NIS-2 in Kraft – wie Unternehmen jetzt rechtssicher handeln

NIS-2 Handlungsbedarf: Was Unternehmen jetzt zu Registrierung und Meldepflichten wissen müssen

Mit dem 6. Dezember 2025 ist das deutsche Gesetz zur Umsetzung der NIS-2-Richtlinie in Kraft getreten. Damit gelten die europaweit einheitlichen und deutlich verschärften Anforderungen an die Cyber- und Informationssicherheit nun verbindlich auch für Unternehmen in Deutschland. Für viele Gesellschaften entsteht dadurch akuter Handlungsbedarf. Insbesondere die Registrierungspflichten beim BSI, die sofort geltende Meldepflicht für Sicherheitsvorfälle sowie der Aufbau eines nachhaltigen NIS-2-konformen Sicherheitsmanagements stehen jetzt im Fokus.

Wichtige Meldepflichten für Unternehmen

Die Registrierung für betroffenen Unternehmen muss bis spätestens 06. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) eigegangen sein.

Das BSI-Meldeportal steht ab dem 6. Januar 2026 zur Verfügung.

Die Meldepflicht bei Sicherheitsvorfällen gilt bereits jetzt: Unabhängig vom Stand der Registrierung gilt seit dem 6. Dezember 2025 die Pflicht, erhebliche Sicherheitsvorfälle unverzüglich zu melden. Unternehmen dürfen nicht abwarten, bis das BSI-Portal verfügbar oder die Registrierung abgeschlossen ist.

Für den Übergangszeitraum bis zum 5. Januar 2026 gelten folgende Regelungen:

• Bereits bestehende KRITIS-Unternehmen nutzen weiterhin die bekannten Meldewege.
• Neu betroffene Unternehmen melden erhebliche Sicherheitsvorfälle über ein vom BSI bereitgestelltes temporäres Online-Formular.
• Ab dem 6. Januar 2026 erfolgt die Meldung zentral über das BSI-Meldeportal.

Unternehmen sollten daher bereits jetzt ihre Prozesse zur Erkennung, Bewertung und Eskalation von Sicherheitsvorfällen überprüfen und interne Meldewege klar regeln. Welche Schritte dazu notwendig sind, beschreibt die folgende Anleitung.

Schritt 1: Betroffenheit prüfen und Rechtssicherheit schaffen

Ob ein Unternehmen betroffen ist, hängt insbesondere von Branche, Unternehmensgröße und Art der erbrachten Dienstleistungen ab. Betroffen sind unter anderem Unternehmen aus den Bereichen Energie, Gesundheit, Verkehr, Wasser, digitale Infrastruktur, IT-Dienstleistungen, produzierende Industrie sowie zahlreiche digitale Dienste. Die Betroffenheit muss aktiv vom Unternehmen geprüft werden; sie wird nicht automatisch durch das BSI festgestellt oder mitgeteilt.

Der erste und wichtigste Schritt ist daher eine strukturierte Betroffenheitsprüfung. Unternehmen müssen klären, ob sie unter NIS-2 fallen und – falls ja – in welche Kategorie sie einzuordnen sind. Diese Einordnung ist entscheidend, da sich daraus Umfang und Tiefe der Anforderungen ableiten.

Eine saubere Betroffenheitsanalyse schafft nicht nur rechtliche Klarheit, sondern ist auch die Grundlage für alle weiteren Maßnahmen. Sie sollte nachvollziehbar dokumentiert werden, da sie im Zweifel gegenüber Aufsichtsbehörden begründet werden muss. Unternehmen, die hier unsicher sind, sollten frühzeitig fachliche Unterstützung einholen, um Fehlentscheidungen und spätere Korrekturen zu vermeiden.

>>> Jetzt Betroffenheitsprüfung anfragen

Schritt 2: Registrierungspflicht beim BSI – Frist bis 6. März 2026

Unternehmen, die unter NIS-2 fallen, sind verpflichtet, sich innerhalb von drei Monaten nach Inkrafttreten, also spätestens bis zum 6. März 2026, beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Diese Registrierung ist kein formaler Selbstzweck, sondern Voraussetzung für die Kommunikation mit dem BSI, insbesondere für die Meldung von Sicherheitsvorfällen.

Die Registrierung erfolgt technisch über das BSI-Meldeportal, das allerdings erst ab dem 6. Januar 2026 zur Verfügung steht. Voraussetzung für den Zugang zum Portal ist ein zuvor eingerichtetes Unternehmenskonto („Mein Unternehmenskonto“) auf ELSTER-Basis.

