NIS-2-Portal startet: 30.000 Firmen müssen sich bis März registrieren

Das Bundesamt für Sicherheit in der Informationstechnik hat das zentrale Portal für die neue EU-Cybersicherheitsrichtlinie freigegeben. Betroffene Firmen müssen sich bis zum 6. März registrieren und riskieren hohe Sanktionen.

Der Countdown für Deutschlands Unternehmen läuft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat heute, am 6. Januar 2026, das zentrale Registrierungsportal für die neue EU-Cybersicherheitsrichtlinie NIS-2 freigeschaltet. Damit beginnt die heiße Phase für schätzungsweise 30.000 betroffene „wesentliche“ und „wichtige“ Einrichtungen. Sie haben nun knapp zwei Monate Zeit, ihre Daten einzureichen, bevor die gesetzliche Frist am 6. März abläuft.

Enge Frist und kein Aufschub

Die praktische Umsetzung des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) startet mit einem straffen Zeitplan. Das Gesetz war bereits am 6. Dezember 2025 in Kraft getreten, doch die technische Infrastruktur fehlte bis heute. Jetzt können Unternehmen über das neue BSI-Portal ihre Meldepflicht erfüllen.

Rechtsexperten betonen: Die späte Verfügbarkeit des Portals verlängert die Fristen nicht. Unternehmen, die seit Dezember unter das Gesetz fallen, müssen sich innerhalb von drei Monaten registrieren. Die Uhr tickt also seit dem 6. Dezember. Für viele bleibt damit nur noch bis Anfang März Zeit.

Der Prozess ist zweistufig. Zuerst benötigen Firmen einen Zugang über „Mein Unternehmenskonto“ (MUK). Diesen Schritt hätten viele bis Ende 2025 abschließen sollen. Erst danach ist die finale Dateneingabe im neuen BSI-Portal möglich. Wer sein MUK-Konto noch nicht hat, sollte es sofort beantragen, um den Termin nicht zu verpassen.

Viele Unternehmen sind wegen der kurzen Fristen und komplexen Meldepflichten der NIS‑2-Richtlinie nicht ausreichend aufgestellt. Ein kostenloses E‑Book erklärt praxisnah, welche Sicherheitsmaßnahmen jetzt Priorität haben, wie Sie Incident‑Reporting korrekt vorbereiten und welche Nachweise das BSI erwarten wird. Mit Checkliste für MUK‑Anbindung, Risikomanagement und Lieferketten‑Kontrollen – so vermeiden Sie Bußgelder und persönliche Haftungsrisiken. Jetzt kostenlosen Cyber-Security-Guide für Unternehmen herunterladen

Deutlich mehr Firmen in der Pflicht

Die NIS-2-Richtlinie hat den Kreis der regulierten Branchen massiv erweitert. Waren unter dem alten Regime nur rund 4.500 Kritische Infrastrukturen (KRITIS) wie Energie- oder Wasserversorger betroffen, sind es nun fast 30.000 Einrichtungen. Neu hinzu kommen unter anderem Abfallwirtschaft, Lebensmittelproduktion, Teile des verarbeitenden Gewerbes, digitale Dienstleister und Forschungseinrichtungen.

Für diese Unternehmen ist die Registrierung mehr als eine Formalie. Sie macht sie für das BSI sichtbar und unterwirft sie der Aufsicht. Im Fokus stehen die angemessenen Cybersicherheitsmaßnahmen und strenge Meldepflichten bei Vorfällen.

Signifikante Cyber-Vorfälle müssen innerhalb von 24 Stunden gemeldet werden („Frühwarnung“). Eine detaillierte Meldung folgt binnen 72 Stunden, ein abschließender Bericht innerhalb eines Monats. Das heute gestartete Portal dient als zentrale Anlaufstelle für beide Prozesse: Registrierung und Incident-Reporting.

Hohe Bußgelder und persönliche Haftung

Ein wesentlicher Grund für die Dringlichkeit sind die verschärften Sanktionen. Das Gesetz unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen, doch beide Gruppen drohen empfindliche Strafen.

