NIS‑2 in der Praxis: So schaffen Unternehmen die Registrierung bis 06.03.2026

Die NIS‑2‑Richtlinie ist in Deutschland Realität – und sie verlangt Tempo. Seit dem 06.12.2025 gilt die Registrierungspflicht für betroffene Unternehmen, das BSI‑Portal ist seit 06.01.2026 freigeschaltet. Spätestens bis zum 06.03.2026 muss die Registrierung abgeschlossen sein.

Dieser Beitrag erklärt ohne Fachchinesisch, wer registrierungspflichtig ist, wie der zweistufige Prozess über „Mein Unternehmenskonto (MUK)“ und das BSI‑Portal funktioniert, welche Fristen gelten und wie Sie Meldepflichten zuverlässig einhalten.

Warum diese Frist jetzt zählt

Mit dem Inkrafttreten des NIS‑2‑Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) am 06.12.2025 wurden die Registrierungs- und Meldepflichten scharfgestellt. Das BSI stellt dafür seit 06.01.2026 ein neues Portal bereit.

Die Registrierung ist bindend und betrifft deutlich mehr Unternehmen als früher.

Wer ist registrierungspflichtig?

NIS‑2 erweitert den Kreis der regulierten Organisationen erheblich. Betroffen sind „besonders wichtige“ und „wichtige“ Einrichtungen in zahlreichen Sektoren – von Energie über Gesundheit bis hin zu digitalen Diensten.

Praktische Faustregel: Unternehmen in relevanten Sektoren mit ≥ 50 Mitarbeitenden oder > 10 Mio. € Umsatz/Bilanzsumme sind häufig betroffen.
Für eine erste Einordnung stellt das BSI eine Betroffenheitsprüfung bereit.¹

Die relevanten Fristen im Überblick

• Registrierungsfrist:
  spätestens 06.03.2026. Die Frist ergibt sich aus drei Monaten ab 06.12.2025. Entsprechende Praxishinweise verweisen auf diesen Stichtag.
• Änderungen melden:
  unverzüglich, spätestens innerhalb von zwei Wochen – etwa bei neuer Kontaktstelle oder geänderten Stammdaten.
• Meldepflichten: greifen sofort; auch vor abgeschlossener Registrierung stehen Online‑Formulare bereit.

So läuft die Registrierung ab – verständlich Schritt für Schritt

Schritt 1: Zugang über „Mein Unternehmenskonto (MUK)“

Zuerst wird ein MUK‑Zugang eingerichtet. Dafür benötigen alle Personen, die später im BSI‑Portal arbeiten, ein eigenes ELSTER‑Organisationszertifikat. MUK dient als Identitätsdienst und übergibt zentrale Stammdaten automatisiert an das BSI‑Portal – das spart Tipparbeit und vermeidet Übertragungsfehler.

Schritt 2: Registrierung im BSI‑Portal

Die Anmeldung erfolgt über MUK. Abgefragt werden u. a. eine 24/7 erreichbare NIS‑2‑Kontaktstelle, eine Kontaktperson, Angaben zu Sektor/Branche, Einrichtungsart, betroffenen EU‑Ländern, zuständigen Aufsichtsbehörden, zur Unternehmensgröße sowie ggf. öffentlich erreichbare IP‑Adressbereiche.²

Gut zu wissen: Das BSI bietet ein Starterpaket mit Klick‑Anleitungen und Webinaren – ideal, um den ersten Durchlauf sicher zu gestalten.

Meldepflichten ohne Überraschungen (24 h / 72 h / 30 Tage)

Für erhebliche Sicherheitsvorfälle gilt ein dreistufiger Meldeprozess:

• Frühwarnung innerhalb von 24 Stunden,
• Detailmeldung innerhalb von 72 Stunden,

• Abschluss- oder Fortschrittsbericht innerhalb von 1 Monat. Diese Maximalfristen sind einzuhalten.
  Wenn ein erheblicher Vorfall vor Abschluss der Registrierung eintritt, stellt das BSI Online‑Formulare für Meldungen bereit (KRITIS/Bundesbehörden: vorübergehend bestehende Meldewege). ³

Checkliste: Was Sie für die Registrierung benötigen

• ELSTER‑Organisationszertifikate für alle Portalnutzer (ein Zertifikat pro Person).
• MUK‑Zugang inkl. vollständiger Stammdaten (Rechtsform, Register, Anschrift).
• Kontaktstelle (24/7) & Kontaktperson mit Telefonnummer/E‑Mail.
• Sektor/Branche, Einrichtungsart, betroffene EU‑Mitgliedstaaten, zuständige Aufsichtsbehörden.
• Unternehmensgröße (Beschäftigte, Jahresumsatz, Bilanzsumme).
• Ggf. öffentlich erreichbare IP‑Adressbereiche.

