IS2-Registrierung beim BSI: Schritt-für-Schritt-Anleitung (inkl. MUK und ELSTER)
Über 29.000 Unternehmen fallen erstmals unter die neuen Regelungen des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), insbesondere unter die Anforderungen des BSI-Gesetzes (BSIG).
Sie müssen zwei Punkte bereits jetzt erfüllen:
1. Identifikation als betroffene Einrichtung seit Anfang Dezember 2025
2. Eigeninitiative Registrierung beim BSI bis spätestens 6.3.2026
Die Registrierungsmöglichkeit wurde gemeinsam vom Bundesamt für Sicherheit in der Informationstechnik (BIS) und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtet. Es besteht akuter Handlungsbedarf, denn Übergangsfristen sieht das BSIG nicht vor. Die Registrierung ist die Voraussetzung dafür, die gesetzlichen Pflichten zu erfüllen und später relevante Sicherheitsvorfälle über das BSI-Portal zu melden.
Diese Anleitung richtet sich insbesondere an wichtige und besonders wichtige Einrichtungen nach §§ 33 und 34 BSIG, die bisher noch nicht beim BSI erfasst sind.
Betroffen oder nicht? Hier geht es zur unverbindlichen Ersteinschätzung mit dem REX ITOC NIS2-Betroffenheits-Check
Wer muss sich registrieren?
Registrierungspflichtig sind Einrichtungen, die
- unter die Kategorie „wichtige Einrichtungen“ (§ 34 BSIG) oder „besonders wichtige Einrichtungen“ (§33 BSIG) fallen und
- bisher nicht automatisch als KRITIS-Betreiber oder vergleichbare Einrichtung beim BSI geführt wurden.
Überblick: So läuft die Registrierung ab
Die NIS2-Registrierung erfolgt zweistufig:
- Einrichten eines Zugangs über „Mein Unternehmenskonto“ (MUK) mittels ELSTER
- Registrierung der Einrichtung im BSI-Portal
Beide Schritte sind zwingend erforderlich.
ELSTER ist dabei die Identitätsbasis, MUK das zentrale Behördenkonto und das BSI-Portal die Fachanwendung.
Für die Registrierung beim BSI ist ein Zugang über „Mein Unternehmenskonto“ (MUK) erforderlich. Das MUK nutzt zur Identifizierung ein ELSTER-Organisationszertifikat. Viele Unternehmen verfügen bereits über ein solches Zertifikat aus bestehenden Verwaltungs- oder Steuerprozessen. In diesen Fällen ist kein neuer ELSTER-Antrag notwendig. Besteht noch kein Zertifikat, muss dieses vor der Einrichtung des MUK beantragt werden.
Wichtig: Die Beantragung des ELSTER-Zertifikats kann mehrere Tage bis Wochen dauern – daher nicht aufschieben.
Ohne ein gültiges ELSTER-Organisationszertifikat kann kein MUK genutzt werden. Ohne MUK ist keine Anmeldung im BSI-Portal möglich.
Schritt 1: Zugang über „Mein Unternehmenskonto“ (MUK) einrichten
Für die Nutzung des BSI-Portals benötigen Unternehmen zunächst ein behördenübergreifendes Unternehmenskonto, kurz MUK. Erst nach erfolgreicher Einrichtung des MUK kann auf das BSI-Portal zugegriffen werden.
Voraussetzungen
- Ein ELSTER-Organisationszertifikat
- Berechtigung zur Vertretung des Unternehmens
Vorgehen
- Aufruf des BSI-Portals
- Einrichtung des MUK mit ELSTER-Organisationszertifikat
- Hinterlegung der Unternehmensbasisdaten
Schritt 2: NIS2-Registrierung im BSI-Portal
Nach Einrichtung des MUK erfolgt die eigentliche NIS2-Registrierung im BSI-Portal.
Zugang
- Anmeldung im BSI-Portal über das MUK („Mit MUK anmelden“)
- Authentifizierung erfolgt über die zuvor eingerichtete Unternehmensidentität (mit ELSTER-Zertifikat und Passwort)
Welche Angaben werden abgefragt?
