Executive Summary: NIS-2 Registrierung startet jetzt beim BSI – was Unternehmen jetzt wissen müssen

Mit dem Start der NIS-2 Registrierung beginnt für viele Unternehmen und Organisationen eine neue Phase verpflichtender Cybersicherheits-Compliance. Die europäische NIS-2-Richtlinie  erweitert den Kreis der betroffenen Einrichtungen deutlich und verpflichtet diese, sich aktiv zu identifizieren, Sicherheitsmaßnahmen umzusetzen und Vorfälle zu melden. Auch wenn die nationale Umsetzung in Deutschland noch nicht vollständig abgeschlossen ist, laufen die Vorbereitungen für die NIS-2 Registrierung beim BSI bereits auf Hochtouren. Unternehmen sollten jetzt klären, ob sie betroffen sind, ab wann Pflichten greifen und wo die Registrierung erfolgen wird – denn eine automatische Benachrichtigung ist nicht vorgesehen.

Die NIS-2 Registrierung ist kein rein formaler Akt, sondern der sichtbare Einstieg in ein umfassendes Cybersicherheits- und Aufsichtsregime. Sie markiert den Punkt, an dem sich Organisationen gegenüber Behörden erklären müssen, ganz im Sinne von „Wir sind von NIS 2 betroffen  – und wir haben unsere Risiken und Schutzmaßnahmen im Griff!“

Was ist NIS-2 überhaupt? Kurze Einordnung

Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite Vorgabe zur Stärkung der Cyber-Resilienz. Sie ersetzt die bisherige NIS-Richtlinie und reagiert auf die zunehmende Bedrohung durch Cyberangriffe, Lieferkettenrisiken und systemische IT-Abhängigkeiten – auch im Kontext von KI.

Im Kern verpflichtet NIS 2 betroffene Organisationen dazu, angemessene technische und organisatorische Maßnahmen (sog. TOMs) zur IT- und Informationssicherheit umzusetzen, Sicherheitsvorfälle zeitnah zu melden und die Verantwortung klar auf der Leitungsebene zu verankern. Cybersicherheit wird damit ausdrücklich zur Management- und Governance-Aufgabe.

Ab wann gilt NIS-2 – und was bedeutet das für die Registrierung?

Die NIS-2-Richtlinie ist auf EU-Ebene bereits in Kraft getreten. Die Mitgliedstaaten müssen sie in nationales Recht überführen. In Deutschland erfolgt dies über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, das sich aktuell noch im Gesetzgebungsverfahren befindet.

Unabhängig davon bereiten die zuständigen Behörden, insbesondere das Bundesamt für Sicherheit in der Informationstechnik (BSI), bereits die NIS-2 Registrierung vor. Geplant ist ein zentrales Registrierungsportal, über das betroffene Unternehmen ihre Zugehörigkeit anzeigen müssen. Die Registrierung ist damit eine aktive Pflicht: Unternehmen müssen selbst prüfen, ob sie unter NIS 2 fallen, und sich fristgerecht registrieren.

Für wen gilt die NIS-2 Registrierung und wer muss sich registrieren?

Die NIS-2-Richtlinie erweitert den Anwendungsbereich erheblich. Betroffen sind nicht mehr nur klassische Kritische Infrastrukturen, sondern auch viele mittelständische Unternehmen und KMU. Maßgeblich sind dabei vor allem Branche, Unternehmensgröße und Funktion.

Erfasst werden unter anderem Unternehmen aus den Bereichen Energie, Verkehr, Wasser, Gesundheitswesen, digitale Infrastruktur, IT-Dienstleistungen, Cloud- und Rechenzentrumsbetrieb, Industrie, Entsorgung sowie Teile der öffentlichen Verwaltung. Die Richtlinie unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen. Beide Gruppen unterliegen der NIS-2 Registrierung und verbindlichen Sicherheitsanforderungen – mit abgestufter Aufsicht und Sanktionierung.