Typische Hürden – und wie Sie sie umgehen

• Einstufung ist unklar. Nutzen Sie die Betroffenheitsprüfung und dokumentieren Sie Ihre Entscheidung; Grenzfälle sollten rechtlich geprüft werden. [bsi.bund.de],
• Zugriffsrechte werden zu spät geplant. Für jede Person ist ein eigenes ELSTER‑Zertifikat erforderlich; Berechtigungen zentral organisieren (technisch sind viele Zertifikate pro Organisation möglich).
• 24/7‑Erreichbarkeit fehlt. Legen Sie Rufbereitschaft und Vertretungen fest und halten Sie die Daten im Portal aktuell – Änderungen innerhalb von zwei Wochen melden.

Was nach der Registrierung wichtig bleibt

NIS‑2 endet nicht mit dem Klick auf „Absenden“. Einrichtungen müssen Risikomanagementmaßnahmen nach dem Stand der Technik einführen und wirksam halten – inklusive Incident‑Response, Backup/Recovery, Patch‑Management, Lieferkettensicherheit und Schulungen.

Die Geschäftsleitung bleibt in der Verantwortung.

Wie microCAT technisch unterstützt – TOMs, die in der Praxis tragen

Unser NIS‑2 Berater führt Kund:innen durch Einstufung, Fristen und Prozesse. Parallel setzt das technische Team von microCAT die Technischen und Organisatorischen Maßnahmen (TOMs) so um, dass sie wirksam, messbar und audit‑fähig sind – ohne Overhead.

Identitäten & Zugriff (Identity‑First Security)

Wir härten den Zugang zum Unternehmen, damit nur berechtigte Personen die richtigen Rechte zur richtigen Zeit haben – und kompromittierte Konten rasch enttarnt werden.

• MFA by default für privilegierte & sensible Rollen, Phishing‑resistente Verfahren wo möglich.
• Rollenbasiertes Berechtigungsmodell (RBAC): Aufräumen von Alt‑Rechten, Least Privilege, Rezertifizierungen.
• Privileged Access Management (PAM): Sprungkonten, Just‑in‑Time‑Zugriff, Sitzungsaufzeichnung.
• Conditional Access / Device Compliance: Zugriffe anhand Kontext (Standort, Gerät, Risiko) steuern.
  Ergebnis: nachweisbar reduzierte Angriffsfläche; Berichte über Admin‑Anteile, MFA‑Abdeckung, fehlgeschlagene Anmeldeversuche.

Endgeräte‑ & Serverhärtung

Wir bringen Workstations, Laptops, Server und OT‑nahe Systeme auf belastbare Baselines – einmalig und im Betrieb.

• Standardisierte Hardening‑Profile (Windows/Linux), Deaktivierung unnötiger Dienste, sichere Konfigurationen von Browsern/Office/Mail.
• EDR/XDR‑Rollout inkl. Tuning von Regeln, Threat Containment und automatisierten Isolations-Playbooks.
• Patch‑ & Schwachstellenmanagement: Priorisierung (CVSS/Exploitability), feste Wartungsfenster, Ausfall‑sichere Verteilung.
  Ergebnis: belastbare Telemetrie pro Asset, klar definierte Patch‑SLOs, monatliche Schwachstellen‑Trends.

Netzwerk, Segmentierung & E‑Mail‑Sicherheit

Wir minimieren laterale Bewegungen und Phish‑Risiken – die häufigsten Einfallstore.

• Netzwerk‑Segmentierung (z. B. Benutzer/Server/Management/OT), deny‑by‑default für Ost‑West‑Traffic.
• DNS‑/Web‑Filtering & Mail‑Gateways (SPF/DKIM/DMARC, Attachment‑Isolation, Link‑Rewriting).
• Micro‑Segmentation für kritische Anwendungen und Admin‑Zugänge.
  Ergebnis: nachvollziehbare Policy‑Sets, Heatmaps des internen Traffic, sinkende Phish‑Click‑Rates.

