Seit dem 6. Januar 2026 ist das BSI-Meldeportal in Betrieb. Einrichtungen, die unter die NIS2-Richtlinie fallen, mussten sich bis zum 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik registrieren. Wer diese Frist versäumt hat oder neu in den NIS2-Anwendungsbereich fällt, unterliegt einer laufenden Registrierungspflicht und muss die Registrierung unverzüglich nachholen. Bußgelder bei Verstoß: bis zu 10 Millionen Euro.
Dieser Leitfaden erklärt, welche Angaben das Portal abfragt, wie die Registrierung Schritt für Schritt abläuft und welche Konsequenzen eine fehlende Registrierung hat. Die Angaben basieren auf dem veröffentlichten Meldeportal und den Vorgaben des NIS2UmsuCG (§ 33 BSIG).
Was ist die BSI-Registrierungspflicht nach NIS2?
Das NIS2UmsuCG verpflichtet wesentliche und wichtige Einrichtungen in Deutschland dazu, sich beim BSI zu registrieren. Die Rechtsgrundlage bildet § 33 BSIG (Bundesgesetz über das Bundesamt für Sicherheit in der Informationstechnik in der Fassung des NIS2UmsuCG). Die Pflicht umfasst:
- Einmalige Erstregistrierung bei erstmaliger Erfüllung der NIS2-Kriterien
- Laufende Aktualisierung bei wesentlichen Änderungen (Kontakt, IP-Bereiche, Sektorwechsel)
- Jährliche Bestätigung der gemeldeten Angaben
Die Registrierung ist nicht identisch mit dem Incident-Reporting. Sie dient dem BSI dazu, einen vollständigen Überblick über alle regulierten Einrichtungen in Deutschland zu erhalten, Kontaktdaten für Krisenlagen vorzuhalten und die Sektoraufsicht zu strukturieren. Das Meldeportal ist unter meldung.bsi.bund.de erreichbar.
Ob Ihre Einrichtung unter NIS2 fällt, ergibt sich aus der NIS2-Anwendungsbereichsprüfung anhand von Sektor, Größe und Dienstleistungstyp. Die Einstufung als wesentlich oder wichtig bestimmt dabei nicht nur die Überwachungsintensität, sondern auch die Höhe möglicher Bußgelder.
Das BSI-Meldeportal: Zugang und technische Grundlage
Das BSI-Meldeportal ging am 6. Januar 2026 offiziell in Betrieb. Es handelt sich um ein webbasiertes Portal, das über ELSTER-Zugangsdaten (ELSTER-Zertifikat) oder die BundID zugänglich ist. Voraussetzung für die Registrierung ist damit eine bestehende ELSTER-Registrierung oder ein BundID-Konto mit hinreichendem Vertrauensniveau.
Technische Anforderungen an das Portal im Überblick:
- Aktueller Webbrowser (Chrome 110+, Firefox 115+, Edge 110+)
- ELSTER-Zertifikat (Organisationszertifikat für juristische Personen) oder BundID
- Keine Installation von Zusatzsoftware erforderlich
- Alle Angaben werden verschlüsselt übertragen (TLS 1.3)
Organisationen, die noch kein ELSTER-Organisationszertifikat besitzen, müssen dieses zunächst über das ELSTER-Portal beantragen. Die Bearbeitungszeit beträgt in der Regel 5 bis 10 Werktage. Dieser Vorlauf sollte bei der Planung der Registrierung berücksichtigt werden.
Welche Angaben werden bei der Registrierung abgefragt?
Das BSI-Portal erfasst drei Kategorien von Informationen: Grundangaben zur Organisation, technische Netzwerkdaten und sektorale Zuordnung. Alle Angaben müssen vollständig und korrekt ausgefüllt werden. Unvollständige Registrierungen gelten als nicht eingereicht und können Bußgelder auslösen.
1. Grundangaben zur Organisation
Im ersten Block erfasst das Portal die organisatorischen Basisdaten:
- Offizieller Name der Einrichtung (exakt wie im Handelsregister oder in der Satzung)
- Rechtsform (GmbH, AG, GmbH & Co. KG, e.V., Körperschaft des öffentlichen Rechts etc.)
- Registernummer und Registergericht (für eingetragene Gesellschaften)
- Anschrift des Hauptsitzes in Deutschland
- Umsatz und Mitarbeiterzahl zur Größenklassenbestimmung
Hinweis für Konzerne: Tochtergesellschaften und rechtlich selbstständige Einheiten müssen sich jeweils einzeln registrieren. Eine Konzernregistrierung durch die Muttergesellschaft ist nicht möglich, wenn die Tochtergesellschaft eigenständig als wesentliche oder wichtige Einrichtung einzustufen ist.
