NIS2-Registrierung: Was Unternehmen bis 6. März tun müssen

Diesen Post teilen:

Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft — und die erste harte Frist rückt näher: Bis zum 6. März 2026 müssen sich betroffene Unternehmen beim BSI registrieren. Wer die Frist versäumt, riskiert Bußgelder und persönliche Haftung der Geschäftsführung. In diesem Ratgeber erklären wir, wer betroffen ist, wie die Registrierung funktioniert und welche Pflichten jetzt gelten.

TL;DR: Das NIS2-Umsetzungsgesetz betrifft rund 30.000 Unternehmen in Deutschland — deutlich mehr als viele annehmen. Bis zum 6. März 2026 ist die Registrierung beim BSI Pflicht. Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in 18 definierten Sektoren sollten jetzt prüfen, ob sie betroffen sind.

➡️ Sie möchten direkt wissen, ob Ihr Unternehmen betroffen ist? Kontaktieren Sie uns für eine unverbindliche NIS2-Ersteinschätzung.

Was ist das NIS2-Umsetzungsgesetz?

Die europäische NIS2-Richtlinie (Network and Information Security Directive 2) wurde in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Das Gesetz trat am 6. Dezember 2025 in Kraft und löst das bisherige IT-Sicherheitsgesetz 2.0 ab.

Der Kern: Deutlich mehr Unternehmen als bisher unterliegen nun verbindlichen Cybersicherheitspflichten. Während die alte Regelung nur rund 4.500 Betreiber kritischer Infrastrukturen betraf, fallen unter NIS2 schätzungsweise 29.500 bis 30.000 Unternehmen in Deutschland.

Für viele mittelständische Unternehmen bedeutet das: Was bisher freiwillig war, ist jetzt gesetzliche Pflicht.

Ist Ihr Unternehmen betroffen? Die NIS2-Betroffenheitsprüfung

Die Frage, ob ein Unternehmen unter NIS2 fällt, hängt von zwei Faktoren ab: Unternehmensgröße und Sektorzugehörigkeit.

Größenschwellen

Als betroffen gelten Unternehmen, die mindestens eine dieser Bedingungen erfüllen:

50 oder mehr Mitarbeiter
Jahresumsatz über 10 Mio. Euro
Jahresbilanzsumme über 10 Mio. Euro

Die 18 NIS2-Sektoren

NIS2 unterscheidet zwischen Sektoren hoher Kritikalität und sonstigen kritischen Sektoren:

Hohe Kritikalität (11 Sektoren):

Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
Transport und Verkehr
Bankwesen und Finanzmarktinfrastrukturen
Gesundheitswesen
Trink- und Abwasser
Digitale Infrastruktur (DNS, TLD, Cloud, Rechenzentren)
IKT-Dienstemanagement (B2B)
Öffentliche Verwaltung
Weltraum

Sonstige kritische Sektoren (7 Sektoren):

Post- und Kurierdienste
Abfallwirtschaft
Chemie
Lebensmittel
Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Fahrzeugbau)
Digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke)
Forschung

Warum viele Unternehmen ihre Betroffenheit unterschätzen

Wissen Sie, ob Ihr Unternehmen in einem dieser 18 Sektoren tätig ist? Die Zuordnung ist weniger eindeutig als sie klingt. Ein Maschinenbauunternehmen mit 60 Mitarbeitern fällt beispielsweise unter "Verarbeitendes Gewerbe" — und damit unter NIS2.

Eine VDMA-Analyse zeigt das Problem deutlich: Nur 24 % der befragten Maschinenbauer halten sich für betroffen. Tatsächlich dürften es rund 90 % sein. Die Diskrepanz entsteht, weil viele Unternehmen den Begriff "kritische Infrastruktur" zu eng auslegen.

Dieses Problem sehen wir auch bei den von uns betreuten Kunden in der Region Hannover: Die Betroffenheitsprüfung wird häufig unterschätzt, weil der eigene Sektor nicht als "kritisch" wahrgenommen wird. Dabei reicht bereits die Zugehörigkeit zum verarbeitenden Gewerbe oder zu digitalen Diensten.

Das BSI stellt eine Online-Betroffenheitsprüfung bereit, mit der Unternehmen anonym und unverbindlich ihre Einordnung prüfen können.

Zwischenfazit: Wenn Ihr Unternehmen 50+ Mitarbeiter hat oder 10+ Mio. Euro umsetzt und in einem der 18 Sektoren tätig ist, sollten Sie jetzt handeln. Die Registrierungsfrist endet am 6. März 2026.

Die Registrierung beim BSI: So funktioniert es

Seit dem 6. Januar 2026 ist das BSI-Portal für die NIS2-Registrierung freigeschaltet. Betroffene Unternehmen müssen sich dort bis spätestens 6. März 2026 registrieren.

