Seit dem 6. Dezember 2025 gilt die europäische NIS-2-Richtlinie auch in Deutschland. Das BSI sollte laut Gesetzgeber eine Melde- und Informationsportal zum Melden IT-sicherheitsrelevanter Ereignisse bereitstellen. Dieser Pflicht ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) jetzt nachgekommen.
Wofür steht NIS-2?
NIS steht für steht für Network and Information Security. Die NIS-2-Richtlinie der Europäischen Union legt verbindliche Cyber Security-Mindeststandards für Betreiber kritischer Infrastrukturen (KRITIS) fest. Ziel der Richtlinie ist die Stärkung von Risiko- und Sicherheitsvorfallmanagement und der Zusammenarbeit.
NIS-2 bildet die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren, die unter die Richtlinie fallen. Dazu gehören etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur. NIS-2 ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die bereits 2022 beschlossen und im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht wurde.
Deutschland ist spät dran
Deutschland hatte den Umsetzungstermin Oktober 2024 deutlich gerissen und die EU NIS-2-Richtlinie erst im November 2025 beschlossen. Zum 6. Dezember 2025 trat das betreffende nationale Gesetz in Kraft (siehe Ab heute, 6. Dez. 2025, gilt die NIS-2-Richtlinie in Deutschland).
Einen Monat später, zum 6. Januar 2026 meldete das BSI, dass im zweiten Schritt das BSI-Portal zur NIS-2-Registrierung freigeschaltet wurde. Denn seit Inkrafttreten des NIS-2-Umsetzungsgesetzes gelten für rund 29.500 Unternehmen in Deutschland und Institutionen der Bundesverwaltung neue gesetzliche Pflichten in der IT-Sicherheit. Sie müssen sich unter anderem als NIS-2-Einrichtungen registrieren und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erhebliche Sicherheitsvorfälle melden.
BSI-Portal auf Basis der AWS-Cloud verfügbar
Der dafür vorgesehene Registrierungsprozess ist zweistufig: Zunächst muss eine Anmeldung beim digitalen Dienst Mein Unternehmenskonto (MUK) erfolgen. Über "Mein Unternehmenskonto" haben Firmen und Organisationen die Möglichkeit, digitale Verwaltungsleistungen verschiedenster Behörden über einen deutschlandweit einheitlichen Zugang zu nutzen. Die Authentifizierung erfolgt wohl mit dem Elster-Zertifikaten (siehe Infoseite).
Im Anschluss ist dann eine Registrierung im neu entwickelten BSI-Portal erforderlich, die nun auch wirklich zur Verfügung steht. So im Sinne einer digitalen Souveränität, die das BSI natürlich anstrebt, hat man dieses BSI-Portal solide auf auf einer Cloud-Infrastruktur von Amazon Web Services und wird sukzessiv zu einer Informations- und Austauschplattform mit Echtzeit-Daten und aktuellen Analysen für schnelle Reaktionsmöglichkeiten ausgebaut.
Sofern die Cloud dann nicht abgeknipst wurde, soll das BSI-Portal dazu beitragen, Cybergefahren zu erkennen, bevor sie Schaden anrichten. Im BSI-Portal erhalten registrierte Unternehmen und Institutionen Informationen zu den gesetzlichen Pflichten, die für sie mit dem BSI-Gesetz einhergehen. So müssen Unternehmen, die unter die Regulierung fallen, eine Risikoanalyse durchführen, um anschließend angemessene Risikomanagementmaßnahmen umsetzen und dokumentieren zu können. Hierfür bietet das Portal gebündelte Informationen und Hilfestellungen.
BSI-Portal mit IT-Sicherheitsmeldungen
Im BSI-Portal werden zudem die Tageslageberichte und IT-Sicherheitsmitteilungen des BSI bereitgestellt. Auch Schwachstellen und Sicherheitslücken können dem BSI über das Portal gemeldet werden – dies ist auch anonym und ohne Registrierung möglich.
Darüber hinaus können sich interessierte Unternehmen und Institutionen über das BSI-Portal der Allianz für Cyber-Sicherheit (ACS) anschließen. Das IT-Sicherheits-Netzwerk unter dem Dach des BSI bietet seinen derzeit knapp 9.000 Mitgliedern vielfältige Formate zum Wissens- und Erfahrungsaustausch. Die Mitgliedschaft in der ACS ist kostenlos.
Auch in der Unabhängigen Partnerschaft KRITIS (UP KRITIS) arbeiten Wirtschaft und staatliche Stellen in zahlreichen Arbeitsgruppen zu Cybersicherheit und physischer Sicherheit zusammen. In der UP KRITIS können sich ab sofort Vertreterinnen und Vertreter der meisten unter die NIS-2-Richtlinie fallenden Einrichtungen engagieren.