2. Kontaktangaben und Ansprechpartner
Das BSI benötigt dedizierte Ansprechpartner für zwei Kontexte:
- Allgemeiner Ansprechpartner: Name, Funktion, direkte E-Mail-Adresse, Telefonnummer (kein Sammelanschluss)
- Sicherheitsansprechpartner (CISO oder gleichwertig): Direkte Erreichbarkeit, möglichst auch Mobilnummer für Notfälle
- Notfallkontakt (24/7): Kontakt, der bei Sicherheitsvorfällen rund um die Uhr erreichbar ist — kann auch ein externer MSSP oder ein SOC-Dienst sein
Das BSI betont ausdrücklich, dass Postfachadressen oder Verteileradressen ohne regelmäßige Kontrolle nicht ausreichen. Die Kontaktdaten müssen zu Personen führen, die innerhalb von 2 Stunden reagieren können, da das BSI diese Kontakte auch für dringende Sicherheitshinweise nutzt.
3. Technische Angaben: IP-Adressbereiche
Dieser Abschnitt ist für viele Einrichtungen der aufwendigste Teil der Registrierung. Das BSI fragt nach den öffentlich erreichbaren IP-Adressbereichen der Einrichtung in CIDR-Notation:
- IPv4-Adressbereiche (z. B. 203.0.113.0/24)
- IPv6-Adressbereiche (z. B. 2001:db8::/32)
- Sowohl eigene AS-Präfixe als auch bei Hostern oder Cloud-Anbietern gebuchte IP-Blöcke
Einrichtungen ohne eigene IP-Infrastruktur (z. B. reine SaaS-Nutzer) geben die IP-Bereiche ihrer Hauptdienstleister an und kennzeichnen diese entsprechend. Wichtig: Es sind mindestens die drei größten öffentlich erreichbaren Präfixe anzugeben. Eine vollständige WHOIS-Recherche ist empfehlenswert, bevor die Registrierung ausgefüllt wird.
4. Sektorale Zuordnung und Einstufung
Im letzten Abschnitt ordnet sich die Einrichtung selbst einem Sektor zu:
- Sektor: Auswahl aus den Sektoren der Anlagen I und II des NIS2UmsuCG (z. B. Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur, Verwaltung)
- Teilsektor: Präzisierung innerhalb des Sektors (z. B. innerhalb Energie: Elektrizität, Gas, Fernwärme, Erdöl, Wasserstoff)
- Art der Einrichtung: Wesentliche Einrichtung (§ 28 Abs. 1 BSIG) oder wichtige Einrichtung (§ 28 Abs. 2 BSIG)
- Betreiber kritischer Anlagen: Ja/Nein-Angabe, ob die Einrichtung gleichzeitig als KRITIS-Betreiber eingestuft ist
Die Selbsteinstufung als wesentlich oder wichtig hat erhebliche rechtliche Konsequenzen für Bußgelder und Prüfintensität. Wenn Zweifel bestehen, empfiehlt sich die Rücksprache mit einem auf IT-Sicherheitsrecht spezialisierten Rechtsanwalt, bevor die Einstufung abgeschlossen wird.
Schritt-für-Schritt: Ablauf der BSI-Registrierung
Die Registrierung im BSI-Meldeportal gliedert sich in fünf Schritte:
Schritt 1 — Vorbereitung und ELSTER-Zugang
Stellen Sie sicher, dass ein gültiges ELSTER-Organisationszertifikat vorliegt. Rufen Sie meldung.bsi.bund.de auf und melden Sie sich mit dem ELSTER-Zertifikat an. Alternativ ist die Anmeldung über BundID möglich. Erstellen Sie, falls noch nicht vorhanden, zunächst einen Account auf elster.de und beantragen Sie ein Organisationszertifikat.
Schritt 2 — Unternehmensgrundaten eingeben
Füllen Sie alle Pflichtfelder unter „Einrichtung“ aus: offizieller Name, Rechtsform, Handelsregisternummer, Anschrift und Größenklasse. Stellen Sie sicher, dass die Angaben exakt mit dem Handelsregister übereinstimmen. Abweichungen können zu Rückfragen des BSI führen.
Schritt 3 — Kontaktpersonen hinterlegen
Legen Sie alle drei Kontakttypen an: allgemeinen Ansprechpartner, Sicherheitsverantwortlichen und Notfallkontakt. Jeder Kontakt benötigt eine direkte E-Mail-Adresse und Telefonnummer. Prüfen Sie die Angaben sorgfältig — das BSI nutzt diese Kontakte für zeitkritische Mitteilungen und Sicherheitshinweise.
