Information Security Expert
23 Mar 2026
9 min
.svg)
Das BSI beaufsichtigt als zentrale Behörde die NIS2-Umsetzung in Deutschland und überwacht rund 29.500 besonders wichtige und wichtige Einrichtungen.
Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach Inkrafttreten beim BSI registrieren, über ein ELSTER-Zertifikat und das BSI-Portal.
Das BSI darf bei besonders wichtigen Einrichtungen anlasslose Prüfungen durchführen. Bei wichtigen Einrichtungen prüft es nur bei konkretem Verdacht.
Ein strukturiertes ISMS erleichtert die BSI-Nachweispflichten, weil Risikobewertungen, Maßnahmen und Schulungsnachweise zentral dokumentiert sind.
Die NIS2-Richtlinie bringt für rund 29.500 Unternehmen in Deutschland neue Pflichten. Die zentrale Behörde dahinter ist das BSI, das Bundesamt für Sicherheit in der Informationstechnik. Es registriert betroffene Einrichtungen, beaufsichtigt deren Maßnahmen und kann bei Verstößen Anordnungen treffen. Dieser Artikel erklärt, was das BSI im NIS2-Kontext darf und fordert, wie der Registrierungsprozess funktioniert und welche BSI-Ressourcen Unternehmen bei der Umsetzung helfen.
Das BSI ist die zentrale Aufsichtsbehörde für NIS2 in Deutschland. Es übernimmt diese Rolle durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG), das die europäische NIS2-Richtlinie in deutsches Recht überführt. Konkret beaufsichtigt das BSI alle Einrichtungen, die unter die NIS2-Regulierung fallen.
Für die Aufsicht gibt es eine wichtige Unterscheidung: Bei besonders wichtigen Einrichtungen (z.B. Energie, Transport, Gesundheit, digitale Infrastruktur ab 250 Mitarbeitende oder 50 Mio. € Umsatz) beaufsichtigt das BSI direkt und proaktiv. Es darf auch ohne konkreten Anlass prüfen. Bei wichtigen Einrichtungen (z.B. verarbeitendes Gewerbe, Post, Abfallwirtschaft ab 50 Mitarbeitende oder 10 Mio. € Umsatz) wird das BSI nur tätig, wenn es Hinweise auf Verstöße gibt.
Im Vergleich zur DSGVO-Aufsicht durch die Datenschutzbehörden der Länder ist die NIS2-Aufsicht zentralisiert. Es gibt eine Anlaufstelle: das BSI in Bonn. Das vereinfacht die Kommunikation, bedeutet aber auch, dass das BSI bundesweit einheitliche Standards durchsetzt. Ob Ihr Unternehmen betroffen ist, können Sie mit der BSI-Betroffenheitsprüfung herausfinden.
Alle besonders wichtigen und wichtigen Einrichtungen müssen sich beim BSI registrieren. Die Frist beträgt drei Monate nach Inkrafttreten des NIS2UmsuCG (§33 NIS2UmsuCG). Bei der Registrierung müssen Unternehmen grundlegende Angaben machen: Name und Rechtsform, Kontaktdaten inklusive E-Mail und Telefon, IP-Adressbereiche, Sektor und Branche sowie ob sie als besonders wichtige oder wichtige Einrichtung gelten.
Wer sich nicht registriert, riskiert Bußgelder. Das BSI kann Unternehmen, die ihre Registrierungspflicht ignorieren, mit Sanktionen belegen. Eine verspätete Registrierung ist besser als keine, denn sie zeigt dem BSI, dass das Unternehmen reagiert hat. Wer noch nicht weiß, ob er betroffen ist, sollte die BSI-Betroffenheitsprüfung unter betroffenheitspruefung-nis-2.bsi.de nutzen.
Die Registrierung beim BSI erfolgt in zwei Hauptschritten. Seit März 2026 ist der zweite Schritt (BSI-Portal) freigeschaltet, nachdem zunächst nur die ELSTER-Authentifizierung verfügbar war.
ELSTER-Zertifikat beantragen
Über Mein Unternehmenskonto (MUK) ein ELSTER-Organisationszertifikat beantragen. Dieses Zertifikat dient als digitale Identität des Unternehmens. Achtung: Die Beantragung kann einige Tage dauern, also rechtzeitig starten. Sie brauchen die Steuernummer des Unternehmens und einen Zugang zu ELSTER.
Im BSI-Portal registrieren
Mit dem ELSTER-Zertifikat im BSI-Portal anmelden. Dort die Registrierungsdaten eingeben: Unternehmensdaten, Sektor, Teilsektor, Einrichtungstyp (besonders wichtig / wichtig), Kontaktperson für Sicherheitsvorfälle und IP-Adressbereiche. Nach Abschluss erhalten Sie eine Bestätigung.