In der Praxis bedeutet das: Auch wenn das BSI-Portal erst im Januar freigeschaltet wird, müssen Unternehmen bereits jetzt mit den vorbereitenden Schritten beginnen, da insbesondere die Erstellung und Freischaltung der ELSTER-Zertifikate mehrere Tage in Anspruch nimmt.

Das Anmeldeverfahren der NIS-2-Registrierung

Für betroffene Unternehmen ist die Registrierung beim BSI verpflichtend. Um Verzögerungen zu vermeiden, sollte das Anmeldeverfahren frühzeitig und strukturiert gestartet werden. In der Praxis hat sich folgendes Vorgehen bewährt:

1. Zentrales NIS-2-Team festlegen

Zunächst sollte ein internes Kernteam benannt werden, das künftig alle Themen rund um NIS-2 verantwortet. Dazu zählen insbesondere Registrierung, Kommunikation mit dem BSI, Meldeprozesse sowie die Koordination von Compliance-Maßnahmen. Typischerweise sind hier IT-Sicherheit, Compliance und Risikomanagement eingebunden. Diese organisatorische Klärung sollte möglichst sofort erfolgen.

2. Unternehmenskonto („Mein Unternehmenskonto“) einrichten

Im nächsten Schritt wird über die Plattform Mein Unternehmenskonto eine ELSTER-basierte Unternehmens-ID beantragt. Die Identifizierung erfolgt aktuell über eine Kombination aus E-Mail und Aktivierungsbrief per Post. Die Zustellung des Briefs dauert in der Regel fünf bis zehn Werktage, bei hoher Auslastung gegebenenfalls länger. Alternative, rein digitale Identifikationsfahren, die den Prozess beschleunigen können, sind aktuell nicht umgesetzt.

3. Unternehmenskonto freischalten

Erst nach Eingabe des per Post erhaltenen Aktivierungscodes ist das Unternehmenskonto vollständig nutzbar. Ab diesem Zeitpunkt können weitere Nutzer angelegt und Berechtigungen vergeben werden.

4. Personengebundene Zertifikate für Teammitglieder erstellen

Für zusätzliche Personen, die später mit dem BSI-Meldeportal arbeiten soll, müssen weitere personenbezogenes ELSTER-Zertifikate beantragt werden. Wichtig: Diese Zertifikate sind ausschließlich für die Nutzung im Rahmen von „Mein Unternehmenskonto“ und dem BSI-Portal vorgesehen. Bestehende private ELSTER-Zertifikate, etwa aus der Steuererklärung, können hierfür nicht verwendet werden.

5. Registrierung im BSI-Meldeportal abschließen

Sobald das BSI-Meldeportal am 6. Januar 2026 freigeschaltet wird, erfolgt die eigentliche Registrierung beim BSI mithilfe der Unternehmens-ID und der zuvor erstellten Zertifikate. Idealerweise haben Sie zu diesem Zeitpunkt bereits alle organisatorischen und technischen Voraussetzungen erfüllt, um die Frist zum 6. März 2026 nicht zu gefährden.

Schritt 3: NIS-2-Compliance herstellen

Die fristgerechte Anmeldung beim BSI ist lediglich der formale Einstieg in die NIS-2-Compliance. Darüber hinaus verlangt die Richtlinie ein wirksames Risikomanagement, klar definierte Verantwortlichkeiten auf Management-Ebene sowie geeignete technische und organisatorische Sicherheitsmaßnahmen.

Ein strukturierter Einstieg gelingt beispielsweise über einen NIS-2-Management-Workshop, der das notwendige Wissen für den Start, sowie Transparenz über den aktuellen Reifegrad schafft. Die integrierte Red-Flag-Analyse identifiziert kritische Handlungsfelder, die anschließend in einen priorisiereten und in realistischen Umsetzungsfahrplan überführt werden können – als Grundlage für nachhaltige Compliance und erhöhte Cyber-Resilienz.

>>> Jetzt NIS-2-Beratung anfragen

Fazit: Jetzt handeln, um Risiken und Zeitdruck zu vermeiden

NIS-2 ist in Kraft – und damit keine Zukunftsvision mehr, sondern gelebte Pflicht. Unternehmen sollten jetzt ihre Betroffenheit prüfen, die Registrierung vorbereiten und interne Strukturen schaffen, um Melde- und Sicherheitsanforderungen zuverlässig zu erfüllen. Wer frühzeitig startet, vermeidet unnötigen Zeitdruck, reduziert Compliance-Risiken und nutzt NIS-2 als Chance, die eigene Cyber-Resilienz nachhaltig zu stärken.