Die EU-Richtlinie NIS-2 (Network and Information Security Directive) ist seit 2024 ein zentraler Baustein zur Verbesserung der Cybersicherheit im europäischen Wirtschaftsraum. Mit der deutschen Umsetzung im #NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurden nicht nur KRITIS-Betreiber, sondern auch zahlreiche weitere Unternehmen erstmalig reguliert.
Der entscheidende Punkt: Auch Unternehmen, die bisher nicht unter KRITIS fielen, gelten nun als „wichtige Einrichtungen“ und müssen sich registrieren.
Warum eine Registrierung Pflicht ist
Alle Unternehmen, die unter NIS-2 fallen – also sowohl „besonders wichtige Einrichtungen“ (ehemals KRITIS) als auch „wichtige Einrichtungen“ (neu betroffene Unternehmen) – sind gesetzlich verpflichtet, sich bei der gemeinsamen Registrierungsstelle von BSI und BBK zu melden.
Damit sollen die Behörden:
- Ansprechpartner im Notfall erreichen können
- Cybervorfälle zentral erfassen
- Informationen, Warnungen und Pflichten zielgerichtet verschicken
- die Einhaltung der gesetzlichen Anforderungen überwachen
Die Registrierung muss innerhalb von 3 Monaten erfolgen, nachdem ein Unternehmen feststellt oder feststellen kann, dass es unter NIS-2 fällt.
Wo müssen sich Unternehmen registrieren?
Die Registrierung erfolgt online über eine Elster ID. Ich habe dazu einen separaten Artikel geschrieben.
Dieses Portal ist die zentrale Anlaufstelle für:
- bisherige KRITIS-Betreiber
- alle neuen NIS-2 „wichtigen Einrichtungen“
- NIS-2-relevante Dienstleister
- Betreiber digitaler Dienste
Welche Daten werden benötigt?
Die Registrierung erfordert unter anderem:
- Unternehmensname und Rechtsform
- Adresse und Kontaktdaten
- Name des gesetzlichen Vertreters
- NACE-Code (wirtschaftliche Tätigkeit)
- betroffene Sektoren und Dienste
- öffentliche IP-Adressbereiche
- Länder, in denen Dienste erbracht werden
Je vollständiger die Angaben, desto schneller der Registrierungsprozess.
Wer ist überhaupt betroffen?
Das Gesetz unterscheidet zwei Kategorien:
Besonders wichtige Einrichtungen
(z. B. Energie, Wasser, Gesundheitswesen, große Hersteller, bestimmte IT-Dienstleister)
Wichtige Einrichtungen
(z. B. mittelgroße Unternehmen vieler Branchen ab bestimmten Schwellenwerten)
Ein Unternehmen ist in der Regel betroffen, wenn es:
- mehr als 50 Mitarbeiter hat und
- über 10 Mio. € Umsatz und Bilanzsumme liegt
- oder in einen der NIS-2-Sektoren fällt
Damit betrifft NIS-2 weit mehr Firmen als früher – vom Produktionsbetrieb über IT-Dienstleister bis hin zu Logistik, Lebensmittelwirtschaft und Chemie.
Fazit: Jetzt Klarheit schaffen und registrieren
Unternehmen, die bereits einen IT-Sicherheitscheck sowie eine Risikoanalyse mitsamt Notfallplan durchgeführt haben, verfügen in der Regel über die notwendigen Informationen, um sicher festzustellen:
- ob sie unter die NIS-2-Richtlinie fallen,
- welcher Kategorie („wichtige“ oder „besonders wichtige“ Einrichtung) sie zugeordnet werden
- und ob eine Registrierung im MIP-Portal des BSI/BBK erforderlich ist.
Wenn diese Grundlagen bereits vorhanden sind, kann die Registrierung schnell und rechtssicher erfolgen.
Alle anderen Unternehmen – insbesondere solche, die bislang keine systematische IT-Dokumentation, Gap-Analyse oder Risikobewertung nach BSI-Grundschutz durchgeführt haben – sollten zunächst die nötigen Voraussetzungen schaffen. Dafür empfiehlt sich das kombinierte NIS-2 Vorbereitungspaket, bestehend aus:
🔹 IT-Sicherheitscheck und Gap-Analyse nach BSI-Grundschutz
https://tech-nachrichten.de/it-sicherheits-check/
🔹 Schulung, Risikoanalyse & Notfallkonzept nach NIS-2-Anforderungen
https://tech-nachrichten.de/schulung-notfallkonzept-risiko/
Erst auf dieser Basis kann sauber bewertet werden, ob das Unternehmen als „wichtig“ oder „besonders wichtig“ gilt – und ob eine Registrierungspflicht besteht.
Kommentare