NIS-2 gilt also insbesondere für:

• Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz, sofern sie in einem erfassten Sektor tätig sind
• Kritische und wichtige Branchen wie Energie, Verkehr, Gesundheitswesen, Wasser, digitale Infrastruktur, IT- und Cloud-Dienstleister
• Unternehmen mit systemischer Bedeutung, z. B. Managed Service Provider, Rechenzentren, SaaS- und Plattformanbieter
• Öffentliche Einrichtungen und Behörden, soweit sie unter den erweiterten Anwendungsbereich der Richtlinie fallen

Wo startet die Registrierung für NIS-2 beim BSI?

Die NIS-2 Registrierung soll in Deutschland zentral über ein BSI-Portal erfolgen (Link zur BSI-Pressemitteilung). Dort müssen Unternehmen künftig Angaben zu ihrer Organisation, Branche und Rolle machen. Auf dieser Basis erfolgt die Zuordnung zum NIS-2-Regime und die weitere aufsichtsrechtliche Betreuung.

Mit der Registrierung gehen weitere Pflichten einher: die Benennung von Ansprechpartnern, die Vorbereitung auf Meldepflichten bei Sicherheitsvorfällen sowie die Nachweisbarkeit von Sicherheitsmaßnahmen. Die Registrierung ist damit der erste formale Schritt in eine laufende Compliance-Beziehung mit der Aufsichtsbehörde.

Die NIS-2 Registrierung ist beim BSI über das BSI-Portal möglich

Bedeutung der NIS-2 Registrierung für Governance, Risk und Compliance

Aus GRC-Sicht stellt die NIS-2 Registrierung den Startpunkt für ein dauerhaftes Cybersicherheits-Management dar. Entsprechende Governance-Strukturen müssen sicherstellen, dass die Geschäftsleitung informiert, eingebunden und verantwortlich ist. Risiko-Management muss Cyberrisiken systematisch erfassen, priorisieren und regelmäßig überprüfen – auch mit Blick auf Dienstleister und Lieferketten.

Für die Compliance bedeutet NIS 2, dass Sicherheitsmaßnahmen, Schulungen, Risikoanalysen und Incident-Prozesse nicht nur existieren, sondern dokumentiert und prüfbar sein müssen. Die Registrierung macht Organisationen sichtbar – und damit auch überprüfbar. Wer hier also noch keine passenden Risk- und Compliance-Management Prozesse etabliert hat, sollte sich spätestens nach der Registrierung sputen!

Unterstützung bei der Registrierung durch Elsen GRC

Elsen GRC begleitet Unternehmen und öffentliche Stellen bei der NIS-2 Registrierung und der anschließenden Umsetzung der Anforderungen. Dazu gehören die Prüfung der Betroffenheit, die strukturierte Vorbereitung auf das BSI-Portal, der Aufbau oder Abgleich von Governance- und Risiko-Strukturen sowie die Integration von NIS-2-Pflichten in bestehende Compliance-Systeme.

Ziel ist es, die Registrierung nicht als isolierte Pflicht zu behandeln, sondern als Einstieg in eine belastbare und zukunftsfähige Cyber-Governance. Gerne unterstütze ich Sie dabei im Rahmen eines unverbindlichen Erstgesprächs.

Foto: Joshua Woroniecki – Unsplash.com

Quellen:

• NIS-2 Registrierung und BSI-Portal – Digital Business Magazin
• NIS-2 Umsetzungsgesetz – IHK Erfurt
• NIS-2-Richtlinie – Europäische Kommission
• NIS 2 startet – All-About-Security

Der Beitrag NIS-2 Registrierung startet – was Unternehmen jetzt wissen müssen erschien zuerst auf ELSEN GRC.

Betroffen sind dabei aber nicht mehr nur Betreiber kritischer Infrastrukturen (z. B. Energieversorgung, Verkehr, Gesundheit), sondern auch Cloud- und SaaS-Anbieter, Rechenzentrums-, Hosting- und Managed-Service-Provider, Post- und Abfallwirtschaft, Lebensmittelproduktion, öffentliche Verwaltung sowie Hersteller bestimmter digitaler Produkte (insb. Hard- und Software für kritische Infrastruktur). Die Anforderungen reichen von der Implementierung technischer und organisatorischer Sicherheitsmaßnahmen über verbindliche Meldepflichten bei Sicherheitsvorfällen bis hin zu umfangreichen Sanktionsmöglichkeiten, die vergleichbar mit der DSGVO ausgestaltet sind.

