Mit dem 6. Dezember 2025 ist das deutsche Gesetz zur Umsetzung der NIS-2-Richtlinie in Kraft getreten. Damit gelten die europaweit einheitlichen und deutlich verschärften Anforderungen an die Cyber- und Informationssicherheit nun verbindlich auch für Unternehmen in Deutschland. Für viele Gesellschaften entsteht dadurch akuter Handlungsbedarf. Insbesondere die Registrierungspflichten beim BSI, die sofort geltende Meldepflicht für Sicherheitsvorfälle sowie der Aufbau eines nachhaltigen NIS-2-konformen Sicherheitsmanagements stehen jetzt im Fokus.
Die Registrierung für betroffenen Unternehmen muss bis spätestens 06. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) eigegangen sein.
Das BSI-Meldeportal steht ab dem 6. Januar 2026 zur Verfügung.
Die Meldepflicht bei Sicherheitsvorfällen gilt bereits jetzt: Unabhängig vom Stand der Registrierung gilt seit dem 6. Dezember 2025 die Pflicht, erhebliche Sicherheitsvorfälle unverzüglich zu melden. Unternehmen dürfen nicht abwarten, bis das BSI-Portal verfügbar oder die Registrierung abgeschlossen ist.
Für den Übergangszeitraum bis zum 5. Januar 2026 gelten folgende Regelungen:
Unternehmen sollten daher bereits jetzt ihre Prozesse zur Erkennung, Bewertung und Eskalation von Sicherheitsvorfällen überprüfen und interne Meldewege klar regeln. Welche Schritte dazu notwendig sind, beschreibt die folgende Anleitung.
Ob ein Unternehmen betroffen ist, hängt insbesondere von Branche, Unternehmensgröße und Art der erbrachten Dienstleistungen ab. Betroffen sind unter anderem Unternehmen aus den Bereichen Energie, Gesundheit, Verkehr, Wasser, digitale Infrastruktur, IT-Dienstleistungen, produzierende Industrie sowie zahlreiche digitale Dienste. Die Betroffenheit muss aktiv vom Unternehmen geprüft werden; sie wird nicht automatisch durch das BSI festgestellt oder mitgeteilt.
Der erste und wichtigste Schritt ist daher eine strukturierte Betroffenheitsprüfung. Unternehmen müssen klären, ob sie unter NIS-2 fallen und – falls ja – in welche Kategorie sie einzuordnen sind. Diese Einordnung ist entscheidend, da sich daraus Umfang und Tiefe der Anforderungen ableiten.
Eine saubere Betroffenheitsanalyse schafft nicht nur rechtliche Klarheit, sondern ist auch die Grundlage für alle weiteren Maßnahmen. Sie sollte nachvollziehbar dokumentiert werden, da sie im Zweifel gegenüber Aufsichtsbehörden begründet werden muss. Unternehmen, die hier unsicher sind, sollten frühzeitig fachliche Unterstützung einholen, um Fehlentscheidungen und spätere Korrekturen zu vermeiden.
>>> Jetzt Betroffenheitsprüfung anfragen
Unternehmen, die unter NIS-2 fallen, sind verpflichtet, sich innerhalb von drei Monaten nach Inkrafttreten, also spätestens bis zum 6. März 2026, beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Diese Registrierung ist kein formaler Selbstzweck, sondern Voraussetzung für die Kommunikation mit dem BSI, insbesondere für die Meldung von Sicherheitsvorfällen.
Die Registrierung erfolgt technisch über das BSI-Meldeportal, das allerdings erst ab dem 6. Januar 2026 zur Verfügung steht. Voraussetzung für den Zugang zum Portal ist ein zuvor eingerichtetes Unternehmenskonto („Mein Unternehmenskonto“) auf ELSTER-Basis.
In der Praxis bedeutet das: Auch wenn das BSI-Portal erst im Januar freigeschaltet wird, müssen Unternehmen bereits jetzt mit den vorbereitenden Schritten beginnen, da insbesondere die Erstellung und Freischaltung der ELSTER-Zertifikate mehrere Tage in Anspruch nimmt.
Für betroffene Unternehmen ist die Registrierung beim BSI verpflichtend. Um Verzögerungen zu vermeiden, sollte das Anmeldeverfahren frühzeitig und strukturiert gestartet werden. In der Praxis hat sich folgendes Vorgehen bewährt:
1. Zentrales NIS-2-Team festlegen
Zunächst sollte ein internes Kernteam benannt werden, das künftig alle Themen rund um NIS-2 verantwortet. Dazu zählen insbesondere Registrierung, Kommunikation mit dem BSI, Meldeprozesse sowie die Koordination von Compliance-Maßnahmen. Typischerweise sind hier IT-Sicherheit, Compliance und Risikomanagement eingebunden. Diese organisatorische Klärung sollte möglichst sofort erfolgen.