Daten aktuell halten
Nach der Erstregistrierung müssen Änderungen an den gemeldeten Daten unverzüglich aktualisiert werden. Das gilt für Kontaktdaten, IP-Adressbereiche und Änderungen am Sektor oder Einrichtungstyp. Eine jährliche Prüfung der Registrierungsdaten ist empfehlenswert.
Typische Stolpersteine bei der Registrierung: Die häufigsten Probleme betreffen das ELSTER-Zertifikat. Viele Unternehmen haben zwar ein persönliches ELSTER-Zertifikat für die Steuererklärung, aber kein Organisationszertifikat. Das sind zwei verschiedene Dinge. Außerdem unterschätzen Unternehmen die Zeit für die interne Datenbeschaffung: IP-Adressbereiche, die korrekte Sektorzuordnung und die Benennung einer Kontaktperson für Sicherheitsvorfälle erfordern Abstimmung zwischen IT, Compliance und Geschäftsleitung.
Die Aufsichtsbefugnisse des BSI sind im NIS2UmsuCG klar geregelt (§61-62). Die Behörde agiert dabei nicht als Strafbehörde, sondern als Kooperationspartner, der die Cybersicherheitslage in Deutschland verbessern will. Trotzdem hat das BSI weitreichende Instrumente zur Verfügung.
| Maßnahme | Besonders wichtige Einrichtungen | Wichtige Einrichtungen |
|---|---|---|
| Auskunftsverlangen | Jederzeit, auch ohne Anlass | Bei konkretem Verdacht |
| Vor-Ort-Prüfungen | Anlasslose Audits möglich | Nur bei Verdacht oder nach Vorfall |
| Anordnungsbefugnis | Kann Maßnahmen anordnen | Kann Maßnahmen anordnen |
| Sicherheitsaudits anfordern | Kann Nachweis verlangen (§39) | Kann Nachweis verlangen (§39) |
| Sanktionen | Bis 10 Mio. € oder 2 % Umsatz | Bis 7 Mio. € oder 1,4 % Umsatz |
Die wichtigste Erkenntnis: Besonders wichtige Einrichtungen stehen unter ständiger Aufsicht. Das BSI kann jederzeit Auskunft verlangen und Prüfungen durchführen, ohne dass ein Vorfall vorliegen muss. Wichtige Einrichtungen werden nur anlassbezogen geprüft. In beiden Fällen gilt: Kooperation mit dem BSI wird besser bewertet als Verweigerung. Wer haftet und welche Bußgelder im Detail drohen, erfahren Sie unter NIS2-Geschäftsführerhaftung.
"Die BSI-Registrierung ist nicht das Ziel, sondern der Startschuss. Danach beginnt die eigentliche Arbeit: Risikomanagement aufbauen, Meldeprozesse etablieren und Nachweisfähigkeit sicherstellen. Unternehmen, die das als einmaligen Verwaltungsakt behandeln, werden beim ersten BSI-Auskunftsersuchen Schwierigkeiten bekommen."
Anne Hillmer, Information Security Expert bei SECJUR
Das BSI stellt Unternehmen eine Reihe von Ressourcen zur Verfügung, die den Einstieg in die NIS2-Umsetzung erleichtern. Die wichtigsten im Überblick.
NIS2-Starterpaket. Unter dem Hashtag #nis2know hat das BSI ein Starterpaket veröffentlicht, das den Einstieg in sechs Phasen gliedert: von der Betroffenheitsprüfung über die Risikoanalyse bis zur Meldepflicht-Vorbereitung. Die Materialien sind kostenlos auf bsi.bund.de verfügbar und eignen sich als erster Orientierungsrahmen.
Betroffenheitsprüfung. Unter betroffenheitspruefung-nis-2.bsi.de bietet das BSI ein Online-Tool an, mit dem Unternehmen prüfen können, ob sie als besonders wichtige oder wichtige Einrichtung gelten. Die Prüfung berücksichtigt Sektor, Unternehmensgröße und Umsatz.
Open KRITIS. Neben den offiziellen BSI-Ressourcen bietet openkritis.de eine redaktionelle Aufbereitung der NIS2-Anforderungen. Die Plattform ist kein BSI-Angebot, aber ein anerkanntes Fachportal, das Gesetze, Verordnungen und BSI-Empfehlungen verständlich zusammenfasst. Für Praktiker, die eine Orientierung neben den offiziellen Quellen suchen, ist Open KRITIS eine nützliche Ergänzung.
Ab drei Jahren nach Inkrafttreten des NIS2UmsuCG kann das BSI von besonders wichtigen Einrichtungen Nachweise über die Umsetzung der Risikomanagementmaßnahmen verlangen (§39 NIS2UmsuCG). Diese Nachweise können Ergebnisse von Sicherheitsaudits, Zertifizierungen (z.B. ISO 27001) oder vergleichbare Bewertungen sein. Das BSI legt die Kriterien fest und kann Unternehmen auffordern, ihre Compliance zu belegen.