Für viele Unternehmen bedeutet NIS-2 dabei eine weitere Compliance-Pflicht im Bereich Informationssicherheit, die tief in bestehende Prozesse, IT-Systeme und Lieferketten eingreift. Die Mitgliedsstaaten müssen die Richtlinie bis spätestens 17. Oktober 2024 in nationales Recht umsetzen – in Deutschland geschieht dies durch das neue NIS-2-Umsetzungsgesetz (NIS2UmsuCG).

Was die NIS-2 Richtlinie regelt

NIS-2 legt verbindliche Mindeststandards für die Sicherheit von Netz- und Informationssystemen fest und definiert, wie Unternehmen Risiken erkennen, bewerten und mindern müssen. Sie stärkt die europaweite Zusammenarbeit zwischen den nationalen Cybersicherheitsbehörden und fordert den Aufbau von Melde-, Überwachungs- und Präventionsstrukturen. Ziel der Richtlinie ist ein einheitliches Sicherheitsniveau in der gesamten EU, das Cyberbedrohungen systematisch vorbeugt und Auswirkungen auf Wirtschaft und Gesellschaft minimiert.

Wichtige Grundprinzipien der NIS-2 Richtlinie

Die NIS-2-Richtlinie definiert verbindliche Grundprinzipien, die das Fundament eines einheitlichen europäischen Cybersicherheitsniveaus bilden sollen. Sie verschärft die bisherigen Anforderungen aus NIS-1 deutlich und weitet sie auf neue Branchen und Akteure aus. Im Zentrum stehen dabei Maßnahmen zur Prävention, Überwachung und Reaktion auf Cybervorfälle – mit besonderem Fokus auf Verantwortung, Meldepflichten und Risikomanagement entlang der gesamten digitalen Lieferkette:

• Erweiterter Geltungsbereich: Gilt für über zehn neue Sektoren und Dienstleister, darunter Cloud-Anbieter, Managed Services, Post- und Abfallwirtschaft, Lebensmittelproduktion und öffentliche Verwaltung.
• Pflicht zum Cyber-Risikomanagement: Einführung und Nachweis von Sicherheitsmaßnahmen auf organisatorischer, technischer und personeller Ebene (z. B. Zugriffskontrollen, Notfallmanagement, Schulungen).
• Verpflichtende Meldung von Sicherheitsvorfällen: Erstmeldung innerhalb von 24 Stunden, Abschlussmeldung binnen 72 Stunden nach Vorfall.
• Verantwortlichkeit der Unternehmensleitung: Geschäftsführung und Vorstand tragen die volle Verantwortung für die Umsetzung und Einhaltung.
• Aufsicht und Sanktionen: Nationale Behörden erhalten erweiterte Prüf- und Eingriffsrechte; Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes möglich.
• Lieferketten- und Drittparteirisiken: Sicherheitsanforderungen gelten ausdrücklich auch für Zulieferer, IT-Dienstleister und Auftragsverarbeiter.

Praxisrelevanz von NIS-2 – Wann sind Unternehmen betroffen?

Unternehmen sind direkt oder indirekt betroffen, sobald sie als „wesentliche“ oder „wichtige Einrichtungen“ eingestuft werden. Dazu zählen neben klassischen kritischen Infrastrukturen zunehmend auch digitale Dienstleister, SaaS-Anbieter, Hosting- und Cloud-Plattformen sowie mittelständische Industrie- und Logistikunternehmen, die datenbasierte Systeme betreiben (s.o.). Nach einer Faustregel sind Organisationen dann betroffen, wenn sie…

• IT- und Informationssicherheitsmanagementsysteme (ISMS) verwalten, nachweisen oder aufbauen,
• Lieferantenbewertungen und Cyber-Due-Diligence durchführen,
• Incident-Response-Prozesse (formale Prozess zu Reaktion auf IT-Sicherheitsvorfälle) und Meldeketten einrichten,
  Verantwortlichkeiten und Governance-Strukturen klar definieren.

