BSI warnt Unternehmen: Cyber-Risikoanalyse jetzt starten!

Die neue Pflicht zur umfassenden IT-Risikoanalyse gilt bereits seit Dezember – doch viele deutsche Unternehmen warten noch auf das Meldeportal. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) appelliert eindringlich: Die Arbeit muss sofort beginnen.

Berlin/Bonn – Mit scharfen Worten richtet sich das BSI an die deutsche Wirtschaft. Obwohl das zentrale Melde- und Informationsportal (MIP) erst am kommenden Dienstag (6. Januar) online geht, sind die inhaltlichen Sicherheitspflichten des NIS-2-Gesetzes schon seit Wochen rechtsverbindlich. BSI-Präsidentin Claudia Plattner betonte diese Woche: „Das Portal ist nur die Verwaltungsoberfläche. Die eigentliche Arbeit – die Identifizierung und Bewertung von Cyber-Risiken – hätte längst starten müssen.“

Risikoanalyse hat Vorrang vor Meldepflicht

Die Botschaft ist eindeutig: Die Schonfrist ist vorbei. Seit dem 6. Dezember 2025 gilt das NIS-2-Umsetzungsgesetz, das die EU-Richtlinie in nationales Recht überführt. Rund 30.000 bis 40.000 Unternehmen, darunter neue Sektoren wie Lebensmittelproduktion und Abfallwirtschaft, müssen seitdem ein Informationssicherheits-Managementsystem (ISMS) aufbauen und systematisch Risiken analysieren.

Passend zum Thema Cybersicherheit warnt ein aktueller Gratis-Leitfaden: Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und welche praktischen Maßnahmen Sie sofort umsetzen können. Gerade mit den neuen NIS‑2-Pflichten brauchen Geschäftsführer und IT-Verantwortliche konkrete Schritte für Risikobewertung, Dokumentation und Incident-Response. Der Leitfaden fasst Prüfungs-relevante Checklisten, Prioritäten für Schwachstellen und kosteneffiziente Sofortmaßnahmen zusammen. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

„Viele verwechseln die administrative Meldung mit der operativen Pflicht“, so ein BSI-Sprecher. Die Behörde warnt: Wer die Risikoanalyse auf die Zeit nach der Portalfreischaltung verschiebt, handelt bereits heute ordnungswidrig. Bei Kontrollen hilft das Argument „Wir haben auf das Portal gewartet“ nicht weiter. Die geforderte Analyse ist tiefgehend: Sie umfasst Schwachstellenbewertung, Bedrohungsanalyse und die möglichen Auswirkungen auf die Lieferkette.

Countdown zum Portal-Start am 6. Januar

Ab Dienstag wird das neue BSI-Portal zur zentralen Anlaufstelle. Bis dahin gelten Übergangsregelungen für die Meldung von IT-Vorfällen. Authentifiziert wird sich künftig verbindlich über „Mein Unternehmenskonto“ (MUK). Das BSI rät dringend, diese Zugänge bereits jetzt zu prüfen und freizuschalten, um einen Stau zum Start zu vermeiden.

Die Digitalisierung soll Prozesse verschlanken, markiert aber auch den Beginn einer strengeren Aufsicht. Mit dem Portal erhält das BSI erstmals einen umfassenden, digitalen Überblick über die Bedrohungslage in der deutschen Wirtschaft. Der Datenfluss zu Vorfällen wird voraussichtlich deutlich zunehmen.

Frist zur Registrierung endet im März

Eine kleine Atempause gibt es nur bei der Formalie: Die Registrierung im Portal muss bis zum 6. März 2026 abgeschlossen sein. Dann müssen Kontaktdaten, IP-Bereiche und Branchenzuordnungen hinterlegt sein. Experten warnen jedoch davor, diese Frist als „Compliance-Ferien“ zu missverstehen.

Der Aufbau eines funktionierenden ISMS und die Durchführung belastbarer Risikobewertungen dauern Monate. Für viele der neu betroffenen Unternehmen, die bisher nicht zum Kreis der Kritischen Infrastrukturen (KRITIS) gehörten, ist die Lernkurve steil. Die aktuelle BSI-Initiative unterstreicht: Jetzt zu beginnen ist keine Empfehlung, sondern eine Notwendigkeit.

Markt reagiert mit Verzögerung

Die Dringlichkeit im Ton des BSI deutet auf erhebliche Rückstände in der Wirtschaft hin. Zwar melden Cybersecurity-Berater seit dem Gesetzesbeschluss im November 2025 eine Flut von Anfragen, doch die tatsächliche Umsetzung von Schutzmaßnahmen kommt nur langsam in Gang.

Die Befürchtung der Aufseher: Unternehmen behandeln NIS-2 als reine Formalität, bei der es nur um die Registrierung geht. Das BSI stellt klar, dass künftige Prüfungen weit über den Meldestatus hinausgehen werden. Im Fokus steht die tatsächliche Widerstandsfähigkeit der IT-Infrastruktur. Die Botschaft lautet: Das Portal ist nur die Eingangstür. Die eigentliche Sicherheit wird im Unternehmen geschaffen – und diese Arbeit muss heute dokumentiert werden.

Ausblick: Vom Melden zum Durchsetzen

Nach dem Portal-Start wird das BSI weitere „Infopakete“ mit technischen Hinweisen bereitstellen. Die Hauptverantwortung bleibt jedoch bei den Unternehmen. Nach Ablauf der März-Frist rechnen Beobachter mit einer neuen Phase: Der Fokus wird sich von der Registrierung auf die Durchsetzung verlagern.

Das BSI hat Stichproben angekündigt, um die Qualität der vorgelegten Risikoanalysen zu prüfen. Für die deutsche Wirtschaft ist die Übergangsphase 2025 damit endgültig beendet. 2026 wird zum Jahr der verbindlichen Cybersicherheit.

PS: Sie wollen beim BSI-Check bestehen? Das kostenlose E‑Book erklärt Schritt für Schritt, wie Sie Ihre Risikoanalyse, ISMS-Dokumentation und Meldestrategie prüfungssicher aufsetzen – inklusive umsetzbarer Checklisten und Prioritätsliste für Schwachstellen. Ideal für Unternehmen, die die März‑Frist nicht verpassen möchten und schnell belastbare Nachweise brauchen. Kostenlosen Cyber-Security-Guide jetzt anfordern