BSI startet NIS2-Meldepflicht für 30.000 deutsche Unternehmen

Ab sofort müssen rund 30.000 deutsche Unternehmen ihre Cybersicherheit auf einem neuen Portal des Bundesamts für Sicherheit in der Informationstechnik (BSI) registrieren und melden. Die heute, am 6. Januar 2026, freigeschaltete Plattform setzt das nationale NIS2-Umsetzungsgesetz endgültig in Kraft und zieht Tausende bisher nicht regulierte Firmen in die Pflicht.

Portal startet mit zweistufiger Registrierung

Die zentrale Anlaufstelle für die neuen Pflichten ist das NIS2-Portal des BSI. Es bündelt die Registrierung der Unternehmen und die Meldung von Sicherheitsvorfällen. Betroffen sind „wesentliche“ und „wichtige“ Einrichtungen aus 18 kritischen Sektoren – von Energie und Verkehr bis zur digitalen Infrastruktur. Wer bereits einen Zugang für das „Mein Unternehmenskonto“ (MUK) eingerichtet hat, kann nun den finalen Registrierungsschritt im Portal durchführen.

Die Frist für die Registrierung läuft zwar noch drei Monate, doch die Meldepflicht für Vorfälle gilt ab sofort. Juristen warnen: Jeder signifikante IT-Sicherheitsvorfall muss nun über das Portal gemeldet werden. Die bisherigen Übergangslösungen wie E-Mail-Meldungen sind damit hinfällig.

24-Stunden-Frist und persönliche Haftung für Manager

Eine der größten Herausforderungen ist die neue 24-Stunden-Meldepflicht. Unternehmen müssen den Behörden innerhalb eines Tages nach Kenntnis eine erste Warnung zu einem schwerwiegenden Vorfall übermitteln. Innerhalb von 72 Stunden folgt eine detaillierte Meldung, nach einem Monat ein Abschlussbericht.

Viele Unternehmen waren auf die neue NIS2‑Pflicht und die 24‑Stunden‑Meldepflicht nicht ausreichend vorbereitet – das kann schnell zu Bußgeldern und persönlicher Haftung führen. Unser kostenloses E‑Book fasst aktuelle Cyber‑Security‑Trends, rechtliche Pflichten und praxisnahe Sofortmaßnahmen zusammen. Enthalten sind Checklisten für Geschäftsführer, Muster für Meldewege, ein Notfallplan und konkrete Tipps zur Absicherung von Lieferketten und IT‑Systemen. Jetzt kostenlosen Cyber‑Security‑Report für Entscheider herunterladen

Die neue Regelung verschärft die Verantwortlichkeiten erheblich. The Geschäftsleitung – Vorstände und Geschäftsführer – trägt nun eine persönliche Haftung für die Cybersicherheit ihres Unternehmens. Sie muss die Risikomanagement-Maßnahmen genehmigen und deren Umsetzung überwachen. Bei Verstößen drohen den Verantwortlichen hohe Geldbußen: bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Deutscher Sonderweg mit Verspätung

Deutschland hat die EU-Richtlinie NIS2 mit erheblicher Verspätung umgesetzt. Während der europäische Stichtag der 17. Oktober 2024 war, trat das deutsche Ausführungsgesetz erst am 6. Dezember 2025 in Kraft. Die heutige Portalfreischaltung beendet diese Übergangsphase.

Der regulatorische Radius hat sich massiv erweitert. Statt der bisher rund 4.500 überwachten KRITIS-Betreiber fallen nun schätzungsweise 30.000 Unternehmen unter die Aufsicht – darunter viele mittelständische Zulieferer. Sie müssen sich nicht mehr nur gegen Cyberangriffe wappnen, sondern auch physische Sicherheit, Lieferkettenrisiken und Geschäftskontinuität gewährleisten.

BSI wird Kontrollen verschärfen

Mit dem Start des Portals wechselt das BSI von der Implementierungs- in die Überwachungsphase. Experten rechnen damit, dass die Behörde noch 2026 damit beginnt, Registrierungen zu prüfen und stichprobenartige Audits durchzuführen.

Unternehmen, die ihren Status noch nicht geklärt haben, müssen jetzt schnell handeln. Das BSI stellt online einen „Betroffenheitsprüfer“ zur Verfügung. Die Behörde macht deutlich: Unwissenheit schützt vor den Pflichten und möglichen Strafen nicht. Der reibungslose Betrieb des Portals wird zum Gradmesser dafür, wie gut die deutsche Wirtschaft auf die wachsende Flut an Cyberbedrohungen vorbereitet ist.

PS: Sie möchten die IT‑Sicherheit stärken, ohne neue teure Mitarbeiter einzustellen? Dieser Gratis‑Leitfaden zeigt pragmatische Maßnahmen, Anti‑Phishing‑Hygiene und Verantwortungschecklisten für Vorstände – plus eine umsetzbare Notfall‑Checkliste und Schulungs‑Vorlagen für Mitarbeiter. So bestehen Sie Prüfungen des BSI und schließen Compliance‑Lücken in Lieferketten schnell. Ideal für mittelständische Zulieferer und IT‑Verantwortliche. Gratis‑Guide: IT‑Security sofort umsetzen