Datum: 

NIS-2 in Deutschland: Registrierung im BSI-Portal ab 06.01.2026

Mit dem Inkrafttreten des deutschen NIS-2-Umsetzungsgesetzes am 06.12.2025 sind für betroffene Unternehmen die gesetzlichen Registrierungs- und Meldepflichten aktiviert. Das BSI stellt hierfür seit 06.01.2026 ein neu entwickeltes Portal bereit, das u.a. als zentrale Meldestelle für erhebliche Sicherheitsvorfälle dient.

Die Registrierung für NIS-2 Meldungen erfolgt zweistufig. Zunächst muss ein „Mein Unternehmenskonto“ (MUK) angelegt werden (sofern nicht bereits geschehen). Anschließend kann die Registrierung im neu entwickelten BSI-Portal unter Verwendung des MUK erfolgen, über das auch alle NIS-2-Meldungen eingereicht werden müssen.

Für die Erstellung des MUK-Nutzerkontos ist mindestens ein ELSTER-Organisationszertifikat erforderlich, mit dem sich anschließend auf mein-unternehmenskonto.de eingeloggt werden kann. Es ist für jede Person, die einen Zugriff auf das BSI-Portal benötigt, ein eigenes ELSTER-Organisationszertifikat zu beantragen. Weiter empfiehlt es sich, diese Berechtigungen durch eine zentrale Organisationseinheit zu verwalten. Je Einrichtung/ Organisation können bis zu 500 Zertifikatsdateien beantragt werden. Neben der anfänglichen Registrierung ist ferner zu beachten, dass Änderungen jährlich bzw. innerhalb von zwei Wochen an das BSI zu melden sind.


Konkrete Meldepflichten nach NIS-2: Was wann gemeldet werden muss

Neben der Registrierung erfolgt über das BSI-Portal auch die Meldung erheblicher Sicherheitsvorfälle. NIS-2 setzt hierbei auf einen gestuften Meldeprozess, der schnelle Transparenz schafft und anschließend schrittweise konkretisiert wird:

  • Binnen 24 Stunden: Frühwarnung (Early Warning) nach Kenntniserlangung
  • Binnen 72 Stunden: Incident-Meldung mit erster Einordnung/Vertiefung
  • Binnen eines Monats: Abschlussbericht (oder Fortschrittsbericht, wenn der Vorfall noch andauert; Abschluss dann nach Ende des Vorfalls)

Diese Meldefristen sind Maximalzeiten und dürfen nicht überschritten werden. Sollte sich eine erbrachte Meldung als unzutreffend oder unvollständig herausstellen, kann der Sachverhalt im weiteren Verlauf durch eine Folgemeldung korrigiert oder ergänzt werden. Dies ist durch den dreistufigen Meldeprozess explizit vorgesehen und frühzeitige Erstmeldungen auf Basis einer Vorläufigen Einschätzung sind ausdrücklich erwünscht. Die Stornierung einer bereits erfolgten Meldung ist nicht möglich.

Praktische Konsequenz: Die Fristen lassen sich nur erfüllen, wenn der Meldeprozess klar definiert ist.


Empfehlung: Setzen Sie die Registrierung wie ein Mini-Projekt auf, damit die Nutzung des Portals im Ernstfall reibungslos funktioniert und keine Zeit für die Klärung der Abläufe verloren geht. Folgendes Set-Up zur Orientierung:

  • Verantwortung festlegen: Zentrale Stelle für Nutzer- & Zertifikatverwaltung, Registrierung, Änderungs-Meldungen
  • Zugänge: Für welche Mitarbeiterinnen und Mitarbeiter/ Abteilungen wird ein Zugang zum Portal (und damit ein separates ELSTER-Organisationszertifikat) benötigt?
  • Basisdaten vorbereiten: zentrale Unternehmensdaten, Kontaktstellen (z. B. Security-Kontakt/ Incident-Kontakt), ggf. Zuordnung zu Geschäftsbereichen/Standorten, 
  • Basisstrukturen und -prozesse definieren und dokumentieren: Von der Nutzerverwaltung über die Angriffserkennung bis zur Meldung.


Fazit 

Wer bereit für NIS-2 sein will, sollte nicht nur den „Portalzugang“ sicherstellen, sondern den Meldeprozess vorab ganzheitlich festzurren. Denn am Ende entscheidet nicht der Portal-Login über Compliance, sondern die Fähigkeit, innerhalb von 24 Stunden eine belastbare Erstmeldung abzugeben.

BDO begleitet Unternehmen mit interdisziplinären Teams entlang des gesamten NIS-2-Prozesses – von der Betroffenheitsanalyse, über Registrierung, Sicherstellung der Meldefähigkeit bis zur nachhaltigen Implementierung bzw. Prüfung. Weitere Informationen hierzu finden Sie auf unserer Übersichtsseite.

zur „NIS-2 THEMENSEITE“

Dieser Artikel wurde verfasst von