NIS2-Registrierung beim BSI: Frist bis 6. März 2026

Die Frist 6. März 2026 – worum geht es genau?

Der 6. März 2026 ist die maßgebliche Frist für die Registrierung NIS2-pflichtiger Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die Registrierung ist kein bloßer Verwaltungsakt. Sie ist die Grundlage dafür, dass:

• das BSI einen vollständigen Überblick über betroffene Unternehmen erhält
• Aufsicht und Kommunikation im Krisenfall funktionieren
• Meldepflichten technisch und organisatorisch umgesetzt werden können
• ein nationales Cyber-Lagebild aufgebaut wird

Mit anderen Worten: Ohne Registrierung keine funktionierende Aufsicht.

Wer muss sich registrieren?

Die Pflicht betrifft sogenannte „wesentliche“ und „wichtige“ Einrichtungen im Sinne der NIS2-Regelungen.

Typischerweise sind Unternehmen betroffen, wenn sie:

• in einem erfassten Sektor tätig sind (z. B. IT-Dienstleistungen, Gesundheit, Energie, Transport, digitale Infrastruktur, bestimmte produzierende Unternehmen)
• mindestens 50 Mitarbeitende beschäftigen
• und mindestens 10 Mio. € Jahresumsatz oder Bilanzsumme erreichen

Entscheidend ist:
Die Betroffenheit wird nicht automatisch festgestellt. Unternehmen müssen selbst prüfen, ob sie unter den Anwendungsbereich fallen.

Eine dokumentierte Betroffenheitsprüfung ist daher der erste Schritt jeder NIS2-Compliance.

Muss die Betroffenheit bis zum 6. März geprüft sein?

Ja.

Die Registrierungsfrist setzt voraus, dass ein Unternehmen seine Einordnung vorgenommen hat. Wer bis zum 6. März 2026 registriert sein muss, sollte diese Prüfung deutlich vorher abgeschlossen haben.

Empfehlenswert ist:

• Analyse der eigenen Geschäftstätigkeit
• Abgleich mit den erfassten Sektoren
• Prüfung der Mitarbeitenden- und Umsatzschwellen
• Dokumentation der Ergebnisse

Gerade wachsende Unternehmen sollten ihre Zahlen regelmäßig überprüfen. Die Schwelle kann schneller überschritten sein als erwartet.

Wenn Sie noch nicht wissen, ob Sie in den Anwendungsbereich fallen, können Sie als erste Hilfestellung unseren kostenlosen NIS2-Checker nutzen.

Zum NIS2-Checker

Wie läuft die Registrierung ab? Der zweistufige Prozess

Die Registrierung erfolgt über das BSI-Portal – allerdings nicht direkt und isoliert. Sie ist zweistufig aufgebaut:

Schritt 1: Zugang über „Mein Unternehmenskonto“ (MUK)

• Anmeldung mit einem ELSTER-Organisationszertifikat
• Hinterlegung bzw. Nutzung der bestehenden Unternehmensstammdaten
• Technische Authentifizierung des Unternehmens

Diese Daten (z. B. Name, Rechtsform, Anschrift, Registerinformationen) werden in der Regel automatisiert übernommen.

Schritt 2: Registrierung im BSI-Portal

Im eigentlichen Portal werden anschließend die NIS2-spezifischen Angaben ergänzt, unter anderem:

• Sektor und Einrichtungsart
• Unternehmensgröße (Mitarbeitende, Umsatz/Bilanzsumme)
• Zuständige Aufsichtsbehörden
• Benennung einer NIS2-Kontaktstelle
• Verantwortliche Kontaktperson
• Öffentlich erreichbare IP-Adressbereiche
• Angabe, ob es sich um eine KRITIS-Einrichtung handelt (sofern zutreffend)
• Bei KRITIS-Unternehmen: Angabe der bestehenden Institutions-ID

Erst mit Abschluss dieses zweiten Schritts gilt die Registrierung als vollständig.

Wichtig: Änderungen der Angaben müssen nachträglich unverzüglich aktualisiert werden.

Können Vorfälle direkt über das Portal gemeldet werden?

Ja.

Das BSI-Portal ist nicht nur Registrierungsplattform, sondern auch zentrale Meldestelle für erhebliche Sicherheitsvorfälle.

Die Meldepflicht ist gestuft aufgebaut:

• Frühwarnung innerhalb von 24 Stunden
• Detaillierte Meldung innerhalb von 72 Stunden
• Abschlussbericht innerhalb eines Monats

Dafür müssen interne Prozesse, Verantwortlichkeiten und Kommunikationswege vorbereitet sein. Die Registrierung allein genügt nicht.

Was passiert, wenn ein Unternehmen sich nicht registriert?

Unternehmen, die in den Anwendungsbereich fallen und sich dennoch nicht registrieren, verstoßen gegen ihre gesetzlichen Pflichten.

Die möglichen Konsequenzen sind erheblich:

• Aufsichtsrechtliche Maßnahmen durch das BSI
• Anordnungen zur Nachholung der Registrierung
• Bußgelder
• Reputationsrisiken
• Verschärfte Prüfung im Rahmen späterer Kontrollen

Hinzu kommt:
Die Registrierung ist nur ein Baustein. Wer sich nicht registriert, läuft regelmäßig auch Gefahr, weitere Pflichten – etwa zur Umsetzung von Sicherheitsmaßnahmen oder zur Vorfallsmeldung – nicht ordnungsgemäß zu erfüllen.

NIS2 sieht empfindliche Sanktionsrahmen vor. Auch die Geschäftsleitung steht stärker in der Verantwortung.

Untätigkeit ist daher keine Option.

Was gilt, wenn ein Unternehmen erst später in den Anwendungsbereich fällt?

Nicht jedes Unternehmen ist heute schon betroffen. Manche erreichen die relevanten Schwellenwerte erst später – etwa durch Wachstum.

In diesem Fall gilt:

• Die Registrierungspflicht entsteht ab dem Zeitpunkt, zu dem die Voraussetzungen erfüllt sind.
• Ab diesem Zeitpunkt beginnt die gesetzliche Frist (regelmäßig drei Monate) zu laufen.
• Es besteht keine rückwirkende Pflicht.

Wichtig ist jedoch:
Die materiellen Sicherheitsanforderungen gelten ab Eintritt in den Anwendungsbereich. Die organisatorische Vorbereitung sollte daher nicht erst mit der Registrierung beginnen.

Fazit

Die Registrierung scheitert bei den meisten Unternehmen nicht am Ausfüllen des Formulars, sondern an der Bestimmung der Anwendbarkeit der NIS2-Richtlinie.

Wenn Sie dabei Unterstützung bei der Anwendbarkeitsprüfung benötigen, kommen Sie gerne auf uns zu.