Für „wesentliche Einrichtungen“ können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes fällig werden – je nachdem, welcher Wert höher ist. „Wichtige Einrichtungen“ riskieren bis zu 7 Millionen Euro oder 1,4 % des Umsatzes. Diese Summen stellen eine massive Aufstockung der BSI-Befugnisse dar und bringen sie auf das Niveau von Datenschutzbehörden nach der DSGVO.

Besonders diskutiert wird die persönliche Haftung der Geschäftsleitung. Geschäftsführer und Vorstände sind gesetzlich verpflichtet, Cybersicherheitsmaßnahmen zu genehmigen, ihre Umsetzung zu überwachen und regelmäßige Schulungen zu besuchen. Bei Pflichtverletzungen, die zu Schäden führen, können sie persönlich haftbar gemacht werden. Der Vorstandsschutz gilt bei Fahrlässigkeit in Cybersicherheitsfragen somit nicht mehr uneingeschränkt.

Mittelstand unter Druck – BSI vor Belastungstest

Die Reaktionen aus der Wirtschaft sind gemischt. Während große KRITIS-Betreiber ihre Systeme oft schon 2025 vorbereitet haben, zeigt sich der deutsche Mittelstand vielfach überrascht. Verbandsvertreter äußern Bedenken wegen der knappen Frist.

Die Sorge: Die Support-Kanäle des BSI könnten unter der Flut an Anfragen Tausender erstmalig meldepflichtiger Unternehmen zusammenbrechen. IT-Berater verzeichnen bereits einen Ansturm auf „NIS-2-Readiness-Checks“. Firmen wollen schnell klären, in welche Kategorie sie fallen, bevor sie sich im Portal registrieren.

Probleme bereitet teilweise noch die Vorbedingung MUK. Einige Unternehmen berichten von Verzögerungen bei der Beschaffung der benötigten ELSTER-Organisationszertifikate. Ohne diesen Schlüssel bleibt das BSI-Portal jedoch verschlossen.

Was nach der Registrierung kommt

Die nächsten acht Wochen werden zum Stresstest für die Cybersicherheit der deutschen Wirtschaft und die Verwaltungskapazität des BSI. Nach der Registrierungswelle bis März wird das BSI voraussichtlich mit Aufsichtsmaßnahmen beginnen. Denkbar sind Stichproben oder die Aufforderung, Nachweise für das Risikomanagement vorzulegen.

Marktbeobachter erwarten, dass sich die ersten Durchsetzungsmaßnahmen gegen Unternehmen richten werden, die sich gar nicht registrieren. Das neue Portal ermöglicht es dem BSI, Handelsregistereinträge mit seiner Datenbank abzugleichen. Unbemerkt zu bleiben, wird schwer.

Zudem dürfte der Kaskadeneffekt in Lieferketten Fahrt aufnehmen. Registrierte „wesentliche“ Einrichtungen müssen ihre Zulieferketten absichern. Sie werden von ihren Partnern zunehmend Nachweise für NIS-2-Konformität oder gleichwertige Sicherheitsstandards verlangen. Dieser Marktdruck weitet die Reichweite der Regelung weit über die direkt betroffenen 30.000 Unternehmen aus.

Mit der Freischaltung des Portals sendet Berlin ein klares Signal: Die Zeit freiwilliger Cybersicherheits-Maßnahmen ist vorbei. Konformität ist jetzt eine dokumentierte, durchsetzbare und geschäftskritische Anforderung.

PS: Die neue Pflichtlage macht einfache Maßnahmen wertvoller denn je. Das Gratis‑E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen, Meldepflichten und praktikable Schutzschritte zusammen – ideal für Geschäftsführer und IT‑Verantwortliche, die in den nächsten Wochen Handlungsbedarf haben. Kurz, umsetzbar und speziell auf Mittelstand und Zulieferketten zugeschnitten. Gratis‑E‑Book: Cyber-Security-Strategien jetzt sichern