Rechtliche Einordnung

• Rechtsgrundlage: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022
• Inkrafttreten der Richtlinie: 16. Januar 2023
• Umsetzung in nationales Recht: bis spätestens 17. Oktober 2024
• Ziel: Harmonisierung der nationalen Cybersicherheitsstrategien in allen EU-Mitgliedsstaaten
• Bezug zu anderen Regelwerken: Ergänzt die DSGVO (Datenschutz), den Data Act (Datenzugang), den Cybersecurity Act (Zertifizierung) und DORA (Finanzsektor)

Beratung zur NIS-2-Richtlinie durch Elsen GRC

Elsen GRC unterstützt Unternehmen bei der praktischen Umsetzung der NIS-2-Anforderungen, von der Einstufung über die Durchführung von Gap-Analysen bis zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 oder BSI-Grundschutz. Dabei werden Meldeprozesse, Lieferketten-Risiken und Governance-Strukturen gezielt integriert. Durch Schulungen, Mitarbeiter-Workshops und Audit-Vorbereitung sorgt Elsen GRC dafür, dass Organisationen die Vorgaben des NIS2-Umsetzungsgesetzes rechtssicher, effizient und nachvollziehbar erfüllen können und mit solider Cyber-Infrastruktur am Markt agieren. Vereinbaren Sie jetzt ein unverbindliches Beratungsgespräch.

NIS-2-Richtlinie – Zusammenfassung

NIS-2 ist auf Verpflichtung, Nachweis und Kontrolle ausgelegt – also auf Einhaltung, Koordination und Verantwortung, nicht nur Steuerung:

1. Verbindliche Sicherheitsmaßnahmen: Einführung von Cyber-Risikomanagement, Zugangskontrollen und Notfallplänen.
2. Meldepflichten: Sicherheitsvorfälle müssen fristgerecht gemeldet und dokumentiert werden.
3. Verantwortlichkeit der Unternehmensleitung: Die Geschäftsführung haftet für die Einhaltung der Pflichten.
4. Aufsicht & Sanktionen: Nationale Behörden dürfen prüfen, anordnen und sanktionieren.
5. Koordination & Resilienz: Förderung von EU-weiten Sicherheitsstandards und sektorübergreifender Zusammenarbeit.

Quellen:

• EUR-Lex – Directive (EU) 2022/2555 of the European Parliament (Abruf: 09.11.25)
• NIS2 Directive: securing network and information systems (Abruf: 09.11.25)
• enisa – Network and Information Systems Directive 2 (NIS2) (Abruf: 09.11.25)

Bild: Sajad Nori – Unsplash.com

Der Beitrag NIS-2 Richtlinie – Definition, Bedeutung & Pflichten erschien zuerst auf ELSEN GRC.

Warum ein eigenes GRC Journal?

Die Anforderungen an Datenschutz, IT-Sicherheit und den Compliance-konformen Einsatz von KI wachsen rasant. Steigender Wettbewerbsdruck machen den Einsatz von KI-Tools in vielen Unternehmen unerlässlich, während andere Unternehmen erst durch KI komplett neue Geschäftsmodelle erschließen. Die Smarte Integration von KI-Anbindungen in eigene Produkte, Schnittstellen oder Prozesse kann die Produktivität nicht nur erheblich steigern, sondern ganze Wertschöpfungsketten umstrukturieren.  Mit dem EU AI Act entsteht erstmals ein umfassender Rechtsrahmen für den Einsatz künstlicher Intelligenz, während NIS2 und ISO 27001 den Standard für Informationssicherheit in Europa neu (oder erneut) definieren. Ziel des Journals ist es, diese Entwicklungen verständlich, aktuell und praxisnah einzuordnen – für Datenschutzbeauftragte, IT-Leitungen, Geschäftsführungen und alle, die für Compliance und Governance im Unternehmen Verantwortung tragen. Elsen GRC zeigt, dass Governance und Innovation kein Widerspruch sind – sondern die Grundlage für vertrauenswürdige Technologien.

