Die Überführung der NIS‑2‑Richtlinie in deutsches Recht hat uns und viele unserer Kunden in den vergangenen Monaten aus unterschiedlichen Blickwinkeln – insbesondere Informationssicherheit und Compliance – intensiv beschäftigt. Dabei wurde häufig die Frage gestellt: „Sind wir jetzt von NIS‑2 betroffen oder nicht?“
Am 05.12.2025 wurde das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungsgesetz) im Bundesgesetzblatt veröffentlicht, was zu einer Änderung des BSIG führte. Seit dem 06.12.2025 ist das BSIG angepasst, sodass sich diese Frage nun eindeutig beantworten lässt. Wir berichteten bereits ausführlich darüber in unserem Artikel „Das NIS‑2‑Umsetzungsgesetz ist in Kraft getreten – welche Schritte sind nun erforderlich?“
In vielen Fällen wurde eine erste Bewertung bereits durchgeführt; und zahlreiche Unternehmen setzen sich erfolgreich mit den Anforderungen auseinander, die sich an wichtige bzw. besonders wichtige Einrichtungen richten. KRITIS-Betreiber zählen dabei zu den besonders wichtigen Einrichtungen.
Die zentrale Frage der Betroffenheit, die dennoch einige Unternehmen weiterhin beschäftigt, bleibt bisweilen offen und kann im ersten Schritt über eine NIS‑2‑Betroffenheitsprüfung (hier) geklärt werden. In der Praxis ergeben sich jedoch zunehmend komplexe Einzelfallentscheidungen. Für einige Einrichtungen, wie Krankenhäuser oder Betreiber von Energieinfrastrukturen, gestaltet sich eine Einstufung relativ eindeutig. Dies gilt jedoch nicht immer für Unternehmen, die in mehreren der in den Anlage 1 oder 2 des BSIG dargestellten Bereichen tätig sind oder Schwierigkeiten haben, die Signifikanz einzelner Geschäftsfelder einzuschätzen.
In solchen Fällen kann eine ergänzende Compliance‑Beratung zur Betroffenheitsprüfung sinnvoll sein – hierbei unterstützen wir Sie gerne.
Frist zur Anmeldung im BSI-Portal
Sofern die Prüfung ergibt, dass eine Betroffenheit von NIS‑2 vorliegt, besteht eine Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Eine detaillierte Anleitung zur Registrierung im neuen BSI-Portal stellt das BSI auf seiner Website zur Verfügung.
Die Frist zur Registrierung endet am 06.03.2026: Die Registrierungspflicht ergibt sich aus dem novellierten BSIG, das am 06.12.2025 in Kraft getreten ist. Nach Ablauf dieser dreimonatigen Frist (§ 33 Abs. 1 S. 1 BSIG) kann eine verspätete Registrierung mit einem Bußgeld belegt werden (§ 65 Abs. 2 Nr. 6 BSIG). Die Anmeldung erfolgt mit einer digitalen Identität über das „Mein Unternehmenskonto (MUK)“. Für die Authentifizierung muss zuvor ein ELSTER-Organisationszertifikat beantragt werden.
Maßnahmen zum Risikomanagement gemäß § 30 BSIG
Neben der Registrierungspflicht (§ 33 BSIG) und der Meldepflicht für Sicherheitsvorfälle (§ 32 BSIG) haben wichtige und besonders wichtige Einrichtungen durch die neue Gesetzgebung (BSIG) insbesondere Maßnahmen zum Risikomanagement umsetzen. Diese finden sich in § 30 Abs. 2 Nr. 1–10 BSIG.
Unternehmen, die bereits ein Informationssicherheits-Managementsystem (ISMS) umgesetzt haben – bspw. nach ISO/IEC 27001, TISAX® oder dem IT‑Grundschutz – haben wesentliche Maßnahmen des Kapitel 2 des BSIG bereits implementiert.
Sollte NIS‑2 jedoch Ihr erster Berührungspunkt mit dem Thema Informationssicherheit sein, dann unterstützen unsere Experten Sie bei der Umsetzung der entsprechenden Pflichten und der Einführung der benötigten Prozesse sehr gerne. Weitere Informationen für NIS-2-regulierte Einrichtungen finden Sie auf unserer Website.
Anmerkung der Redaktion: Im Titel des Beitrags ist uns ein Fehler unterlaufen, wir haben den Titel angepasst.