getrennte Backup-Systeme ein. Ein tägliches Backup auf einer externen Festplatte erfüllt diese Anforderung in der Regel nicht.
Disaster Recovery erklärt →Incident Response
Dokumentierte Prozesse für den Ernstfall sind Pflicht: Wer entscheidet was? Wer meldet an das BSI? Wer kommuniziert intern und extern? Die 24-Stunden-Erstmeldefrist macht funktionierende Eskalationsketten unverzichtbar.
Risikomanagement
NIS2 verlangt ein systematisches Risikomanagement-Framework: Identifikation von IT-Risiken, Bewertung nach Eintrittswahrscheinlichkeit und Schadenshöhe, Maßnahmen zur Risikominimierung und regelmäßige Überprüfung.
Zugangskontrolle und Verschlüsselung
Strikte Zugangskontrollen, Multi-Faktor-Authentifizierung für kritische Systeme und Verschlüsselung sensibler Daten sind explizit gefordert. Das gilt sowohl für interne Systeme als auch für den Fernzugriff.
Supply Chain Security
Betroffene Unternehmen müssen die Sicherheit ihrer IT-Lieferkette prüfen: Welche Dienstleister haben Zugriff auf kritische Systeme? Welche Sicherheitsstandards erfüllen sie? NIS2 macht Ihre Sicherheit nicht an Ihren eigenen Systemen halt — sie zieht die Grenzen bis zu Ihren Lieferanten.
Eine detaillierte Aufstellung der technischen NIS2-Anforderungen und ihrer praktischen Umsetzung finden Sie in unserem Artikel NIS2 und IT-Infrastruktur.
Wie Diventus bei NIS2-naher Infrastruktur hilft
Diventus entwickelt IT-Infrastruktur, die NIS2-nahe Anforderungen an Verfügbarkeit, Monitoring und Wiederherstellung technisch unterstützt. Unser Drei-Säulen-System adressiert zentrale Resilienzbereiche:
Server-Fehlertoleranz
NIS2: Business ContinuityFehlertolerante Server mit Lock-Step-Synchronisation laufen auch bei Hardware-Ausfall ohne Unterbrechung weiter. Das unterstützt Business Continuity auf Infrastruktur-Ebene: kein Neustart, kein Datenverlust, keine manuelle Intervention.
Stratus everRun →24/7 Monitoring (DCM)
NIS2: Incident ResponseDas Diventus Continuous Monitoring überwacht Ihre IT-Systeme rund um die Uhr und löst bei Anomalien Alarm aus. Das verkürzt die Zeit zwischen Vorfall und Erkennung und schafft eine bessere Grundlage für strukturierte Melde- und Eskalationsprozesse.
DCM Monitoring →Disaster Recovery (DCW)
NIS2: Business Continuity + Incident ResponseContinous Workload Replikation erstellt kontinuierliche Snapshots Ihrer Systeme an einem entfernten Standort. Im Ernstfall stellt One Button Recovery das komplette System zeitpunktgenau wieder her — auch nach Ransomware-Angriffen.
Disaster Recovery DCW →NIS2-Readiness ist kein Projekt, das man einmal abschließt. Sie ist ein fortlaufender Prozess - technisch und organisatorisch. In einer kostenlosen Erstberatung analysieren wir, wo Sie heute stehen und welche Infrastrukturmaßnahmen den größten Hebel bieten.
Quellen und rechtliche Einordnung
Dieser Artikel fasst öffentlich verfügbare Informationen zur NIS2-Registrierung zusammen und übersetzt sie in operative Vorbereitungsschritte. Er ersetzt keine Rechtsberatung zur Betroffenheit, Fristberechnung oder Haftung.
Häufige Fragen zur NIS2-Registrierung
Was passiert wenn ich mich nicht beim BSI registriere?
Wenn ein betroffenes Unternehmen seine Pflichten nicht erfüllt, können je nach Kategorie und Einzelfall empfindliche Sanktionen drohen. NIS2 sieht außerdem vor, dass Leitungsorgane Cybersicherheitsmaßnahmen billigen und deren Umsetzung überwachen. Die konkrete rechtliche Bewertung sollte individuell geprüft werden.
Wie lange dauert die NIS2-Registrierung?
Die technische Registrierung im BSI-Portal kann schnell erledigt sein. Der größere Aufwand liegt in der vorbereitenden Betroffenheitsprüfung, der internen Klärung von Zuständigkeiten und der Benennung einer erreichbaren Kontaktstelle. Realistisch sollten Unternehmen mehrere Wochen für die vollständige Vorbereitung einplanen.
Muss sich jedes Unternehmen bei NIS2 registrieren?
Nein. Entscheidend sind Sektor, Größe und Rolle des Unternehmens. Typischerweise relevant sind Unternehmen ab 50 Mitarbeitenden beziehungsweise ab 10 Mio. EUR Jahresumsatz oder Bilanzsumme in regulierten Sektoren. Sonderfälle und kritische Rollen in der Versorgungskette sollten gesondert geprüft werden.
Was kostet die NIS2-Umsetzung?
Die Kosten variieren stark nach Unternehmensgröße, bestehender IT-Sicherheitsreife und Kritikalität der Systeme. In der Praxis entstehen Aufwände für Betroffenheitsprüfung, Dokumentation, Prozesse, Monitoring, Backup, Wiederherstellung und technische Härtung. Ohne Bestandsaufnahme wäre jede Zahl nur eine grobe Schätzung.
Ist Ihre Infrastruktur NIS2-ready?
In einer kostenlosen Erstberatung prüfen wir nicht die Rechtslage, sondern die technische Readiness: Verfügbarkeit, Monitoring, Wiederherstellung, kritische Systeme und nächste Maßnahmen.
+49 30 802020990