NIS-2: Registrierungspflicht bis zum 6. März 2026 – Jetzt handeln!
Update Datenschutz Nr. 234
Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 (wir berichteten hier und hier) sind zahlreiche Unternehmen verpflichtet, sich bis zum 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Unternehmen müssen selbst prüfen, ob Sie betroffen sind – das BSI nimmt keine automatische Prüfung vor.
Betroffene Unternehmen müssen neben der Registrierung bis zum 6. März 2026, bereits seit dem 6. Dezember 2025 angemessene technische und organisatorische Maßnahmen (TOM) zur Gewährleistung von Verfügbarkeit, Integrität und Vertraulichkeit der Netzwerk- und IT-Infrastruktur ergreifen und erhebliche Sicherheitsvorfälle binnen 24 Stunden melden. Die wesentlichen Regelungen sind im novellierten Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG) enthalten.
Insgesamt sind fast 30.000 Unternehmen und Institutionen der Bundesverwaltung in Deutschland betroffen.
Verstöße können mit Bußgeldern von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes sanktioniert werden.
Betroffene Sektoren – Auch kleinere Unternehmen können betroffen sein
Der Kreis der erfassten Branchen ist erheblich erweitert worden. Neben den traditionellen Sektoren der kritischen Infrastruktur – insbesondere Energie, Verkehr, Finanzwesen, Gesundheit, Wasser und Raumfahrt – unterfallen jetzt weitere Wirtschaftsbereiche der Registrierungspflicht. Dazu zählen etwa Post- und Kurierdienste, die Abfallwirtschaft, die chemische Industrie, die Lebensmittelproduktion sowie bestimmte Forschungsorganisationen. Auch Hersteller kritischer Produkte fallen darunter, beispielsweise aus der Medizintechnik, der Computer- und Elektronikproduktion, dem Maschinenbau sowie dem Fahrzeugbau. Hinzu kommen zentrale digitale Dienste wie Cloud-Computing-Dienste, Rechenzentren, Managed Service Provider (MSP), Managed Security Service Provider (MSSP), Online-Marktplätze, Online-Suchmaschinen und Soziale Netzwerke.
Die Registrierungspflicht gilt grundsätzlich für Unternehmen der eben genannten Branchen, die folgende Schwellenwerte erreichen:
- mindestens 50 Mitarbeiter und ein Jahresumsatz oder eine Jahresbilanzsumme von jeweils 10 Millionen Euro („wichtige Einrichtungen“)
- mindestens 250 Mitarbeiter oder ein Jahresumsatz von über 50 Mio. Euro und eine Jahresbilanzsumme von über 43 Millionen Euro („besonders wichtige Einrichtungen“).
Dabei sind verbundene Unternehmen grundsätzlich einzubeziehen, was insbesondere im Rahmen von Holdingstrukturen zu beachten ist.
Bestimmte Unternehmen müssen sich zudem unabhängig von ihrer Größe registrieren. Dies betrifft insbesondere Anbieter öffentlicher Telekommunikationsnetze, DNS-Resolver, TLD-Registries sowie Vertrauensdiensteanbieter nach der eIDAS-Verordnung. Die Registrierungspflicht gilt ferner für Betreiber kritischer Anlagen im Sinne der Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz (BSI-KritisV).
Persönliche Verantwortung der Geschäftsleitung
Die Geschäftsleitung ist für die Umsetzung und Überwachung geeigneter TOM verantwortlich. Werden diese Pflichten verletzt, droht eine persönliche Haftung. Die Organverantwortung für IT- und Cyber-Sicherheitsmaßnahmen liegt damit unmittelbar bei Vorstand und Geschäftsführung.
ToDo – Nächste Schritte
Prüfen Sie zeitnah, ob Ihr Unternehmen betroffen ist. Dabei ist zu beachten, dass ein Unternehmensverbund grundsätzlich insgesamt zu betrachten ist.
Die Registrierung betroffener Unternehmen erfolgt über das BSI-Portal: Login | BSI-Portal, dort müssen auch Sicherheitsvorfälle gemeldet werden. Um sich registrieren zu können, benötigen Unternehmen Zugangsdaten für „Mein Unternehmenskonto“ (MUK). Um diese zu erhalten, müssen Unternehmen zunächst ein ELSTER-Organisationszertifikat beantragen: ELSTER. Für die Beantragung des Zertifikats ist unter anderem eine deutsche Steuernummer erforderlich. Da der gesamte Prozess einige Zeit in Anspruch nehmen kann, sollten betroffene Unternehmen zeitnah tätig werden.
Die Betroffenheitsprüfung und fristgerechte Registrierung beim BSI, sowie die Umsetzung der notwendigen Sicherheitsmaßnahmen sollten höchste Priorität haben. Damit erfüllen Unternehmen nicht nur ihre Compliance-Pflichten bzgl. IT- und Cybersicherheit, sie können auch ihr Risiko durch Cyber-Angriffe erhebliche Verluste zu erleiden, deutlich reduzieren.
Wir unterstützen Sie gerne bei der Betroffenenanalyse, der Registrierung sowie der Umsetzung der Vorgaben des BSIG, wie der Einführung und Umsetzung angemessener Sicherheits- und Risikomanagementmaßnahmen.
