NIS‑2-Umsetzung: Die wichtigsten Schritte zur Registrierung

Die Registrierung beim BSI bildet die Grundlage für die Erfüllung sämtlicher Pflichten aus dem NIS-2-Umsetzungsgesetz. Über das Portal

• werden sicherheitsrelevante Unternehmensdaten verwaltet,

• werden erhebliche Sicherheitsvorfälle offiziell an das BSI gemeldet,

• erfolgt die Zuordnung der zuständigen Behörden und Kontaktstellen,

• wird die Einordnung der betreffenden Einrichtung in Kategorien und Sektoren vorgenommen.

Sobald die Einrichtung im Portal registriert ist, müssen Änderungen der Unternehmensdaten unverzüglich – spätestens innerhalb von zwei Wochen – nachgetragen werden. Diese Frist ist gesetzlich festgelegt und strikt verbindlich.
 

Zwei zentrale Schritte auf dem Weg zur vollständigen NIS‑2‑Registrierung

Damit die Identifikation organisationsbezogener Daten einheitlich erfolgen kann, setzt das BSI auf ein zweistufiges Verfahren. Beide Schritte sind verpflichtend und technisch so miteinander verknüpft, dass der zweite Schritt ohne den ersten nicht möglich ist.
 

1. Schritt: Unternehmensidentifikation über „Mein Unternehmenskonto“ (MUK)

Damit der Zugriff auf das eigentliche BSI-Portal möglich ist, muss zuvor ein Unternehmenskonto im staatlichen Dienst „Mein Unternehmenskonto“ (MUK) eingerichtet werden. Dieser Dienst basiert vollständig auf der ELSTER-Technologie, die eine sichere Identifizierung von Organisationen ermöglicht.

Im MUK werden grundlegende Unternehmensdaten erfasst, darunter:

• Rechtsform,

• Registerart, Registernummer und Registergericht,

• Anschrift und Stammdaten der Organisation.

Diese Informationen werden später automatisch in das BSI-Portal übertragen. 
 

2. Schritt: Registrierung im neuen BSI Portal

Nach der Anmeldung über MUK erfolgt die eigentliche Registrierung im BSI-Portal. Für jede Person in der Einrichtung, die das BSI-Portal nutzen soll, ist ein eigenes ELSTER-Organisationszertifikat erforderlich. Diese Zertifikate werden kostenlos zur Verfügung gestellt und sind stets personenbezogen – jede berechtigte Person benötigt eine eigene Datei. Wir empfehlen, die Zertifikatsvergabe zentral zu koordinieren, um Rollen und Zuständigkeiten sauber abzubilden.

Im BSI-Portal werden die automatisch übertragenen Daten ergänzt um

• die offizielle NIS-2-Kontaktstelle,
• die NIS-2-Kontaktperson inklusive Funktion, Telefonnummer und E-Mail,
• die Angabe des Sektors, der Branche und der Einrichtungsart,
• die Größe der Einrichtung (Beschäftigtenzahl, Umsatz, Bilanzsumme),
• die zuständigen Aufsichtsbehörden auf Bundes- und Länderebene,
• die öffentlich erreichbaren IP-Adressbereiche (falls relevant) sowie
• spezifische Angaben für Betreiber kritischer Anlagen.

Damit wird die Einrichtung offiziell als NIS-2-relevant klassifiziert.
 

Die Rolle des BSI-Portals in der täglichen Praxis

Das Portal ist künftig Dreh- und Angelpunkt für alle Meldungen und Verwaltungsprozesse:

• Verwaltung und Aktualisierung von Unternehmensdaten
• Meldung erheblicher Sicherheitsvorfälle
• Prüfung der Registrierungsdaten
• Nutzung definierter Meldewege

Damit ersetzt das Portal ältere Meldestrukturen und bündelt erstmals alle Kommunikationskanäle zwischen Einrichtungen und dem BSI an zentraler Stelle. 
 

Was betroffene Einrichtungen jetzt tun sollten

Wir empfehlen, die Registrierung strukturiert wie ein Miniprojekt anzugehen:

1. Betroffenheit prüfen: Fällt Ihre Einrichtung unter NIS-2? (Häufig ja, auch bei mittelgroßen Einrichtungen.)
2. MUK-Konto einrichten: Ohne diesen Schritt ist der Zugang zum BSI-Portal technisch ausgeschlossen.
3. ELSTER-Zertifikate organisieren: Jede Person, die mit dem Portal arbeitet, benötigt ein eigenes Zertifikat.
4. Registrierung vollständig bis zum 6. März 2026 abschließen: Wenn die Registrierung nicht fristgerecht erfolgt, können aufsichtsrechtliche Maßnahmen ausgelöst werden.
5. Interne Verantwortlichkeiten definieren: Wer ist NIS-2-Kontaktstelle? Wer meldet Sicherheitsvorfälle? Wer aktualisiert die Stammdaten fristgerecht?
6. Dokumentation und Governance anpassen: Anpassung an die erwarteten Melde- und Risikomanagementpflichten.
    

Praxis-Hinweis

Als langjähriger Partner im kirchlichen, sozialen und gesundheitlichen Sektor unterstützen wir Einrichtungen umfassend bei der Erfüllung der NIS-2 Pflichten:

• Betroffenheitsanalyse
• Einrichtung und Verwaltung der MUK-Konten
• Begleitung der Registrierung im BSI-Portal
• Strukturierung von Meldeprozessen und Notfallkommunikation
• Dokumentation gemäß den NIS-2-Anforderungen
• Workshops und Sensibilisierung von Führungskräften

Unsere Beratung verbindet rechtliche Sicherheit, organisatorisches Know-how und IT-Sicherheitskompetenz – damit Ihre Einrichtung nicht nur die Registrierungspflicht erfüllt, sondern auch auf kommende Prüfungen und Cyberrisiken vorbereitet ist.