NIS-2 Registrierung startet – was Unternehmen jetzt wissen müssen

Die NIS-2 Registrierung ist kein rein formaler Akt, sondern der sichtbare Einstieg in ein umfassendes Cybersicherheits- und Aufsichtsregime. Sie markiert den Punkt, an dem sich Organisationen gegenüber Behörden erklären müssen, ganz im Sinne von „Wir sind von NIS 2 betroffen  – und wir haben unsere Risiken und Schutzmaßnahmen im Griff!“

Was ist NIS-2 überhaupt? Kurze Einordnung

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite Vorgabe zur Stärkung der Cyber-Resilienz. Sie ersetzt die bisherige NIS-Richtlinie und reagiert auf die zunehmende Bedrohung durch Cyberangriffe, Lieferkettenrisiken und systemische IT-Abhängigkeiten – auch im Kontext von KI.

Im Kern verpflichtet NIS 2 betroffene Organisationen dazu, angemessene technische und organisatorische Maßnahmen (sog. TOMs) zur IT- und Informationssicherheit umzusetzen, Sicherheitsvorfälle zeitnah zu melden und die Verantwortung klar auf der Leitungsebene zu verankern. Cybersicherheit wird damit ausdrücklich zur Management- und Governance-Aufgabe.

Ab wann gilt NIS-2 – und was bedeutet das für die Registrierung?

Die NIS-2-Richtlinie ist auf EU-Ebene bereits in Kraft getreten. Die Mitgliedstaaten müssen sie in nationales Recht überführen. In Deutschland erfolgt dies über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, das sich aktuell noch im Gesetzgebungsverfahren befindet.

Unabhängig davon bereiten die zuständigen Behörden, insbesondere das Bundesamt für Sicherheit in der Informationstechnik (BSI), bereits die NIS-2 Registrierung vor. Geplant ist ein zentrales Registrierungsportal, über das betroffene Unternehmen ihre Zugehörigkeit anzeigen müssen. Die Registrierung ist damit eine aktive Pflicht: Unternehmen müssen selbst prüfen, ob sie unter NIS 2 fallen, und sich fristgerecht registrieren.

Für wen gilt die NIS-2 Registrierung und wer muss sich registrieren?

Die NIS-2-Richtlinie erweitert den Anwendungsbereich erheblich. Betroffen sind nicht mehr nur klassische Kritische Infrastrukturen, sondern auch viele mittelständische Unternehmen und KMU. Maßgeblich sind dabei vor allem Branche, Unternehmensgröße und Funktion.

Erfasst werden unter anderem Unternehmen aus den Bereichen Energie, Verkehr, Wasser, Gesundheitswesen, digitale Infrastruktur, IT-Dienstleistungen, Cloud- und Rechenzentrumsbetrieb, Industrie, Entsorgung sowie Teile der öffentlichen Verwaltung. Die Richtlinie unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen. Beide Gruppen unterliegen der NIS-2 Registrierung und verbindlichen Sicherheitsanforderungen – mit abgestufter Aufsicht und Sanktionierung.

NIS-2 gilt also insbesondere für:

• Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz, sofern sie in einem erfassten Sektor tätig sind
• Kritische und wichtige Branchen wie Energie, Verkehr, Gesundheitswesen, Wasser, digitale Infrastruktur, IT- und Cloud-Dienstleister
• Unternehmen mit systemischer Bedeutung, z. B. Managed Service Provider, Rechenzentren, SaaS- und Plattformanbieter
• Öffentliche Einrichtungen und Behörden, soweit sie unter den erweiterten Anwendungsbereich der Richtlinie fallen

Wo startet die Registrierung für NIS-2 beim BSI?

Die NIS-2 Registrierung soll in Deutschland zentral über ein BSI-Portal erfolgen (Link zur BSI-Pressemitteilung). Dort müssen Unternehmen künftig Angaben zu ihrer Organisation, Branche und Rolle machen. Auf dieser Basis erfolgt die Zuordnung zum NIS-2-Regime und die weitere aufsichtsrechtliche Betreuung.

Mit der Registrierung gehen weitere Pflichten einher: die Benennung von Ansprechpartnern, die Vorbereitung auf Meldepflichten bei Sicherheitsvorfällen sowie die Nachweisbarkeit von Sicherheitsmaßnahmen. Die Registrierung ist damit der erste formale Schritt in eine laufende Compliance-Beziehung mit der Aufsichtsbehörde.

Bedeutung der NIS-2 Registrierung für Governance, Risk und Compliance

Aus GRC-Sicht stellt die NIS-2 Registrierung den Startpunkt für ein dauerhaftes Cybersicherheits-Management dar. Entsprechende Governance-Strukturen müssen sicherstellen, dass die Geschäftsleitung informiert, eingebunden und verantwortlich ist. Risiko-Management muss Cyberrisiken systematisch erfassen, priorisieren und regelmäßig überprüfen – auch mit Blick auf Dienstleister und Lieferketten.

Für die Compliance bedeutet NIS 2, dass Sicherheitsmaßnahmen, Schulungen, Risikoanalysen und Incident-Prozesse nicht nur existieren, sondern dokumentiert und prüfbar sein müssen. Die Registrierung macht Organisationen sichtbar – und damit auch überprüfbar. Wer hier also noch keine passenden Risk- und Compliance-Management Prozesse etabliert hat, sollte sich spätestens nach der Registrierung sputen!

Unterstützung bei der Registrierung durch Elsen GRC

Elsen GRC begleitet Unternehmen und öffentliche Stellen bei der NIS-2 Registrierung und der anschließenden Umsetzung der Anforderungen. Dazu gehören die Prüfung der Betroffenheit, die strukturierte Vorbereitung auf das BSI-Portal, der Aufbau oder Abgleich von Governance- und Risiko-Strukturen sowie die Integration von NIS-2-Pflichten in bestehende Compliance-Systeme.

Ziel ist es, die Registrierung nicht als isolierte Pflicht zu behandeln, sondern als Einstieg in eine belastbare und zukunftsfähige Cyber-Governance. Gerne unterstütze ich Sie dabei im Rahmen eines unverbindlichen Erstgesprächs.

---

Foto: Joshua Woroniecki – Unsplash.com

Quellen:

• NIS-2 Registrierung und BSI-Portal – Digital Business Magazin
• NIS-2 Umsetzungsgesetz – IHK Erfurt
• NIS-2-Richtlinie – Europäische Kommission
• NIS 2 startet – All-About-Security