Im Rahmen der Erstregistrierung müssen Informationen zur Identifizierung des Unternehmens sowie Kontaktinformationen hinterlegt werden:
- Name und Anschrift der Einrichtung
- Rechtsform und Registerangaben
- Zuordnung als wichtige oder besonders wichtige Einrichtung
- Branche bzw. Sektor nach NIS2
- Kontaktdaten für den Informationsaustausch mit dem BSI
- Ansprechpartner für Informationssicherheit und Meldewesen
Nach Abschluss der Registrierung wird die Einrichtung offiziell im BSI-System erfasst und unterliegt ab diesem Zeitpunkt der BSI-Aufsicht.
Was passiert nach der Registrierung?
Mit der erfolgreichen Registrierung entstehen unmittelbar weitere Pflichten, insbesondere:
- Nachweis von Maßnahmen zum Risikomanagement
- Implementierung eines Betrieblichen Kontinuitätsmanagements (BKM)
- Meldungen erheblicher Sicherheitsvorfälle über das BSI-Portal
- Festlegung von Zuständigkeiten
- Aufbau und Pflege einer prüffähigen Dokumentation
Die Registrierung ist somit nicht der Abschluss, sondern der Startpunkt zur NIS2-Compliance.
Weiterführende Informationen
Weitere Informationen zur NIS2-Registrierung finden Sie auf der Seite des BSI:
https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Anleitung-Registrierung/Anleitung-Registrierung_node.html
Weitere Informationen zum NIS2-Umsetzungsgesetz finden Sie auf dieser Seite unter:
https://rex-itoc.com/nis2-beratung-umsetzung-nis2-compliance-mit-rex-itoc/
https://rex-itoc.com/aktuelles/
FAQ-Bereich
Wer muss sich nach NIS2 beim BSI registrieren?
Registrierungspflichtig sind wichtige und besonders wichtige Einrichtungen, die in einem von der NIS2-Richtlinie erfassten Sektor tätig sind (§ 33-34 BSIG). Dazu zählen Unternehmen aus u.a. Energie, Verkehr, Gesundheit, IKT-Dienste und Weltraum, jeweils abhängig von der Unternehmensgröße. Insgesamt sind über 29.000 Unternehmen in Deutschland betroffen.
Ist mein Unternehmen von NIS2 betroffen?
Unternehmen sollten umgehend prüfen, ob sie unter die NIS2-Richtlinie fallen. Die Betroffenheit ergibt sich u.a. aus Sektor und Unternehmensgröße. Viele Unternehmen sind erstmals betroffen. Ein strukturierter NIS2-Betroffenheits-Check gibt eine unverbindliche Ersteinschätzung.
Bis wann muss die NIS2-Registrierung beim BSI erfolgen?
Bislang nicht registrierte Unternehmen müssen sich bis spätestens 6. März 2026 beim BSI registrieren. Übergangsfristen gibt es keine, weshalb Unternehmen die Registrierung umgehend vornehmen sollten.
Was passiert, wenn wir uns nicht oder zu spät registrieren?
Bei Verstößen drohen empfindliche Konsequenzen, wie erhebliche Bußgelder, persönliche Haftung der Geschäftsleitung sowie aufsichtsrechtliche Maßnahmen des BSI.
Wie erfolgt die NIS2-Registrierung beim BSI?
Die Registrierung erfolgt zweistufig über das BSI-Portal. Voraussetzung ist die Erstellung eines „Mein Unternehmenskonto“ (MUK) mit Hilfe eines ELSTER-Organisationszertifikats. Danach erfolgt die Registrierung mit dem MUK im BSI-Portal.
Benötigt man für die NIS2-Registrierung ein ELSTER-Organisationszertifikat?
Für die Registrierung und die Nutzung des BSI-Portals ist ein ELSTER-Organisationszertifikat zwingend notwendig. Es wird einmalig beantragt werden, um das „Mein Unternehmenskonto“ (MUK) zu nutzen.