Was Sie für die Registrierung brauchen

"Mein Unternehmenskonto" (MUK) — ein digitales Unternehmenskonto, das über ein ELSTER-Organisationszertifikat authentifiziert wird. Falls Ihr Unternehmen noch kein MUK besitzt, sollten Sie dieses sofort beantragen: Die Aktivierungsdaten kommen per E-Mail und Briefpost — der Postweg dauert mindestens 5 Werktage.
Angaben zum Unternehmen — Branche, Sektor-Zuordnung, Kontaktdaten und Angaben zur IT-Sicherheitsorganisation.
Benennung einer Kontaktstelle — eine erreichbare Stelle für die Kommunikation mit dem BSI bei Sicherheitsvorfällen.

Schritt-für-Schritt

ELSTER-Organisationszertifikat beantragen (falls nicht vorhanden)
"Mein Unternehmenskonto" (MUK) einrichten
Im BSI-Portal anmelden
Betroffenheitsprüfung durchführen
Registrierung abschließen und Kontaktstelle benennen

Zeitkritisch: Die Einrichtung des ELSTER-Zertifikats und des MUK-Kontos erfordert mindestens 5 Werktage Bearbeitungszeit (Postweg). Wer heute startet, hat noch ausreichend Puffer — aber Ende Februar wird es eng.

Welche Pflichten gelten ab sofort?

Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes am 6. Dezember 2025 gelten bereits jetzt konkrete Pflichten:

Meldepflicht bei Sicherheitsvorfällen

Erhebliche Sicherheitsvorfälle müssen dem BSI in einem dreistufigen Verfahren gemeldet werden:

Innerhalb von 24 Stunden: Erstmeldung (Frühwarnung)
Innerhalb von 72 Stunden: Ausführlicher Bericht mit erster Bewertung
Innerhalb eines Monats: Abschlussbericht mit Ursachenanalyse

Risikomanagement

Unternehmen müssen angemessene technische und organisatorische Maßnahmen umsetzen. Dazu gehören unter anderem:

Risikoanalyse und Sicherheitskonzepte
Vorfallsbewältigung (Incident Response)
Business Continuity und Krisenmanagement
Sicherheit in der Lieferkette
Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
Konzepte für Zugriffskontrolle und Verschlüsselung
Schulungen zur Cybersicherheit

Persönliche Haftung der Geschäftsführung

Ein Punkt, der besondere Aufmerksamkeit verdient: Nach § 38 BSIG haftet die Geschäftsführung persönlich für die Einhaltung der NIS2-Pflichten. Zudem besteht eine Pflicht zur Cybersicherheits-Schulung der Leitungsebene — mindestens alle drei Jahre. Das bedeutet konkret: Geschäftsführer müssen sich nachweislich zu Cybersicherheitsrisiken und deren Management fortbilden. Diese Haftung kann nicht delegiert werden.

Was passiert bei Verstößen? Die Sanktionen

Die Sanktionen bei NIS2-Verstößen sind empfindlich:

Wichtige Einrichtungen: Bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes
Besonders wichtige Einrichtungen: Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes

Hinzu kommt die bereits erwähnte persönliche Haftung. Im Vergleich zur DSGVO, an deren Bußgeldrahmen sich viele Unternehmen noch erinnern, bewegen sich die NIS2-Sanktionen in einer ähnlichen Größenordnung — mit dem Unterschied, dass die Geschäftsführung diesmal direkt in der Verantwortung steht.

So unterstützt EXT IT Sie

Als Managed Service Provider aus Hannover begleiten wir mittelständische Unternehmen bei der NIS2-Umsetzung — von der Betroffenheitsprüfung bis zur laufenden Compliance. Konkret unterstützen wir bei der Registrierung beim BSI, beim Aufbau eines Informationssicherheits-Managementsystems und bei der technischen Umsetzung der geforderten Maßnahmen.

Fazit

Die NIS2-Registrierungsfrist am 6. März 2026 ist nur noch wenige Wochen entfernt. Rund 30.000 Unternehmen in Deutschland müssen handeln — viele wissen noch nicht, dass sie betroffen sind. Wer jetzt die Betroffenheitsprüfung durchführt, das ELSTER-Zertifikat beantragt und die Registrierung beim BSI abschließt, ist auf der sicheren Seite. Die NIS2-Registrierung ist dabei nur der erste Schritt: Meldepflichten, Risikomanagement und Geschäftsführer-Schulungen gelten bereits jetzt.

Haben Sie Fragen zur NIS2-Registrierung? Kontaktieren Sie uns für ein unverbindliches Erstgespräch:
[email protected] | ext-it.tech/kontakt

EXT IT GmbH – Vahrenwalder Str. 271, 30179 Hannover

Quellen: