NIS2-Portal startet: Deutschlands IT-Sicherheit wird jetzt durchgesetzt

Die Schonfrist ist vorbei: Ab kommender Woche müssen Tausende Unternehmen und Behörden in Deutschland ihre Cybersicherheit nach dem neuen NIS2-Gesetz nachweisen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) startet am Dienstag, dem 6. Januar 2026, sein zentrales Meldeportal. Für besonders wichtige Einrichtungen beginnt damit der Countdown – sie müssen sich bis zum 6. März registrieren. Während der Privatsektor klare Vorgaben erhält, bleiben die Kommunen in einer gefährlichen Grauzone.

Mit dem Start des Portals wird aus theoretischer Gesetzeslage praktischer Verwaltungsalltag. Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz bereits. Bisher konnten signifikante Sicherheitsvorfälle über Übergangsformulare gemeldet werden. Ab Dienstag ist das zentrale digitale System verbindlich. Es folgt einem strengen Drei-Stufen-Meldezyklus: eine Frühwarnung innerhalb von 24 Stunden, ein detaillierter Vorfallbericht binnen 72 Stunden und ein Abschlussbericht innerhalb eines Monats.

Die operativen Anforderungen sind hoch. Das Gesetz sah für seine Kernpflichten keine Übergangsfrist vor. Unternehmen, die bis Jahresende keinen Zugang über „Mein Unternehmenskonto“ (MUK) eingerichtet haben, geraten jetzt unter Zeitdruck. Branchenbeobachter sehen die ersten Portal-Wochen als Stresstest – nicht nur für die BSI-Infrastruktur, sondern für die Incident-Response-Prozesse der gesamten deutschen Wirtschaft. Lange interne Untersuchungen vor einer Meldung sind nicht mehr möglich; potenzielle Bedrohungen müssen sofort gemeldet werden.

Viele Unternehmen sind auf NIS2 und die neue Meldepflicht nicht ausreichend vorbereitet. Ein kostenloses E‑Book fasst praxisnahe Sofortmaßnahmen zusammen – von schnellen Konfigurationschecks über cloudorientierte Sicherheits‑Kontrollen bis hin zu einem einfachen Incident‑Response‑Mini‑Plan, den Ihre IT in wenigen Stunden umsetzt. Ideal für Behörden und kommunale IT‑Teams, die ohne große Budgets Compliance und Resilienz verbessern wollen. Jetzt kostenlosen Cyber‑Security‑Report anfordern

Das kommunale Dilemma: Ausgenommen, aber verwundbar

Während das Bundesgesetz Klarheit für Betreiber Kritischer Infrastrukturen (KRITIS) und große Digitaldienstleister schafft, herrscht bei Deutschlands Kommunen weiterhin Unsicherheit. Der Bundestag folgte im November weitgehend dem IT-Planungsrat und nahm die kommunale IT aus dem direkten Geltungsbereich der Bundesregelung.

Experten kritisieren diese Entscheidung scharf als „systemisches Problem“. Sie warnen vor einer gefährlichen Asymmetrie in der Cyberabwehr. Städte und Gemeinden verwalten sensible Bürgerdaten und essentielle Dienste – von der Wasserversorgung bis zur Verkehrssteuerung. Doch sie unterliegen nicht den gleichen Sicherheitsvorgaben wie privatwirtschaftliche Unternehmen vergleichbarer Bedeutung.

Bedeutet das Freifahrtsschein? Keineswegs. Die Kommunen geraten zunehmend über ihre Lieferketten in den NIS2-Sog. Bei der Modernisierung setzen sie auf Cloud-Dienste von Anbietern, die selbst als „wichtige“ oder „essentielle“ Einheiten nach NIS2 eingestuft sind. Diese Provider sind gesetzlich verpflichtet, ihre Lieferkette abzusichern. Die Folge: Sie geben die strengen Sicherheitsanforderungen an ihre Kunden weiter. Kommunale IT-Leiter müssen die NIS2-Standards oft freiwillig erfüllen, um Verträge mit großen Cloud-Anbietern zu behalten oder neue digitale Dienstleistungen zu beschaffen.

