BSI-Portal: Ab sofort müssen sich 30.000 Firmen für IT-Sicherheit registrieren

Die verschärften Cybersicherheits-Regeln treten in ihre entscheidende Phase. Seit heute, dem 20. Januar 2026, ist das neue Meldeportal des Bundesamts für Sicherheit in der Informationstechnik (BSI) für alle betroffenen Unternehmen freigeschaltet. Rund 30.000 Firmen müssen sich dort nun registrieren – sonst drohen Bußgelder und persönliche Haftung für Geschäftsführer.

Mit dem Start des Portals unter portal.bsi.bund.de beginnt der Countdown für die verpflichtende Anmeldung. Grundlage ist das NIS-2-Umsetzungsgesetz, das den Kreis der meldepflichtigen Einrichtungen massiv ausweitet. BSI-Präsidentin Claudia Plattner spricht von einem „Gamechanger für die Sicherheit und Stabilität unseres Landes“. Das Portal soll als digitaler „One-Stop-Shop“ den bürokratischen Aufwand minimieren.

Zwei-Faktor-Anmeldung und strenge Fristen

Der Registrierungsprozess ist zweistufig aufgebaut. Zuerst müssen sich Unternehmen über ihr „Mein Unternehmenskonto“ (MUK) mit einem ELSTER-Organisationszertifikat identifizieren. Anschließend erfolgt die Profilerstellung im BSI-Portal mit Angaben zum Informationssicherheitsbeauftragten und zur kritischen Infrastruktur.

Viele Unternehmen sind auf die neuen Meldepflichten und die deutlich schnelleren Meldefristen nicht vorbereitet. Ein kostenloser Bericht “Cyber Security Awareness Trends” zeigt konkret, welche ersten Schritte jetzt Priorität haben, wie Sie Meldeprozesse intern organisieren und Haftungsrisiken reduzieren können. Praxisnahe Checklisten helfen IT‑Verantwortlichen und Geschäftsführern, schnell umsetzbare Maßnahmen zu definieren. Gratis-Cyber-Security-Report herunterladen

Die Fristen sind knapp:
* Besonders wichtige Einrichtungen müssen sich bis zum 6. März 2026 registrieren.
* Wichtige Einrichtungen müssen „unverzüglich“ handeln – also jetzt, da das Portal online ist.

Ein entscheidender Punkt: Für alle neuen Meldepflichten aus dem NIS2-Umsetzungsgesetz ist ausschließlich das neue BSI-Portal verpflichtend. Das alte Melde- und Informationsportal (MIP) bleibt für bestehende KRITIS-Betreiber zunächst parallel bestehen.

Von Abfallwirtschaft bis Digitalwirtschaft: Wer ist betroffen?

Die Dimension des neuen Gesetzes ist gewaltig. Während das alte IT-Sicherheitsgesetz 2.0 etwa 4.500 KRITIS-Betreiber umfasste, fallen nun schätzungsweise 29.500 weitere Einrichtungen unter die Meldepflicht. Neu hinzu kommen Branchen wie die Abfall- und Lebensmittelwirtschaft, der produzierende Sektor und digitale Dienstleister.

Für viele dieser Unternehmen ist der Kontakt mit verbindlichen IT-Sicherheitsvorgaben auf Bundesebene absolutes Neuland. Der Live-Gang des Portals beendet nun die Vorbereitungsphase – Handeln ist angesagt.

24-Stunden-Meldepflicht und persönliche Haftung

Das Portal dient nicht nur der Registrierung, sondern auch der Meldung von IT-Sicherheitsvorfällen. Die Fristen sind extrem kurz:
* Frühwarnung innerhalb von 24 Stunden nach Kenntnis.
* Detaillierte Meldung innerhalb von 72 Stunden.

Eine der weitreichendsten Neuerungen ist die verschärfte persönliche Haftung des Managements. IT-Sicherheit ist laut Gesetz explizit „Chef-Sache“. Juristen warnen: Das verfügbare Portal beseitigt das letzte Hemmnis für die Compliance. Wer sich nicht registriert oder Vorfälle nicht meldet, begeht eine Ordnungswidrigkeit. Geschäftsführer müssen mit Geldstrafen und Schadensersatzforderungen rechnen.

Gleichzeitig ist das Portal ein zentraler Informationskanal. Registrierte Unternehmen erhalten maßgeschneiderte Warnungen und Lagebilder des BSI. Wer die Anmeldung verschleppt, schneidet sich von diesen lebenswichtigen Daten ab.

Ausblick: Automatisierter Threat-Sharing und Kontrollen ab 2027

Der Portal-Start ist nur der erste Schritt. Das BSI plant, die Funktionen 2026 schrittweise auszubauen, etwa um automatisierte Bedrohungsmeldungen und eine bessere Vernetzung mit europäischen Partnern.

Ab 2027 steht dann die Überprüfungsphase an. Das BSI und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) werden voraussichtlich Nachweise für die umgesetzten Sicherheitsmaßnahmen einfordern, wie ISO-27001-Zertifikate oder vergleichbare Audits.

Die Priorität für die deutsche Wirtschaft ist jetzt eindeutig: ELSTER-Zertifikat besorgen, auf portal.bsi.bund.de anmelden und die Registrierung vor der März-Frist abschließen. Die Ära der freiwilligen Cyber-Hygiene ist endgültig vorbei.

PS: Sie möchten Ihre Organisation schnell und kosteneffizient widerstandsfähig machen? Der kostenlose Leitfaden „Cyber Security Awareness Trends“ fasst kompakt Maßnahmen zur Awareness, Phishing‑Abwehr und Incident‑Response zusammen – inklusive Checklisten, die sich direkt an NIS2‑Vorgaben ausrichten lassen. Ideal, um Verantwortliche kurzfristig handlungsfähig zu machen. Jetzt kostenlosen Cyber‑Leitfaden anfordern