Protokollierung, SIEM & Use‑Cases

NIS‑2 verlangt schnelle, qualifizierte Meldungen. Wir sorgen dafür, dass Erkennung und Beleglage stehen.

• Log‑Coverage‑Plan: Welche Systeme liefern welche Ereignisse mit welcher Aufbewahrungszeit?
• SIEM‑Use‑Cases gegen Top‑Risiken (Anomalien bei Admin‑Konten, Massen‑Anmeldungen, Ransomware‑Indikatoren, Datenabfluss).
• Dashboards & Alarmierung: klare Schwellenwerte, Playbooks und Eskalationswege bis zur 24/72/30‑Meldung.
  Ergebnis: Mean Time to Detect/Respond sinkt; Reports liegen audit‑ready vor.

Backup, Wiederanlauf & Resilienz

Damit ein Vorfall nicht zum Stillstand führt.

• 3‑2‑1‑Strategie mit unveränderlichen Kopien (immutables Backup) und isolierten Wiederherstellungstests.
• Runbooks für Restore‑Szenarien (Ransomware, AD‑Recovery, Mail/Files/ERP).
• Notfall‑Kommunikation und minimaler Weiterbetrieb (z. B. Out‑of‑Band‑Kanäle).
  Ergebnis: belegte RTO/RPO‑Werte; regelmäßige Proberestores als Nachweis.

Schwachstellen‑ & Patch‑Prozess (kontinuierlich)

• Asset‑Inventar als Single Source of Truth, regelmäßige VM‑Scans, Priorisierung nach Risiko & Exposition.
• „Fix‑within“‑Ziele (z. B. kritisch: 7 Tage), Ausnahmen dokumentiert mit Kompensationsmaßnahmen.
  Ergebnis: klare SLA‑Erfüllung, Trendberichte, reduzierte Angriffsfläche.

Lieferkette & Drittparteien

• Security‑Anforderungen an Dienstleister (Mindest‑Kontrollen, Nachweise, Notfallkontakte).
• SBOM/Inventar für kritische Software und Monitoring bekannter Exploits.
  Ergebnis: transparente Abhängigkeiten, definierte Reaktionen bei Zuliefer‑Vorfall.

Microsoft‑/M365‑Spezifika (falls im Einsatz)

• Secure‑Config‑Baseline für Entra ID, Exchange Online, SharePoint/OneDrive, Teams.
• Defender‑Suite (Endpoint/Identity/Office/Cloud Apps) zielgerichtet aktivieren und feinjustieren.
• Data Loss Prevention & Information Protection (Labels, Verschlüsselung, Exfil‑Kontrollen).
  Ergebnis: konsistente Kontrolle über Identitäten, Daten und Kollaboration – mit aussagekräftigen Metriken.

Security‑Awareness & Phishing‑Resilienz

Technik wirkt am besten, wenn Menschen sicher handeln. Wir bauen eine Awareness‑Schiene, die spürbar Verhalten verändert – ohne Schulungsmüdigkeit.

• Rollenspezifische Schulungen (IT, Fachbereiche, Führungskräfte) mit kurzformatigen Modulen (10–15 Min.).
• Regelmäßige Phishing‑Simulationen mit zielgruppengerechten Szenarien und sofortigem Micro‑Learning.
• Metriken, die zählen: Teilnahme‑ und Bestehensquoten, Click‑Rates, Zeit bis Meldung, Lernfortschritt pro Team.
  

Ergebnis:
messbar weniger Klicks auf bösartige Mails, schnellere Meldungen, höhere Sicherheitsreife – ideal als Nachweis für NIS‑2.

FAQ – Die wichtigsten Fragen im Überblick

NIS‑2 ist kein Bürokratiemonster, wenn man den Ablauf kennt und konsequent umsetzt.
Wer jetzt MUK und ELSTER vorbereitet, die Registrierung sauber durchführt und die Melde‑ sowie Änderungspflichten verlässlich verankert, ist zum 06.03.2026 nicht nur compliant, sondern auch resilienter gegenüber Cyberrisiken.

Mehr über das Thema lesen:

NIS-2: Alles, was Sie zur NIS-2-Richtlinie wissen müssen

Welche NIS-2 Zertifizierungen gibt es?

Umsetzung und Beratung zu NIS-2: Wir unterstützen Sie