Bild: nitpicker / Shutterstock.com
Es klingt nach einem bürokratischen Detail. Ist es aber nicht. Rund 29.000 Unternehmen in Deutschland müssen sich bis zum 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Wer jetzt noch nicht handelt, riskiert mehr als nur ein Ordnungsgeld. Es geht um Verantwortung, Haftung – und im Ernstfall um die eigene Geschäftsführung. Heise Online berichtet unter Bezugnahme auf den TÜV SÜD.
Die NIS2-Regelung gilt seit dem 6. Dezember 2025 und verpflichtet Unternehmen in sensiblen Bereichen zu klaren Sicherheitsmaßnahmen. Energie, Gesundheit, Verkehr, digitale Infrastruktur oder öffentliche Verwaltung – überall dort, wo ein Ausfall massive Folgen hätte, schaut der Staat jetzt genauer hin. Betroffen sind Firmen ab 50 Mitarbeitenden oder mit mehr als 10 Millionen Euro Jahresumsatz.
Registrierung ist kein Formalakt
Viele Unternehmen wiegen sich noch in Sicherheit. Doch genau hier liegt das Problem. „Viele Unternehmen unterschätzen die Bedeutung formaler Pflichten wie Registrierung, laufende Aktualisierung von Unternehmensdaten und fristgerechte Meldungen von Sicherheitsvorfällen“, warnt Richard Skalt, Advocacy Manager Cybersecurity Office bei TÜV SÜD.
Die Anmeldung läuft über ein neues Online-Portal des BSI. Es ist die zentrale Anlaufstelle für alles rund um NIS2. Dort müssen Unternehmen unter anderem ihre Größe, ihre Rechtsform, den zuständigen Ansprechpartner für NIS2, den betroffenen Sektor und die verantwortliche Aufsichtsbehörde angeben. Und es bleibt nicht bei einer einmaligen Eingabe: Änderungen müssen innerhalb von zwei Wochen gemeldet werden.
Das Portal dient außerdem dazu, Sicherheitsvorfälle zu melden. Weitere Funktionen sind angekündigt, darunter ein einheitliches Meldeformat und ein schneller Austausch von Bedrohungsdaten. Ziel ist es, Angriffe schneller zu erkennen und gemeinsam darauf zu reagieren.
Ohne ELSTER geht nichts
Was viele zusätzlich überrascht: Für die Registrierung braucht es ein ELSTER-Organisationszertifikat. Und das kommt nicht über Nacht. Laut TÜV SÜD dauert die Bearbeitung fünf bis zehn Werktage. Wer also erst kurz vor dem 6. März aktiv wird, könnte allein an dieser Hürde scheitern.
Das zeigt, wie ernst das Thema genommen wird. Es geht nicht um eine einfache Online-Formularpflicht. Es geht um eine verbindliche Einbindung in ein staatliches Sicherheitssystem.
Geschäftsführer in der Pflicht
Besonders brisant ist ein anderer Punkt: Die Verantwortung endet nicht beim Unternehmen als juristische Person. Geschäftsführer können persönlich haftbar gemacht werden, wenn sie die Anforderungen nicht angemessen umsetzen. Wer das Thema IT-Sicherheit also bislang an die Technik-Abteilung delegiert hat, sollte spätestens jetzt genauer hinschauen.
Skalt bringt es auf den Punkt: „Organisationen benötigen praxisnahe, umsetzbare Maßnahmenpläne für NIS 2“. Es reicht nicht, ein Papierkonzept in die Schublade zu legen. Gefordert sind echte Prozesse, klare Zuständigkeiten und funktionierende Notfallpläne.
Zwischen Sicherheitsgewinn und Bürokratielast
Natürlich stellt sich die Frage: Ist das alles notwendig? Die Bedrohungslage im Cyberraum ist real. Angriffe auf Krankenhäuser, Energieversorger oder Verwaltungen sind keine Theorie mehr, sondern Alltag. Ein erfolgreicher Angriff kann Millionen kosten und im schlimmsten Fall Menschen gefährden.
Gleichzeitig bedeutet NIS2 für viele mittelständische Unternehmen einen erheblichen Mehraufwand. Neue Prozesse, Schulungen, Dokumentationspflichten – all das bindet Ressourcen. Gerade kleinere Betriebe, die knapp über den Schwellenwerten liegen, spüren die Belastung deutlich.
Unsere Einordnung
Die Richtung stimmt: Wer kritische Dienstleistungen anbietet, muss sie auch schützen. Es ist kaum vermittelbar, dass zentrale Infrastruktur von schlecht gesicherten IT-Systemen abhängt. Die persönliche Verantwortung der Geschäftsführung sorgt dafür, dass das Thema nicht länger auf die lange Bank geschoben wird.
Aber: Die Umsetzung darf nicht zu einem reinen Abhak-Programm verkommen. Wenn Unternehmen vor allem Formulare ausfüllen, statt echte Sicherheitsstrukturen aufzubauen, wird das Ziel verfehlt. Sicherheit entsteht nicht durch Portale, sondern durch gelebte Praxis.
Entscheidend wird sein, ob das BSI pragmatisch begleitet oder nur kontrolliert. Druck allein schafft keine Resilienz. Wer jetzt nur die Frist im Blick hat, denkt zu kurz. Die eigentliche Aufgabe beginnt nach dem 6. März – und sie wird bleiben.
Quellen: heise.de, tuvsud.com
