BSI startet NIS-2-Meldepflicht mit ELSTER-Login

Ab Dienstag müssen Zehntausende deutsche Unternehmen Cyberangriffe über ein neues Portal melden. Der Zugang läuft ausschließlich über das steuerliche „Mein Unternehmenskonto“ – eine technische Zäsur für die digitale Firmenidentität.

Die Frist ist knapp. Am Dienstag, dem 6. Januar 2026, schaltet das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein zentrales Meldeportal für die neue EU-Cybersicherheitsrichtlinie NIS-2 frei. Für schätzungsweise 30.000 bis 40.000 betroffene Unternehmen, von Energieversorgern bis zu digitalen Dienstleistern, beginnt damit die praktische Umsetzungspflicht. Der Clou: Der sichere Zugang zum Hochsicherheitsportal wird nicht vom BSI selbst bereitgestellt, sondern über die ELSTER-basierte Plattform „Mein Unternehmenskonto“ (MUK) abgewickelt.

ELSTER wird zum Schlüssel für die Cybersicherheit

Mit dem Start des Portals vollzieht sich ein bemerkenswerter Wandel. Das bisher vor allem für Steuererklärungen genutzte ELSTER-System wird zum universellen digitalen Schlüssel für die nationale Sicherheits-Compliance. Das NIS-2-Umsetzungsgesetz ist zwar bereits seit Dezember 2025 in Kraft, doch erst mit dem aktiven Portal wird die Meldepflicht für erhebliche Cybervorfälle praktisch durchsetzbar.

Laut BSI und Industrie- und Handelskammern benötigen Unternehmen zunächst ein gültiges ELSTER-Organisationszertifikat, um auf MUK und in der Folge auf das NIS-2-Portal zugreifen zu können. Diese Bündelung soll die Angriffsfläche verringern, indem die Identitätsprüfung unter der bewährten ELSTER-Infrastruktur zentralisiert wird – statt auf viele einzelne Behördenzugänge verteilt zu sein.

Passend zum Thema IT-Sicherheit für Unternehmen: Viele Firmen unterschätzen die organisatorischen und technischen Anforderungen durch neue Meldepflichten wie NIS‑2. Ein kostenloser Unternehmens‑Leitfaden erklärt praxisnah, welche Maßnahmen Ihre IT-Abteilung sofort umsetzen sollte – von Zugriffsverwaltung bis Mitarbeiterschulungen – damit Sie meldepflichtige Vorfälle sicher erkennen und richtig melden. Jetzt kostenlosen Cyber‑Security‑Guide für Unternehmen sichern

ElsterSecure-App verdrängt unsichere Zertifikats-Dateien

Ein Kernstück dieses Sicherheitsupdates ist der Push hin zur mobilen Authentifizierung. Die App ElsterSecure ersetzt zunehmend die traditionellen, dateibasierten Zertifikate (wie .pfx-Dateien), die oft auf USB-Sticks oder Firmenrechnern lagern.

Die App, die Ende 2025 ein größeres Update erhielt, verwandelt das Smartphone in einen Hardware-Sicherheitsschlüssel. Per QR-Code-Scan am Desktop authentifizieren sich Nutzer, ohne dass anfällige Zertifikatsdateien über Netzwerke übertragen werden müssen. Für das Meldeportal ist das mehr als nur Komfort: „Statische Zertifikatsdateien können kopiert oder gestohlen werden, wenn ein Arbeitsplatz kompromittiert ist“, warnen Sicherheitsexperten. ElsterSecure nutze dagegen das sichere Element des Mobilgeräts, sodass die kryptografischen Schlüssel die Hardware nie verlassen.

Countdown für die Unternehmen: Zugang sofort prüfen

Die Zeit drängt. Unternehmen, die ihren MUK-Zugang noch nicht konfiguriert haben, müssen nun schnell handeln. Der Prozess ist zweistufig und offenbart oft ein internes Koordinationsproblem: Das ELSTER-Organisationszertifikat liegt häufig in der Steuerabteilung, während die NIS-2-Compliance in den Bereich IT-Sicherheit oder Compliance fällt.

Verbände raten dringend zur abteilungsübergreifenden Abstimmung. Das „Mein Unternehmenskonto“ erlaubt es, Berechtigungen fein zu steuern. Die Finanzabteilung kann so IT-Sicherheitsverantwortlichen spezifische „Melderechte“ einräumen, ohne das steuerliche Hauptzertifikat herauszugeben. Zudem empfiehlt das BSI, die ElsterSecure-App als zweiten Faktor oder primäre Login-Methode einzurichten, um am Dienstag reibungslosen Zugang zu gewährleisten.

Digitaler Stress-Test für Behörden und Wirtschaft

Der Übergang verläuft nicht ohne Herausforderungen. Schon am vergangenen Wochenende meldeten IT-Administratoren erhöhten Traffic und gelegentliche Verzögerungen bei Zertifikatsverlängerungen auf dem ELSTER-Portal.

Die Aufwertung von ELSTER löst auch eine Debatte über digitale Souveränität aus. Indem die Bundesregierung die kritische Sicherheitsmeldepflicht an die Infrastruktur der Steuerverwaltung bindet, macht sie das Bayerische Landesamt für Steuern, den Entwickler von ELSTER, de facto zum kritischen Dienstleister für den nationalen Cyberschutz.

Trotz des Drucks schreitet die Einführung von ElsterSecure voran. Die Fähigkeit der App, Szenarien mit mehreren Nutzern und unterschiedlichen Zugriffsrechten zu handhaben, erweist sich für größere Konzerne als entscheidend.

Der neue Standard für 2026 und darüber hinaus

Die Integration von MUK und ElsterSecure in die NIS-2-Architektur ist nur der Anfang. Die Strategie der Bundesregierung für 2026 zeichnet sich ab: eine einzige, sichere Unternehmensidentität für alle behördlichen Interaktionen.

Experten rechnen damit, dass dieser Login-Standard noch in diesem Jahr auf weitere Meldepflichten ausgeweitet wird, etwa im Lieferkettengesetz oder im Umweltbereich. Das aktuelle „Sicherheitsupdate“ ist somit kein einmaliges Ereignis, sondern die Etablierung einer neuen Baseline für die digitale Verantwortung von Unternehmen.

Der erste Stresstest für diese integrierte Strategie beginnt am Dienstag. Die Stabilität der ELSTER-Server und die Vorbereitung der deutschen Wirtschaft auf die App-basierte Authentifizierung werden dann unmittelbar auf die Probe gestellt. Die Empfehlung an alle betroffenen Firmen lautet: Zugangsberechtigungen umgehend prüfen, um Compliance-Lücken von vornherein zu vermeiden.

PS: Sie möchten prüfen, ob Ihre Organisation für NIS‑2 und mobile Authentifizierung ausreichend vorbereitet ist? Unser kompakter Praxis‑Leitfaden bietet eine Checkliste für Verantwortliche, Sofortmaßnahmen gegen häufige Angriffsvektoren und Anleitungen für Mitarbeiterschulungen – ideal für IT‑ und Compliance-Teams. Jetzt Praxis‑Leitfaden Cyber‑Security anfordern