2. Unternehmenskonto („Mein Unternehmenskonto“) einrichten
Im nächsten Schritt wird über die Plattform Mein Unternehmenskonto eine ELSTER-basierte Unternehmens-ID beantragt. Die Identifizierung erfolgt aktuell über eine Kombination aus E-Mail und Aktivierungsbrief per Post. Die Zustellung des Briefs dauert in der Regel fünf bis zehn Werktage, bei hoher Auslastung gegebenenfalls länger. Alternative, rein digitale Identifikationsfahren, die den Prozess beschleunigen können, sind aktuell nicht umgesetzt.
3. Unternehmenskonto freischalten
Erst nach Eingabe des per Post erhaltenen Aktivierungscodes ist das Unternehmenskonto vollständig nutzbar. Ab diesem Zeitpunkt können weitere Nutzer angelegt und Berechtigungen vergeben werden.
4. Personengebundene Zertifikate für Teammitglieder erstellen
Für zusätzliche Personen, die später mit dem BSI-Meldeportal arbeiten soll, müssen weitere personenbezogenes ELSTER-Zertifikate beantragt werden. Wichtig: Diese Zertifikate sind ausschließlich für die Nutzung im Rahmen von „Mein Unternehmenskonto“ und dem BSI-Portal vorgesehen. Bestehende private ELSTER-Zertifikate, etwa aus der Steuererklärung, können hierfür nicht verwendet werden.
5. Registrierung im BSI-Meldeportal abschließen
Sobald das BSI-Meldeportal am 6. Januar 2026 freigeschaltet wird, erfolgt die eigentliche Registrierung beim BSI mithilfe der Unternehmens-ID und der zuvor erstellten Zertifikate. Idealerweise haben Sie zu diesem Zeitpunkt bereits alle organisatorischen und technischen Voraussetzungen erfüllt, um die Frist zum 6. März 2026 nicht zu gefährden.
Die fristgerechte Anmeldung beim BSI ist lediglich der formale Einstieg in die NIS-2-Compliance. Darüber hinaus verlangt die Richtlinie ein wirksames Risikomanagement, klar definierte Verantwortlichkeiten auf Management-Ebene sowie geeignete technische und organisatorische Sicherheitsmaßnahmen.
Ein strukturierter Einstieg gelingt beispielsweise über einen NIS-2-Management-Workshop, der das notwendige Wissen für den Start, sowie Transparenz über den aktuellen Reifegrad schafft. Die integrierte Red-Flag-Analyse identifiziert kritische Handlungsfelder, die anschließend in einen priorisiereten und in realistischen Umsetzungsfahrplan überführt werden können – als Grundlage für nachhaltige Compliance und erhöhte Cyber-Resilienz.
>>> Jetzt NIS-2-Beratung anfragen
NIS-2 ist in Kraft – und damit keine Zukunftsvision mehr, sondern gelebte Pflicht. Unternehmen sollten jetzt ihre Betroffenheit prüfen, die Registrierung vorbereiten und interne Strukturen schaffen, um Melde- und Sicherheitsanforderungen zuverlässig zu erfüllen. Wer frühzeitig startet, vermeidet unnötigen Zeitdruck, reduziert Compliance-Risiken und nutzt NIS-2 als Chance, die eigene Cyber-Resilienz nachhaltig zu stärken.
In der neuen Folge des syracom-Podcasts „Security first – Kaffee zweitens“ dreht sich alles um ein Thema, das derzeit tausende Unternehmen vor große Herausforderungen stellt: NIS-2. Die EU-Richtlinie zur Erhöhung der Cybersicherheit löst nicht nur die bisherige NIS-1-Regulierung ab, sondern verschärft die Anforderungen in nahezu allen Bereichen. Genau das nehmen Marius Dreixler und Tino Müller von syracom gemeinsam mit ihrem Gast Andreas Grau von Consileon kritisch unter die Lupe.
Unter dem Titel „NIS-2: Pflicht, Panik, Paragraphen – Was die EU-Richtlinie wirklich bedeutet“ bietet die Folge einen praxisnahen Überblick: Was ändert sich konkret? Wen betrifft die neue Regulierung? Und welche organisatorischen, technischen und rechtlichen Schritte müssen Unternehmen jetzt einleiten, um rechtzeitig compliant zu sein?
