· 2 Min. Lesezeit

BSI-Registrierung unter NIS-2: Schritt für Schritt

Betroffene Unternehmen müssen sich aktiv beim BSI registrieren — niemand fordert Sie dazu auf. Der Ablauf in fünf Schritten, mit Fristen und typischen Stolpersteinen.

BSIRegistrierungPflichten

Die vielleicht am häufigsten übersehene NIS-2-Pflicht ist die einfachste: Betroffene Einrichtungen müssen sich selbst beim BSI registrieren. Es gibt keinen Bescheid, keine Aufforderung, kein Anschreiben — die Verantwortung, die eigene Betroffenheit festzustellen und sich zu melden, liegt vollständig beim Unternehmen. Wer wartet, bis sich jemand meldet, wartet vergeblich und riskiert ein Bußgeld.

Schritt 1: Betroffenheit feststellen — und dokumentieren

Bevor Sie registrieren, müssen Sie wissen, ob und als was Sie registrieren: wesentliche oder wichtige Einrichtung, in welchem Sektor. Maßgeblich sind Sektor, Unternehmensgröße (Mitarbeitende, Umsatz/Bilanzsumme) und Sonderfälle. Eine erste Einordnung liefert unser kostenloser Betroffenheits-Check in zwei Minuten; die Feststellung selbst sollten Sie schriftlich dokumentieren — sie ist Teil Ihrer Nachweispflichten.

Schritt 2: Zuständigkeiten klären

Die Registrierung ist kein reines IT-Thema. Legen Sie fest, wer im Haus verantwortlich zeichnet (Geschäftsleitung), wer die Meldung operativ durchführt und wer als Kontaktstelle gegenüber dem BSI benannt wird. Die Kontaktstelle muss erreichbar sein — auch im Vorfall.

Schritt 3: Angaben zusammenstellen

Für die Registrierung brauchen Sie typischerweise:

  • Name der Einrichtung, Rechtsform, Anschrift
  • den einschlägigen Sektor und die Einstufung (wesentlich/wichtig)
  • Kontaktdaten der Einrichtung und der benannten Kontaktstelle (E-Mail, Telefon)
  • die Mitgliedstaaten, in denen Sie Dienste erbringen
  • je nach Tätigkeit: öffentliche IP-Adressbereiche

Sammeln Sie diese Angaben vorab — dann ist die eigentliche Registrierung in kurzer Zeit erledigt.

Schritt 4: Über das BSI-Portal registrieren

Die Registrierung erfolgt elektronisch über das vom BSI bereitgestellte Melde- und Registrierungsportal. Legen Sie die Zugänge sorgfältig an und hinterlegen Sie sie so, dass sie im Ernstfall (Meldepflicht!) sofort verfügbar sind — nicht im Postfach einer einzelnen Person.

Schritt 5: Aktuell halten

Die Registrierung ist kein einmaliger Akt: Ändern sich Angaben (Kontaktstelle, Anschrift, Einstufung), müssen Sie sie unverzüglich aktualisieren. Verankern Sie das als festen Punkt in Ihren Compliance-Prozessen.

Welche Frist gilt?

Betroffene Einrichtungen müssen sich unverzüglich, spätestens innerhalb von drei Monaten registrieren, nachdem sie unter das Gesetz fallen. Da das NIS2-Umsetzungsgesetz seit Dezember 2025 in Kraft ist, läuft die Uhr für die meisten Betroffenen bereits — wer noch nicht registriert ist, sollte das Thema mit Priorität behandeln.

Typische Stolpersteine

  • „Uns hat niemand angeschrieben.” Richtig — und genau das ist der Punkt: Es gibt keine Benachrichtigung. Die Pflicht trifft Sie trotzdem.
  • Unklare Einstufung: Wer sich falsch (oder gar nicht) einordnet, registriert falsch. Im Zweifel die Betroffenheit verbindlich prüfen lassen.
  • Registrierung ohne Meldefähigkeit: Die Registrierung ist Schritt eins — im Vorfall müssen Sie binnen 24 Stunden melden können. Zugänge, Zuständigkeiten und Abläufe gehören deshalb direkt mit aufgesetzt.

Ob NIS-2 Sie überhaupt betrifft, klären Sie in zwei Minuten: zum kostenlosen Betroffenheits-Check.

Dieser Beitrag bietet eine erste Orientierung und ersetzt keine Rechtsberatung.