Für wichtige Einrichtungen gilt die Nachweispflicht ebenfalls, allerdings erst bei konkretem Anlass. In der Praxis empfiehlt es sich, die Nachweise nicht erst bei einer Anfrage des BSI zusammenzustellen, sondern kontinuierlich zu pflegen. Wer ein ISMS betreibt, hat die Dokumentation bereits: Risikobewertungen, Maßnahmenpläne, Schulungsnachweise und Audit-Ergebnisse liegen zentral vor.
ISMS-Plattformen wie SECJUR Digital Compliance Office können die Vorbereitungszeit auf BSI-Prüfungen um bis zu 50 % verkürzen, weil Nachweise, Richtlinien und Risikobewertungen zentral dokumentiert und jederzeit abrufbar sind. Statt bei einer BSI-Anfrage Dokumente aus verschiedenen Abteilungen zusammenzusuchen, exportieren Sie den aktuellen Stand aus einem System.
Die genauen Fristen und Eskalationsstufen bei Sicherheitsvorfällen beschreiben wir unter Meldepflichten und Fristen. Zur Schulungspflicht für die Geschäftsleitung (§38 Abs. 3 NIS2UmsuCG) gilt: Die Geschäftsleitung muss sich regelmäßig schulen lassen und die Umsetzung der Maßnahmen überwachen. Das BSI kann den Nachweis dieser Schulungen verlangen.
Anne ist eine Expertin auf dem Gebiet der Informationssicherheit mit umfangreicher Arbeitserfahrung im Bundesamt für Sicherheit in der Informationstechnik (BSI). Als ISO/IEC 27001 Lead Implementer und Data Protection Officer verfügt sie über profunde Kenntnisse in der Gestaltung und Umsetzung sicherer IT-Systeme und ist zudem zertifiziert als IT-Security Officer (TÜV) für Informationssicherheit.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
Das BSI ist die zentrale Aufsichtsbehörde für NIS2 in Deutschland. Es registriert betroffene Einrichtungen, überwacht die Umsetzung der Sicherheitsmaßnahmen und kann bei Verstößen Anordnungen treffen und Bußgelder verhängen.
Die Registrierung erfolgt in zwei Schritten: Zuerst ein ELSTER-Organisationszertifikat über Mein Unternehmenskonto beantragen, dann damit im BSI-Portal anmelden und die Registrierungsdaten eingeben. Die Frist beträgt drei Monate nach Inkrafttreten des NIS2UmsuCG.
Ja, aber nur bei besonders wichtigen Einrichtungen. Das BSI darf dort anlasslose Audits, Vor-Ort-Prüfungen und Auskunftsersuchen durchführen. Bei wichtigen Einrichtungen wird das BSI nur bei konkretem Verdacht oder nach einem Sicherheitsvorfall tätig.
Das BSI kann Ergebnisse von Sicherheitsaudits, ISO-27001-Zertifizierungen oder vergleichbare Bewertungen als Nachweis verlangen. ISMS-Plattformen wie SECJUR Digital Compliance Office erleichtern die Nachweisführung, weil Risikobewertungen, Maßnahmen und Schulungsnachweise zentral dokumentiert sind.
Wer die Registrierungsfrist versäumt, riskiert Bußgelder. Eine verspätete Registrierung ist besser als keine, da sie dem BSI zeigt, dass das Unternehmen reagiert hat. Das BSI kann die Registrierung auch selbst anordnen.
Qualitätsmanagement ist für viele Mittelständler noch immer ein Schreckgespenst: hoher Aufwand, viel Papier, fraglich ob sich's lohnt. Dabei zeigt die Realität: Unternehmen, die ein QM-System systematisch aufbauen, senken ihre Fehlerquoten um 20-40 Prozent.
Müssen Sie sich in Ihrem Unternehmen mit einem Informationssicherheitsmanagementsystem (ISMS) beschäftigen? Dann wissen Sie: Den richtigen ISMS-Standard zu wählen ist nicht einfach. Wir gehen in diesem Artikel daher auf einige der bekanntesten Informationssicherheits-Standards und ihre Anwendungsbereiche sowie ihre Unterschiede zur ISO/IEC 27001 ein.
Whistleblowing wird im EU AI Act zu einem zentralen Schutzinstrument für faire und sichere KI. Dieser Leitfaden zeigt, wie Mitarbeitende Verstöße gegen Hochrisiko- und verbotene KI-Systeme sicher melden können, welche internen und externen Meldewege bestehen und welche rechtlichen Schutzmechanismen greifen. Erfahren Sie, wie der AI Act, das Hinweisgeberschutzgesetz und neue EU-Meldestellen zusammenwirken, um Diskriminierung, Manipulation und Sicherheitsrisiken in KI-Systemen frühzeitig zu stoppen – und warum Whistleblower damit zu einem entscheidenden Faktor für vertrauenswürdige KI werden.
.svg)
.svg)
.svg){kind=small}