Was ist das „Mein Unternehmenskonto“ (MUK)?
„Mein Unternehmenskonto“ (MUK) ist die digitale Identität von Unternehmen gegenüber Behörden. Das Konto ist die technische Voraussetzung für die NIS2-Registrierung und zukünftige Anmeldung im BSI-Portal.
Wer darf die Registrierung beim BSI durchführen?
Die Berechtigung zur Registrierung beim BSI hat das betroffene Unternehmen bzw. die betroffene Einrichtung inne. Die Registrierung wird von einer vertretungsberechtigten Person des Unternehmens oder einer beauftragten Stelle durchgeführt.
Reicht die Registrierung beim BSI aus, um NIS2 zu erfüllen?
Nein, die Registrierung ist lediglich die Voraussetzung für die Erfüllung der NIS2-Pflichten. Zu den Pflichten gehören u.a. die Umsetzung technischer und organisatorischer Maßnahmen sowie die Meldung erheblicher Sicherheitsvorfälle an das BSI.
Wie aufwendig ist die Umsetzung der NIS2-Anforderungen?
Der Umsetzungsaufwand ist gut priorisierbar und schrittweise umsetzbar. Viele Anforderungen lassen sich durch schnell wirksame Maßnahmen mit hoher Risikoreduktion umsetzen. Weitere Anforderungen, insbesondere organisatorische Themen wie Dokumentation, Prozesse und Verträge, werden schrittweise umgesetzt. Insgesamt ist die NIS2-Umsetzung planbar und in klaren Schritten umsetzbar.
Wichtige Begriffe
BCM | Business Continuity Management |
BSI | Bundesamt für Sicherheit in der Informationstechnik |
BSIG | BSI-Gesetz |
ELSTER | Elektronische Steuer Erklärung |
ISMS | Information Security Management System/ Managementsystem für Informationssicherheit |
KRITIS | kritische Infrastrukturen |
MUK | Mein Unternehmenskonto |
NIS | Network and Information Security/ Netzwerk- und Informationssicherheit |
NIS2 | Network and Information Security Directive 2/ Zweite Netzwerk- und Informationssicherheitsrichtlinie |
NIS2UmsuCG | NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz |
TOM | technische und organisatorische Maßnahmen |
Unterstützung bei Betroffenheitsanalyse, Registrierung und Umsetzung
Die formale Registrierung ist nur ein Teil der gesetzlichen Anforderungen. Entscheidend ist, dass Prozesse, Zuständigkeiten sowie organisatorische und technische Maßnahmen den Vorgaben des BSIG entsprechen.
Gerne unterstützen wir Sie bei:
- Der Prüfung Ihrer Betroffenheit (hier geht es zur unverbindlichen Ersteinschätzung mit dem REX ITOC NIS2-Betroffenheits-Check)
- Der Vorbereitung und Durchführung der Registrierung
- Dem Aufbau Ihrer individuellen NIS2-Compliance
Sprechen Sie uns gerne an, wenn Sie eine fachliche Einordnung Ihrer Ausgangslage wünschen.
Quellen:
https://www.recht.bund.de/bgbl/1/2025/301/VO.html
https://www.elster.de/eportal/unternehmerorientiert/registrierungsprozess
https://info.mein-unternehmenskonto.de/
Hinweis/ Disclaimer
Die Inhalte dieser Seite dienen der allgemeinen Information zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) und zum Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Sie stellen keine Rechtsberatung dar und können eine individuelle Prüfung des Einzelfalls nicht ersetzen.
Trotz sorgfältiger Erstellung wird keine Gewähr für Vollständigkeit, Richtigkeit oder Aktualität übernommen. Maßgeblich sind ausschließlich die jeweils geltenden gesetzlichen Vorschriften sowie die Veröffentlichungen der zuständigen Behörden, insbesondere des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Ob und in welchem Umfang ein Unternehmen als wichtig oder besonders wichtige Einrichtung im Sinne der §§ 33 ff. BSIG gilt, ist im Rahmen einer individuellen Betroffenheitsanalyse zu prüfen.