NIS2-Registrierung: ELSTER-Zertifikat und Frist bis zum 6. März 2026

Seit Dezember 2025 wird die Umsetzung der NIS2-Richtlinie in Deutschland vor allem durch das BSI-Gesetz (BSIG)  bestimmt. Daraus entsteht eine konkrete Pflicht: die Registrierung Ihres Unternehmens beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Für betroffene Unternehmen läuft die Frist am 6. März 2026 ab.

§ 33 BSIG verpflichtet „besonders wichtige“ und „wichtige Einrichtungen“ sowie bestimmte Diensteanbieter dazu, sich innerhalb von drei Monaten, nachdem sie als solche gelten, über eine vom BSI bereitgestellte Registrierungsmöglichkeit zu melden. Für Unternehmen, die bereits mit Inkrafttreten des Gesetzes unter die Regelung fallen, endet diese Frist am 6. März 2026. Bis dahin muss die Registrierung im BSI-Portal erfolgt sein.

Die Registrierung ist aber kein bürokratischer Selbstzweck: Sie ist die Grundlage dafür, dass das BSI Sie als NIS2-reguliertes Unternehmen führt und Sie Vorfälle melden können.  Darüber hinaus kann weiteren Pflichten aus dem BSIG (Risikomanagement, Meldepflichten, Governance) sauber und rechtlich konform nachgekommen werden.

Wer muss sich registrieren?

Die Pflicht zur Registrierung trifft Unternehmen, die nach NIS2 als „wesentliche“ oder „wichtige“ Einrichtungen eingestuft sind. Viele Organisationen unterschätzen aktuell ihre Betroffenheit.

Maßgeblich sind dabei im Kern drei Kriterien:

1. Sektor: z. B. Energie, Transport, Gesundheitswesen, digitale Infrastruktur (DNS, Cloud), Banken und Finanzmarkt, Trinkwasser/Abwasser, bestimmte produzierende Industrien und weitere kritische Bereiche
2. Größe: In der Regel mindestens 50 Mitarbeitende und mindestens 10 Mio. Euro Jahresumsatz oder Bilanzsumme (wichtige Einrichtungen) bzw. deutlich größer bei wesentlichen/kritischen Entitäten
3. Rolle in der Lieferkette: Auch Dienstleister und Zulieferer kritischer Infrastrukturen können als NIS2-reguliert eingestuft werden, selbst wenn sie nicht unmittelbar in einem KRITIS-Sektor tätig sind.

ELSTER als Nadelöhr: Ohne Zertifikat keine Registrierung

Technisch läuft die NIS2-Registrierung zweistufig ab.

Stufe 1: ELSTER-Organisationszertifikat und „Mein Unternehmenskonto“ (MUK)

Basis ist ein ELSTER-Organisationszertifikat, mit dem Sie sich gegenüber „Mein Unternehmenskonto“ (MUK) authentifizieren. Dieses ELSTER-Zertifikat dient als digitaler Identitätsnachweis des Unternehmens, die damit verknüpften Stammdaten werden später ins BSI-Portal übernommen. Viele Unternehmen besitzen bereits ein ELSTER-Organisationszertifikat aus Steuer- oder Verwaltungsprozessen – in diesen Fällen ist kein neues Zertifikat erforderlich.

Stufe 2: Registrierung im BSI-Portal

Erst mit einem aktiven MUK-Zugang können Sie die eigentliche NIS2-Registrierung im BSI-Portal vornehmen. Dort hinterlegen Sie u. a. Sektorzuordnung, Unternehmensgröße, Rechtsform, zuständige Behörde und mindestens eine NIS2-Kontaktstelle.

Für die ELSTER-Aktivierungsdaten fallen Postlaufzeiten von mehreren Werktagen an, insgesamt kann sich der Prozess leicht über ein bis zwei Wochen ziehen.

Bußgelder sind das kleinere Problem – die Haftung liegt bei der Geschäftsleitung

Das BSI versteht sich ausdrücklich als Partner der Unternehmen und hat signalisiert, zunächst nicht primär mit Bußgeldern auf verspätete Registrierungen zu reagieren. Rein rechtlich sieht das BSIG aber empfindliche Sanktionen vor, bis hin zu hohen Geldbußen und aufsichtsrechtlichen Maßnahmen.

