NIS2-Registrierung beim BSI: Ablauf und Fristen
Wer muss sich registrieren?
Grundsätzlich müssen sich alle Einrichtungen registrieren, die unter NIS2 fallen – also wesentliche (besonders wichtige) und wichtige Einrichtungen. Für bestimmte Anbieter digitaler Infrastruktur gelten zusätzliche, teils EU-weite Registrierungspflichten:
| Einrichtungstyp | Registrierung |
|---|---|
| Wesentliche & wichtige Einrichtungen (allgemein) | national bei der zuständigen Behörde (in Deutschland dem BSI) |
| DNS-Dienste, TLD-Namenregister, Cloud-, Rechenzentrums- & CDN-Anbieter, verwaltete Dienste (MSP/MSSP), Online-Marktplätze, Suchmaschinen, soziale Netzwerke | zusätzliche, EU-weit koordinierte Erfassung mit erweiterten Angaben |
Ob Sie überhaupt betroffen sind, klärt die NIS2-Betroffenheitsprüfung.
Wie läuft die NIS2-Registrierung ab?
Der Ablauf folgt typischerweise vier Schritten:
- Betroffenheit feststellen: Prüfen, ob Sektor und Größe die NIS2-Schwellen erreichen – als wesentliche oder wichtige Einrichtung.
- Zugang zum BSI-Meldeportal einrichten: Konto anlegen und die Organisation identifizieren (in Deutschland über das Melde- und Registrierungsportal des BSI).
- Stammdaten erfassen: Kontaktdaten, Sektor/Teilsektor, betroffene Mitgliedstaaten und eine Sicherheits-Kontaktstelle angeben.
- Absenden & pflegen: Registrierung bestätigen und Angaben bei Änderungen aktuell halten – die Registrierung ist kein Einmalvorgang.
Welche Angaben werden verlangt?
Typischerweise sind mindestens folgende Stammdaten bereitzustellen:
- Name, Anschrift und aktuelle Kontaktdaten der Einrichtung
- relevanter Sektor und Teilsektor nach NIS2
- Mitgliedstaaten, in denen Dienste erbracht werden
- Kontaktstelle für Sicherheitsfragen sowie ggf. IP-Adressbereiche
Welche Fristen gelten?
Seit Inkrafttreten des NIS2-Umsetzungsgesetzes am 6. Dezember 2025 ist die Frist in Deutschland gesetzlich fixiert: Die Registrierung muss spätestens drei Monate erfolgen, nachdem eine Einrichtung erstmals (oder erneut) als besonders wichtige oder wichtige Einrichtung gilt (§ 33 Abs. 1 BSIG). Änderungen der Angaben sind unverzüglich, spätestens binnen zwei Wochen nachzumelden (§ 33 Abs. 5 BSIG). Den konkreten Meldeweg – das gemeinsame Melde- und Registrierungsportal von BSI und BBK – beschreibt das BSI. In Österreich läuft die Registrierungsfrist mit dem Inkrafttreten des NISG 2026 am 1. Oktober 2026 an: drei Monate, also bis 31. Dezember 2026 (§ 29 Abs. 3 NISG 2026). Wichtig: Die Registrierung ist unabhängig davon zu erfüllen, ob die Behörde Sie aktiv anschreibt – die Pflicht liegt bei der Einrichtung selbst.
Was passiert nach der Registrierung?
Mit der Registrierung wird Ihre Einrichtung Teil der behördlichen Aufsicht. Es greifen die Meldepflichten nach Art. 23 (Frühwarnung binnen 24 Stunden, Meldung binnen 72 Stunden, Abschlussbericht binnen eines Monats) sowie die Pflicht, die Risikomanagement-Maßnahmen nach Art. 21 umzusetzen und ihre Wirksamkeit nachzuweisen. Genau diesen Wirksamkeitsnachweis liefert eine dokumentierte Tabletop-Übung.
Was droht bei fehlender Registrierung?
Die Registrierungspflicht ist kein bürokratischer Nebenschauplatz, sondern bußgeldbewehrt: In Deutschland kostet die unterlassene, unrichtige oder verspätete Registrierung bis zu 500.000 € (§ 65 Abs. 2 Nr. 6 i. V. m. Abs. 5 Satz 1 Nr. 5 BSIG) – und das BSI kann die Registrierung im Zweifel selbst vornehmen (§ 33 Abs. 3 BSIG). In Österreich sieht § 45 Abs. 4 NISG 2026 bis zu 50.000 € vor, im Wiederholungsfall bis zu 100.000 €. Die hohen Bußgeldrahmen (bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes) gelten daneben für Verstöße gegen Risikomanagement- und Meldepflichten.
Häufige Fragen
Wer muss sich unter NIS2 registrieren?
Grundsätzlich alle Einrichtungen, die unter NIS2 fallen – also wesentliche (besonders wichtige) und wichtige Einrichtungen in den erfassten Sektoren ab mittlerer Unternehmensgröße. Für bestimmte Anbieter digitaler Infrastruktur bestehen zusätzliche, teils EU-weite Registrierungspflichten.
Wo registriert man sich in Deutschland?
Über die gemeinsame Registrierungsmöglichkeit von BSI und BBK (§ 33 BSIG) – das Melde- und Registrierungsportal des BSI ist seit dem 6. Januar 2026 freigeschaltet; die Identifizierung läuft über „Mein Unternehmenskonto“ (MUK). Die Frist: spätestens drei Monate, nachdem eine Einrichtung erstmals als besonders wichtige oder wichtige Einrichtung gilt.
Welche Frist gilt in Österreich?
Das NISG 2026 tritt am 1. Oktober 2026 in Kraft; wesentliche und wichtige Einrichtungen müssen sich binnen drei Monaten ab Inkrafttreten – also bis 31. Dezember 2026 – bei der Cybersicherheitsbehörde registrieren (§ 29 Abs. 3 NISG 2026), praktisch über das Unternehmensserviceportal (USP). Wer später erstmals unter das Gesetz fällt, hat ab diesem Zeitpunkt drei Monate.
Welche Daten verlangt die NIS2-Registrierung?
Typischerweise Name und Anschrift der Einrichtung, aktuelle Kontaktdaten, den relevanten Sektor und Teilsektor, die Mitgliedstaaten der Diensterbringung sowie eine Kontaktstelle für Sicherheitsfragen – bei Digitalanbietern zusätzlich technische Angaben wie IP-Adressbereiche.
Was passiert, wenn man die Registrierung versäumt?
In Deutschland ist die unterlassene, falsche oder verspätete Registrierung eine Ordnungswidrigkeit mit Bußgeld bis zu 500.000 € (§ 65 Abs. 2 Nr. 6, Abs. 5 BSIG); das BSI kann die Registrierung außerdem selbst vornehmen (§ 33 Abs. 3 BSIG). In Österreich drohen bis zu 50.000 €, im Wiederholungsfall bis zu 100.000 € (§ 45 Abs. 4 NISG 2026).
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Maßgeblich sind die jeweils geltenden Gesetzes- und Verordnungstexte sowie der aktuelle Stand der nationalen Umsetzung.