NIS-2-Portal startet: Cybersicherheit wird Chefsache

Ab sofort haften deutsche Manager persönlich für IT-Sicherheit. Das neue Meldeportal des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist seit Dienstag aktiv und startet den Countdown für rund 30.000 Unternehmen.

Die Ära der rein technischen IT-Sicherheit ist vorbei. Mit dem Start des zentralen BSI-Portals am 6. Januar 2026 wird die Umsetzung des NIS-2-Durchführungsgesetzes (NIS2UmsuCG) praktisch wirksam. Für Büromanagement und Geschäftsführung bedeutet das eine fundamentale Aufgabenerweiterung – hin zu persönlicher Haftung, verpflichtenden Schulungen und strenger Dokumentation. Wer als „wesentliches“ oder „wichtiges“ Unternehmen eingestuft ist, hat nun drei Monate Zeit, sich zu registrieren. Andernfalls drohen empfindliche Bußgelder.

BSI-Portal: Die neue Verwaltungsrealität

Das Portal ist der letzte Baustein zur Umsetzung der EU-NIS-2-Richtlinie in Deutschland. Zwar trat das Gesetz bereits am 6. Dezember 2025 in Kraft, doch erst mit dem Start der Plattform wurde der Vollzug möglich. Die Bürokratie ist anspruchsvoll: Unternehmen benötigen zunächst einen Organisationsaccount über „Mein Unternehmenskonto“ (MUK) mit ELSTER-Zertifikat – bekannt aus der Steuerverwaltung, nun zweckentfremdet für den Cyber-Schutz. Anschließend folgt die Registrierung mit Kontaktdaten der Sicherheitsverantwortlichen.

„Das Portal ist nicht nur eine Datenbank, es ist das zentrale Nervensystem für die nationale Störungsmeldung“, kommentieren Branchenbeobachter. Für das Büromanagement heißt das: Die Plattform muss sofort in die Krisenprotokolle integriert werden. Bei einem signifikanten Vorfall beginnt eine 24-Stunden-Frist für die Meldung.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und was Führungskräfte jetzt tun müssen. Ein kostenloses E‑Book zeigt praxisnahe Sofortmaßnahmen, Pflicht‑Checklisten und Trainingspläne für Geschäftsleitung und Büromanagement, damit Sie NIS‑2‑Meldefristen und persönliche Haftungsrisiken systematisch reduzieren. Jetzt kostenlosen Cyber‑Security‑Guide für Entscheider herunterladen

Persönliche Haftung: Das Ende der Delegation

Die entscheidende Neuerung betrifft die Haftung. Nach Paragraph 38 des novellierten BSI-Gesetzes (BSIG) kann die Geschäftsleitung die rechtliche Verantwortung für Cybersicherheit nicht mehr an die IT-Abteilung delegieren.

Folgen für Büro- und Personalmanagement:
* Persönliche Haftung: Manager können für Schäden aus mangelnden Sicherheitsvorkehrungen persönlich gegenüber ihrer Gesellschaft haftbar gemacht werden. Dieser Haftungsausschluss ist nicht verzichtbar.
* Verpflichtende Schulungen: Die Geschäftsleitung muss regelmäßig an Cybersicherheitstrainings teilnehmen, um Risiken bewerten zu können. Personalabteilungen suchen nun unter Druck nach konformen Schulungsprogrammen für das Top-Management.
* Überwachungspflicht: Die Führungsebene muss die Umsetzung von Risikomanagement-Maßnahmen überwachen. Das erfordert neue Reporting-Strukturen, damit Cyber-Risikoberichte regelmäßig auf dem CEO-Tisch landen.

Cybersicherheit wird damit zum Kernbestandteil der ordentlichen Geschäftsführung – gleichwertig mit finanzieller Compliance.

Bitkom warnt vor „Compliance-Dschungel“

Die Reaktionen aus der Wirtschaft sind gemischt. Am 7. Januar meldete sich der Digitalverband Bitkom zu Wort und verwies auf die anstehende Überarbeitung des EU-Cybersicherheitsgesetzes (CSA) am 14. Januar. Zwar sei mehr Resilienz nötig, doch die überlappenden Regularien von NIS-2 bis zum Cyber Resilience Act schüfen einen „Compliance-Dschungel“ für deutsche Firmen.

Kontrovers diskutiert wird auch die Technik des BSI-Portals. Medienberichte vom 7. Januar enthüllten, dass das BSI für das Backend auf Dienste des US-Anbieters Amazon Web Services (AWS) setzt. Datensouveränitäts-Befürworter fragen sich, warum für sensible nationale Meldestrukturen auf nicht-europäische Hyperscaler zurückgegriffen wird. Für Büroleiter unterstreicht dies die Komplexität des Lieferantenmanagements – auch die IT-Partner müssen nun nach NIS-2-Vorgaben überprüft werden.

Von 4.500 auf 30.000 betroffene Unternehmen

Der Umfang der neuen Regelung ist enorm. Unter dem alten IT-Sicherheitsgesetz 2.0 galten nur etwa 4.500 Unternehmen als Betreiber Kritischer Infrastrukturen (KRITIS). Das NIS-2-Regime erfasst nun fast 30.000 Entitäten.

Damit rücken völlig neue Branchen in den Fokus, die sich bisher nicht als „kritisch“ sahen: Abfallwirtschaft, Lebensmittelproduktion oder die chemische Industrie. Für deren Verwaltungs-Teams beginnt eine steile Lernkurve. „Die administrative Last hat sich über Nacht verlagert“, erklärt ein Compliance-Berater aus Berlin. „Büromanager, die sich früher um Facility-Logistik kümmerten, koordinieren nun ELSTER-Zertifikate und BSI-Token. Das ist eine Neudefinition der Rolle.“

Countdown läuft: Frist endet im März 2026

Die Priorität für das erste Quartal 2026 ist klar: die Registrierung. Blickpunkt Mitte Januar ist die geplante Überarbeitung des EU-Cybersicherheitsgesetzes. Sie soll Zertifizierungsrahmen für ICT-Produkte vereinfachen und könnte Firmen bei den technischen NIS-2-Anforderungen entlasten.

Ab Ende 2026 oder Anfang 2027 wird voraussichtlich die „Audit-Phase“ beginnen. Nach Ablauf der Registrierungsfrist will das BSI Stichproben und Überprüfungen hochfahren. Büromanagement-Teams sollten die aktuelle Phase nutzen, um nicht nur die Formalien zu erledigen, sondern auch Probe-Meldungen durchzuspielen.

Die Botschaft aus Berlin ist eindeutig: Die Schonfrist ist vorbei. Mit dem aktiven Portal und den geltenden Gesetzen ist Cybersicherheit zur nicht verhandelbaren Säule der deutschen Unternehmensführung geworden.

PS: Sie müssen die NIS‑2‑Pflichten nicht allein bewältigen. Das Gratis‑E‑Book „Cyber Security Awareness Trends“ fasst Pflichtfristen, praktische Schutzmaßnahmen und Checklisten für Geschäftsführer und IT‑Verantwortliche kompakt zusammen – ideal, um jetzt schnell Compliance‑Sicherheit aufzubauen. Gratis Cyber‑Security‑E‑Book sichern