Während NIS-1 vor allem klassische KRITIS-Betreiber adressierte, erweitert NIS-2 den Anwendungsbereich erheblich. Neu im Fokus stehen sogenannte „wichtige“ und „besonders wichtige“ Einrichtungen – darunter Unternehmen, die keine kritischen Anlagen betreiben, aber dennoch essenziell für Wirtschaft und Gesellschaft sind. In Deutschland betrifft dies bis zu 30.000 Organisationen, die sich erstmals systematisch mit Cybersicherheits- und Compliance-Auflagen auseinandersetzen müssen.
Für Compliance-Verantwortliche, Risk Manager und CISOs steigt damit der Druck: Risikomanagement, Governance, Dokumentationspflichten und Meldewege müssen neu bewertet und teilweise komplett neu aufgebaut werden. Zudem werden die Geschäftsleitungen stärker in die Verantwortung genommen, und die Sanktionen bei Verstößen fallen deutlich härter aus als bisher.
• Was regelt NIS-2 konkret und worin unterscheidet sich die Richtlinie von NIS-1?
• Welche Unternehmen fallen unter den neuen Anwendungsbereich?
• Welche Pflichten resultieren daraus für Geschäftsleitung, IT, Risk Management und Compliance?
• Was sind die wichtigsten ersten Schritte auf dem Weg zur Umsetzung?
• Welche Chancen ergeben sich aus den strengeren Standards für Cyberresilienz, Geschäftskontinuität und Sicherheitskultur?
Die Podcastfolge eignet sich sowohl für Einsteiger als auch für Fachverantwortliche, die tiefer in Governance, Risk und Compliance eintauchen wollen.
Die Integration der NIS-2-Vorgaben in gewachsene IT- und Prozesslandschaften ist komplex. Alte Systeme, fehlende Dokumentation und organisatorische Silos erschweren die Umsetzung erheblich. NIS-2 verlangt zudem deutlich mehr als nur technische Maßnahmen. Prozesse müssen nachvollziehbar beschrieben, Kontrollen sauber dokumentiert und regelmäßige Aktualisierungen sichergestellt werden – eine Herausforderung, die nur mit enger Zusammenarbeit zwischen IT, Compliance, Risiko und Fachbereichen zu bewältigen ist.
Genau an dieser Stelle setzt Consileon an: Mit strukturierten Roadmaps, KI-gestützter Dokumentenanalyse und Best Practices aus zahlreichen Projekten unterstützen wir Unternehmen dabei, NIS-2 nicht nur formal, sondern strategisch sinnvoll umzusetzen.
Wir unterstützen Sie dabei, Ihre Betroffenheit korrekt einzuordnen, notwendige Maßnahmen zu priorisieren und eine effiziente, nachhaltige Sicherheitsstrategie aufzubauen. Sprechen Sie uns gerne an und klären Sie mit unseren Expertinnen und Experten, welche konkreten Schritte für Ihre Organisation jetzt relevant sind.
Seit Anfang 2023 ist die EU-Richtlinie NIS-2 in Kraft und soll noch 2025 in deutsches Recht umgesetzt werden. Damit löst sie die bisherige NIS-Richtlinie ab und erweitert den Kreis der betroffenen Unternehmen maßgeblich. Während bislang vorwiegend klassische Betreiber kritischer Infrastrukturen betroffen waren, sind mit NIS-2 plötzlich tausende weitere Unternehmen verpflichtet, ihre Informationssicherheit aufzurüsten. Auch die Sicherheitsanforderungen, Strafen und Meldepflichten wurden verschärft und die Geschäftsleitung wurde stärker in die Verantwortung gezogen.
Die Richtlinie geht nicht mit einer festen Liste an Maßnahmen einher, sondern definiert Schutzziele, die einzuhalten sind. Unternehmen müssen eine angemessene Risikobewertung durchführen und die relevanten Bereiche mit geeigneten Maßnahmen adressieren. Dazu gehören in der Regel:
Die Umsetzung mag komplex wirken, ist aber mit einer strukturierten Vorgehensweise und einer angemessenen Definition des Projektumfangs durchaus zu bewältigen. Wesentliche Fragen auf diesem Weg sind:
Consileon begleitet Sie auf diesem Weg und unterstützt Sie bei der Umsetzung der NIS-2-Anforderungen in praxisnahe Maßnahmen. Wichtig ist es, früh anzufangen, denn die Einführung erfordert Zeit, Ressourcen und die Absprache mit internen und externen Akteuren. Dann gelingt nicht nur die Compliance, sondern Ihr Unternehmen gewinnt auch nachhaltig an Widerstandsfähigkeit und kann sich als zuverlässiger und zukunftsorientierter Partner positionieren.