Du bist von NIS-2 betroffen? Dann stehen einige zeitkritische Aufgaben an: Seit dem 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft – und mit ihm neue Pflichten für besonders wichtige und wichtige Einrichtungen.
Hier erfährst Du, was Du zu Registrierungs-, Melde- und Unterrichtspflicht wissen musst – und wie Du die Anforderungen effizient umsetzt.
1. Registrierungspflicht: Wer, wo, bis wann?
Wer muss sich registrieren?
Besonders wichtige und wichtige Einrichtungen (z.B. Energie, Gesundheit, digitale Infrastruktur) sowie Domain-Name-Registry-Diensteanbieter.
Fristen
- Bis 6. März 2026 (3 Monate nach Inkrafttreten).
Schritte
- ELSTER-Zertifikat beantragen: Über Mein Unternehmenskonto (MUK).
- Daten sammeln: Name, Anschrift, Sektor, IP-Adressbereiche, Kontaktdaten etc.
- Registrierung durchführen: Im BSI-Portal – spätestens bis zur Frist!.
Achtung: Änderungen (z.B. neue Standorte) musst du innerhalb von 2 Wochen melden – außer Versorgungskennzahlen (jährlich).
2. Meldepflicht: Was, wann und wie?
Wann musst Du melden?
Kernbotschaft: Bei einem erheblichen Sicherheitsvorfall musst Du schnell handeln – und zwar nach einem klaren Stufenplan:
- Erstmeldung: Innerhalb von 24 Stunden nach Kenntnis musst Du eine frühe Meldung abgeben. Hier reicht erstmal der Verdacht, dass der Vorfall auf böswillige Handlungen oder grenzüberschreitende Auswirkungen zurückzuführen ist.
- Vollständige Meldung: Spätestens nach 72 Stunden folgt die detaillierte Meldung mit erster Bewertung, Schweregrad und möglichen Kompromittierungsindikatoren.
- Abschlussmeldung: Innerhalb von einem Monat musst Du eine ausführliche Beschreibung des Vorfalls, die Ursache, getroffene Maßnahmen und ggf. grenzüberschreitende Auswirkungen liefern. Dauert der Vorfall noch an, reicht erstmal eine Fortschrittsmeldung – die Abschlussmeldung kommt dann später.
Was must Du tun?
- Prozess etablieren: Klare Eskalationswege festlegen, damit Vorfälle schnell gemeldet werden.
- Fomulare nutzen: Das BSI bietet Formulare für Meldungen, die vor der Registrierung Deines Unternehmens verwendet werden müssen. Eine Anleitung zur Meldung wird ebenfalls bereitgestellt.
- Testen: Incident-Response-Übungen durchführen, um die 24/72-Stunden-Fristen zuverlässig einzuhalten.
Wo melden?
- Ab 6. Januar 2026: Über das BSI-Portal.
- Bei noch nicht abgeschlossener Registrierung: Per Online-Formular.
3. Was ist ein erheblicher Sicherheitsvorfall?
Ein erheblicher Sicherheitsvorfall ist kein harmloser IT-Zwischenfall, sondern ein Ereignis mit ernsten Auswirkungen auf Deine Einrichtung oder Dritte. Nach NIS-2 liegt er vor, wenn:
- Deine Dienste schwer gestört werden (z.B. Produktionsausfall, IT-Systeme lahmgelegt).
- Finanzielle Verluste drohen (z.B. durch Ransomware oder Datenverlust).
- Dritte geschädigt werden (z.B. Kunden durch Datenlecks oder Lieferkettenstörungen).
Beispiele:
- Cyberangriffe, die Deine Infrastruktur lahmlegen.
- Datenlecks mit sensiblen Kundendaten. Achtung: Hier auch noch an die Datenschutz-Meldepflichten denken!
- IT-Ausfälle, die Versorgungsengpässe verursachen.
Achtung: Im Zweifel lieber melden! Das BSI betont, dass frühzeitige Meldungen erwünscht sind – auch bei Unsicherheiten.
4. Unterrichtspflicht: Kunden informieren
Falls ein Sicherheitsvorfall Deine Dienstleistung beeinträchtigt, kann das BSI Dich anweisen, Kunden unverzüglich zu informieren. Deine Aufgaben:
- Kommunikationsplan erstellen: Wie informierst Du Kunden? (z.B. per E-Mail, Website-Hinweis).
- Inhalte vorbereiten: Klare, verständliche Infos zum Vorfall und zu Maßnahmen.
- Abstimmung mit der Geschäftsführung: Die externe Kommunikation muss rechtssicher und transparent sein.
5. Tools & Ressourcen für Dich
- BSI-Portal: Registrierung & Meldung
- Infopaket Meldepflicht: #nis2know (Checklisten, Vorlagen)
- Webinare & Schulungen: BSI-Starterpaket (Klick-Anleitungen, Live-Termine)
6. Dein Fahrplan für die nächsten Wochen
| Aufgabe | Frist |
| ELSTER-Zertifikat beantragen | Empfohlen: Bis 15.02.2026 |
| Registrierung abschließen | Verbindlich: Bis 06.03.2026 |
| Meldeprozess testen | Empfohlen: Bis 28.02.2026 |
Hinweis zu den Fristen:
- Verbindliche Fristen (z.B. Registrierung bis 06.03.2026) sind gesetzlich vorgeschrieben und müssen zwingend eingehalten werden.
- Empfohlene Meilensteine (z.B. ELSTER-Zertifikat bis 15.02.2026) sind praktische Orientierungshilfen, um Puffer für technische oder organisatorische Verzögerungen einzuplanen. Sie basieren auf Erfahrungen aus der Praxis, sind aber keine gesetzlichen Vorgaben.
7. Fazit: Jetzt handeln!
Die NIS-2-Pflichten zu Melde-, Registrierungs- und Unterrichtspflicht sind klar definiert – und die Fristen laufen bereits. Nutze die bereitgestellten Ressourcen und Tools, um die Anforderungen strukturiert umzusetzen.
Priorisiere jetzt die Registrierung, etablierte klare Meldeprozesse und bereite die Kommunikation mit Kunden vor, um rechtssicher und handlungsfähig zu bleiben.
Für weitere Fragen steht das BSI mit seinen Infomaterialien und Webinaren zur Verfügung.
Bernd Hampe
ISMS-Praktiker
Bernd ist OT-Verantwortlicher in einem KRITIS Unternehmen, Informationssicherheitsbeauftragter, Risikoverantwortlicher, Administrator und Anwender. Durch diese vielen Rollen konnte er das ISMS in vielen Facetten erleben. Seine Erfahrungen teilt er gern – in Gesprächen und in der ISMS-Softwareentwicklung.