Strategie, Fokus und Motivation von Elsen GRC

Elsen GRC berät Unternehmen im DACH- und CH-Raum beim sicheren, datenschutz- und gesetzeskonformen Einsatz von KI- und Cloud-Technologien. Der Ansatz verbindet technische Expertise, rechtliches Verständnis und praktische Umsetzungskompetenz. Ziel ist es, GRC-Strukturen nicht nur zu planen, sondern im Unternehmen operativ und praxistauglich zu verankern – von der Datenschutz-Organisation bis zur KI-Governance.

Aber wie kam es dazu? Nachdem ich unter dem Dach der Elsen Media GmbH über 14 Jahre Erfahrung in der Entwicklung von Websites, Webanwendungen und Kampagnen gesammelt habe, hunderte Cookie-Consent-Tools konfiguriert und Datenschutzerklärungen auf die Füße der DSGVO gestellt hatte, stellte ich zunehmend fest, dass sich die Arbeitsweise meiner Kunden verändert: Immer häufiger wurden eigene – teils KI-generierte – Konzepte oder Inhalte geliefert, bei denen die Verarbeitung der Daten nicht nur fraglich, sondern teilweise unter Vernachlässigung geltender Datenschutzrichtlinien erfolgte.

Inzwischen findet sich KI in nahezu allen Prozessen mittelständischer Unternehmen. Doch eine zentrale Frage wird fast immer vernachlässigt: Wie gehen wir beim Einsatz von KI eigentlich mit sensiblen Unternehmens- und personenbezogenen Daten um?

Diese Frage führte mich 2025 zu einem neuen Schwerpunkt meiner IT-Tätigkeit – in die Welt von Governance, Risk und Compliance (GRC). Die gezielte Weiterbildung zum TÜV-zertifizierten Datenschutzbeauftragten, ergänzt durch die Vorbereitung auf die Tätigkeit als ISO 27001 Lead Auditor sowie die IAPP AIGP-Zertifizierung, bilden das Fundament der heutigen Arbeit von Elsen GRC.

Themen, die Sie im GRC Journal erwarten

Das Journal wird regelmäßig mit neuen Beiträgen gefüllt – fundiert, praxisnah und stets mit Blick auf aktuelle regulatorische Entwicklungen:

• Was sind Hoch-Risiko-KI-Systeme nach dem EU AI Act?
• Datenpanne – was tun, wenn’s passiert ist?
• TOMs im Auftragsverarbeitungsvertrag: Muster und Umsetzung
• Automatisierte Einzelentscheidung und Profiling im KI-Zeitalter
• Cloud Act vs. DSGVO – Datenhoheit und US-Anbieter im europäischen Kontext
• und viele weitere Themen!

Jeder Beitrag bietet einen klaren Mehrwert: rechtliche Einordnung, technische Perspektive und konkrete Handlungsempfehlungen – um Unternehmen bei der AI Act Readiness, NIS2-Umsetzung und Datenschutz-Governance zu unterstützen.

Bleiben Sie auf dem Laufenden und erhalten Sie praxisnahe Insights rund um AI Act, DSGVO, NIS2 und ISO 27001.
Abonnieren Sie unseren Newsletter oder folgen Sie Elsen GRC auf LinkedIn, um regelmäßig über neue Beiträge, Webinare und Fachanalysen informiert zu werden.

Sie möchten Ihr Unternehmen auf AI Act Readiness, NIS2-Compliance oder ISO 27001-Zertifizierung vorbereiten? Kontaktieren Sie uns gern für ein unverbindliches Orientierungsgespräch.

Der Beitrag GRC Journal: Praxisnahe Insights über Governance, Risk, Compliance und AI Act erschien zuerst auf ELSEN GRC.