Auf seiner Website stellt das BSI ein NIS-2-Starterpaket mit Klick-Anleitungen für die Registrierung und Meldung im BSI-Portal bereit. Darüber hinaus informiert das BSI unter dem Motto #nis2know am 8. und 20. Januar sowie 3. Februar in Kick-off-Webinaren zum neuen Cybersicherheitsgesetz – u. a. mit einer Demonstration des BSI-Portals sowie einer Anleitung zur NIS-2-Betroffenheitsprüfung. Interessierte können sich über ein Online-Formular zu den Webinaren anmelden.
MVP: 2013 – 2016
Betr. "Denn seit Inkrafttreten des NIS-2-Umsetzungsgesetzes gelten für rund 29.500 Unternehmen in Deutschland und Institutionen der Bundesverwaltung neue gesetzliche Pflichten in der IT-Sicherheit.":
Mir klingeln die Ohren. Woher jetzt plötzlich die auf Hundert gerundete, dezidierte Zahl? Nach monatelangem branchenweitem Rätselraten (1) über einen Kriterienkatalog und dessen Auslegung gibt es nun immerhin eine Betroffenheitsprüfung (2) – die aber gleich wieder relativiert (3) wird.
Warum nicht gleich beim Pförter anrufen und fragen ob man sich auf dieser 29500 Einträge zählenden Liste befindet? Jede Wette: Wenn statt des BSI die Finanzämter in der Verantwortung stünden, würde der Hase anders laufen.
_
(1) https://www.heise.de/forum/heise-online/Kommentare/NIS2-Aktueller-Referentenentwurf-geleakt/NIS2-ich-weiss-das-ich-nichts-weiss/posting-45282191/show/
(2) https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html
(3) " … Ergebnis nicht rechtlich bindend ist. Die NIS-2-Betroffenheitsprüfung ersetzt die Prüfung zur Selbst-Identifizierung nicht und hat für eventuelle Verfahren keine Indizwirkung."
Das ist die Antwort von unserem Berater bezüglich NIS2
…Nach aktuellem Stand und unter Berücksichtigung Ihres NACE-Codes 25 ("Herstellung von Metallerzeugnissen") können wir Ihre Einschätzung nachvollziehen und teilen: Ihr Unternehmen fällt derzeit vermutlich nicht direkt unter die NIS2-Regulierung (bitte beachten Sie, dass diese Einschätzung keine Rechtsberatung darstellt). Anbei nochmal das am 06.12.2025 verabschiedete Gesetz zur Selbstprüfung.
Bitte beachten Sie, dass eine mittelbare Betroffenheit möglich ist, falls Ihre Kunden oder Lieferanten selbst NIS2-pflichtig sind und entsprechende Anforderungen an Sie weitergeben. Gerade vor diesem Hintergrund empfehlen wir Ihnen ausdrücklich, ein schlankes Informationssicherheits-Managementsystem (ISMS) einzuführen oder bestehende Maßnahmen zu überprüfen. So sind Sie optimal auf Anforderungen aus der Lieferkette vorbereitet…
Wie bekomme ich denn jetzt mit, ob ich mein Unternehmen registrieren muss oder nicht?
Im Artikel steht, dass sich jedes betroffene Unternehmen registrieren MUSS. Eine Aufforderung des BSI wird aber wohl kaum an die betroffenen Unternehmen versendet werden.
Meine Sichtweise: Prüfung, ob betroffenen. Nein: Keine Registrierung. Ja, oder vielleicht: Registrierung
Du musst den NACE-Code von deinem Unternehmen prüfen. Dies ist zumindest ein Hinweis.
https://nacecode.de/
Und hier:
https://www.openkritis.de/it-sicherheitsgesetz/sektor_verarbeitendes_gewerbe-industrie-produktion.html
Tja, das musst du selbst herausfinden. Und mach es gründlich: Wenn du dich zu Unrecht als "betroffen" einstufst, machst du dir viel unnötige (?) Arbeit – wenn du dich zu Unrecht als "nicht betroffen" einstufst und dementsprechend nicht handelst, verstößt du ggf. gegen geltendes Recht…
Wir haben es da (leider / zum Glück) einfach – wir fallen als mittleres Unternehmen in einem "Anlage2-Sektor" definitiv unter NIS2.
Das BSI hat eine NIS-2-Betroffenheitsprüfung. Diese ist aber nur zur Orientierung.
https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html
Das BSI ist auch "etwas speziell".
Unter dem gennanten Link gibt es ein Video. Bevor man es abspielt kann man dort lesen: "#nis2know" und darüber ein Hund der wie aus einem Kinderbuch aussieht.
Wer denkt sich so etwas aus und findet "Das ist lustig und gleichzeitig höchst seriös".