Entscheidend aus Managementsicht: Die Verantwortung für die Umsetzung der Anforderungen des BSIG und der NIS2-Richtlinie liegt explizit bei der Geschäftsleitung. Typische Pflichtverstöße sind u. a.:

• fehlende oder verspätete Registrierung beim BSI
• Verstöße gegen Meldepflichten (z. B. keine oder verspätete Meldungen erheblicher Sicherheitsvorfälle)
• unzureichende oder nicht dokumentierte Risikomanagementmaßnahmen

Kommt es zu einem Sicherheitsvorfall und stellt sich heraus, dass das Unternehmen weder registriert ist, noch die geforderten Maßnahmen nachweisen kann, wird die Frage der persönlichen Haftung für Geschäftsführung und Aufsichtsorgane sehr schnell sehr konkret.

Was Sie jetzt konkret tun sollten

Damit aus der Registrierungsfrist kein Haftungsrisiko wird, empfehlen wir einen strukturierten Ansatz.

1. Betroffenheit prüfen

Klären Sie, ob Ihr Unternehmen unter die NIS2-Regelungen fällt (Sektor, Unternehmensgröße, Rolle in kritischen Lieferketten). Dokumentieren Sie diese Einstufung idealerweise in Form eines Managementbeschlusses.

2. Verantwortlichkeiten festlegen

Benennen Sie mindestens zwei Personen, die die koordinierende Rolle für Informationssicherheit und NIS2-Umsetzung übernehmen, z. B. Informationssicherheitsbeauftragte, CISO, IT-Leitung oder externe Partner wie die uns. Legen Sie fest, wer die Registrierung im BSI-Portal vornimmt und wer für Meldungen zuständig ist.

3. ELSTER-Organisationszertifikat

Prüfen Sie, ob bereits ein ELSTER-Organisationszertifikat vorhanden ist. Falls nicht, beantragen Sie so schnell wie möglich ein Organisationszertifikat.

4. Registrierung im BSI-Portal durchführen

Richten Sie „Mein Unternehmenskonto“ ein und nehmen Sie die Registrierung im BSI-Portal rechtzeitig vor dem 6. März 2026 vor. Achten Sie darauf, dass Sie die Stammdaten und Kontaktstellen so pflegen, dass sie später ohne Medienbrüche für Meldeprozesse nutzbar sind.

5. NIS2-Pflichten im Risikomanagement verankern

Die Registrierung allein erfüllt NIS2 nicht. Parallel müssen technische und organisatorische Maßnahmen, ein Informationssicherheits-Managementsystem (ISMS), Meldeprozesse und ein kontinuierliches Risikomanagement etabliert werden. Hier spielt auch die Wahl eines geeigneten ISMS-Tools und einer sauberen Dokumentation eine zentrale Rolle.

Wie wir Sie dabei unterstützen können

Als IT-Dienstleister mit Fokus auf Linux, Open Source, Daten schutz und Inforamtionssicherheit, sowiedigitale Souveränität begleiten wir Unternehmen und Organisationen bei der praktischen Umsetzung der NIS2-Anforderungen – von der Betroffenheitsanalyse über die Vorbereitung der Registrierung bis hin zur Etablierung eines gelebten ISMS.

Dazu gehören unter anderem:

• Beratung zur NIS2-Betroffenheit und zur Interpretation der gesetzlichen Vorgaben
• Aufbau und Einführung eines Informationssicherheits-Managementsystems, z. B. auf Basis eines ISMS-Tools wie EDIRA, inklusive NIS2-Modulen, Risikobewertung und auditfähiger Dokumentation
• Schulungs- und Sensibilisierungsangebote für Geschäftsführung, IT-Leitung und Informationssicherheitsbeauftragte, um Verantwortlichkeiten und Haftung transparent zu machen

Wenn Sie wissen möchten, ob Ihr Unternehmen betroffen ist, wo Sie beim Thema NIS2-Registrierung stehen und wie Sie die gesetzlichen Pflichten in eine robuste Sicherheitsstrategie überführen können, sprechen Sie uns an.