Zudem arbeiten mehrere Bundesländer an eigenen Cybersicherheitsgesetzen, die die NIS2-Vorgaben spiegeln. Sie könnten die kommunale Lücke noch 2026 schließen. Bis dahin operieren die Verwaltungen in einer prekären Übergangsphase: hohen Bedrohungen ausgesetzt, mit lückenhaften regulatorischen Vorgaben.

Cloud-Sicherheit wird zur Compliance-Pflicht

Die Verschmelzung von NIS2-Standards und Cloud-Migration verändert die IT-Beschaffung im öffentlichen Sektor grundlegend. Cloud-Sicherheit ist keine rein technische Spezifikation mehr, sondern eine Compliance-Vorgabe. Für regulierte Unternehmen muss der Einsatz von Cloud-Diensten risikobewertet werden – inklusive der Prüfung der Datensouveränität und der Resilienz gegen extraterritoriale Zugriffe.

Genau hier liegt die Herausforderung für viele Kommunen. Oft fehlt das interne Know-how für die detaillierten Anbieteraudits, die ein NIS2-konformes Lieferkettenmanagement erfordert. Sie sind auf Zertifizierungen und Drittaudits angewiesen. Der Markt reagiert: Deutsche und europäische Cloud-Provider bringen „NIS2-ready“-Pakete für den öffentlichen Sektor auf den Markt, die den Compliance-Aufwand übernehmen sollen.

Doch das „Shared-Responsibility-Modell“ der Cloud bleibt eine Stolperfalle. Der Provider sichert die Infrastruktur, die Kommune bleibt aber verantwortlich für Zugriffsmanagement, Datenverschlüsselung und Konfiguration. Ein falsch konfigurierter Cloud-Speicher oder eine schwache Zwei-Faktor-Authentifizierung kann auch bei einem zertifizierten Anbieter zu einem folgenschweren Vorfall führen.

Der Countdown zum 6. März läuft

Die kommenden Monate werden die praktische Anwendung des neuen Rahmens prägen. Der Fokus liegt auf der Registrierungsfrist am 6. März 2026. Das BSI rechnet mit rund 29.500 erfassten Einrichtungen – ein massiver Anstieg gegenüber den etwa 4.500 unter dem alten IT-Sicherheitsgesetz.

Für die Privatwirtschaft ist die Priorität klar: registrieren, auditieren, absichern. Für die Kommunen wird das erste Quartal 2026 zur Phase der strategischen Beobachtung und freiwilligen Anpassung. Verbände raten Bürgermeistern und Räten bereits, nicht auf Landesgesetze zu warten, sondern NIS2 als de-facto-Standard der Technik zu behandeln.

Mit dem Start des BSI-Portals senden die Bundesbehörden eine eindeutige Botschaft: Die Vorbereitungszeit ist abgelaufen. 2026 ist das Jahr der Durchsetzung. In einem vernetzten digitalen Ökosystem kann sich keine Einheit – ob Bundesbehörde, Unternehmen oder Kommune – die Rolle des schwächsten Glieds leisten.

PS: Kurz vor der Registrierungsfrist hilft ein praxisorientierter Leitfaden dabei, die richtigen Prioritäten zu setzen: Welche Dokumentation erwartet das BSI, welche Cloud‑Checks reduzieren Vertragsrisiken, und welche Basismaßnahmen senken das kurzfristige Gefährdungsniveau? Der Gratis‑Guide enthält Checklisten für Lieferketten‑Audits, einfache Prüfungen für Zugangskonfigurationen und eine Anti‑Phishing‑Grundprüfung – empfohlen für Kommunen und kleine Behörden, die freiwillig NIS2‑Standards umsetzen möchten. Jetzt gratis Cyber‑Security‑Leitfaden downloaden