Schritt 4 — IP-Adressbereiche und technische Angaben
Geben Sie alle öffentlich erreichbaren IP-Adressbereiche ein. Nutzen Sie vorab WHOIS-Daten und koordinieren Sie intern mit der Netzwerkabteilung oder dem Hosting-Anbieter. Fehlende oder falsche IP-Bereiche können dazu führen, dass das BSI keine Sicherheitswarnungen für Ihre Infrastruktur liefern kann.
Schritt 5 — Sektorzuordnung, Einstufung und Absenden
Wählen Sie Sektor und Teilsektor aus und bestätigen Sie die Einstufung als wesentliche oder wichtige Einrichtung. Das System prüft die Konsistenz der Angaben und zeigt ggf. Warnhinweise an. Nach finaler Prüfung senden Sie die Registrierung ab. Sie erhalten eine Eingangsbestätigung per E-Mail. Die Bestätigung durch das BSI erfolgt in der Regel innerhalb von 10 Werktagen.
Fristen: Wann musste sich Ihre Einrichtung registrieren?
Das BSI-Meldeportal startete am 6. Januar 2026. Für Einrichtungen, die zu diesem Zeitpunkt bereits unter NIS2 fielen, galt eine Übergangsfrist von zwei Monaten — der 6. März 2026 war die erste offizielle Registrierungsfrist.
Die Registrierungspflicht gilt laufend:
- Einrichtungen, die nach dem 6. März 2026 erstmals die NIS2-Kriterien erfüllen (z. B. durch Wachstum, neue Dienstleistungen oder Sektorwechsel), müssen sich innerhalb von 3 Monaten registrieren.
- Wesentliche Änderungen der gemeldeten Angaben — insbesondere bei Kontaktpersonen, IP-Bereichen oder Sektorzugehörigkeit — sind unverzüglich zu aktualisieren.
- Alle registrierten Einrichtungen müssen ihre Angaben einmal jährlich bestätigen.
Wer die Erstfrist vom 6. März 2026 verpasst hat, sollte die Registrierung umgehend nachholen. Das BSI hat angekündigt, ausstehende Registrierungen zu verfolgen und bei Nichtreaktion Bußgeldverfahren einzuleiten. Eine freiwillige Nachregistrierung kann mildernd gewertet werden, schützt aber nicht vollständig vor Sanktionen.
Bußgelder bei Nicht-Registrierung
Die Nichtregistrierung ist ein eigenständiger Bußgeldtatbestand nach § 65 BSIG. Die Höhe der Geldbuße richtet sich nach der Einstufung der Einrichtung:
| Einrichtungstyp | Maximales Bußgeld | Alternativ |
|---|---|---|
| Wesentliche Einrichtung | 10.000.000 € | 2 % des globalen Jahresumsatzes (der höhere Betrag gilt) |
| Wichtige Einrichtung | 7.000.000 € | 1,4 % des globalen Jahresumsatzes (der höhere Betrag gilt) |
Wichtig: Das BSI kann neben dem Bußgeld gegen die Einrichtung auch persönliche Sanktionen gegen Geschäftsführer verhängen, wenn die Nichtregistrierung auf ein vorsätzliches oder grob fahrlässiges Unterlassen der Leitungsebene zurückzuführen ist. Die Geschäftsführerhaftung nach § 38 BSIG gilt auch für die Registrierungspflicht.
Zusätzlich zum Bußgeld kann das BSI bei wesentlichen Einrichtungen eine öffentliche Bekanntmachung der Verstöße anordnen (§ 66 BSIG), was erheblichen Reputationsschaden bedeuten kann. Informationen zu den vollständigen Meldepflichten nach NIS2, einschließlich der 24- und 72-Stunden-Fristen für Sicherheitsvorfälle, finden Sie in unserem Leitfaden zur Vorfallmeldung.
Häufige Fehler bei der BSI-Registrierung
Auf Basis der ersten Registrierungswelle haben sich folgende Fehlerquellen als typisch herausgestellt:
- Fehlende ELSTER-Vorbereitung: Das Organisationszertifikat wird erst kurz vor der Deadline beantragt, die Bearbeitungszeit reicht nicht aus. Lösung: ELSTER-Antrag mindestens 2 Wochen vor geplanter Registrierung stellen.
- Unvollständige IP-Bereiche: Nur die eigene Hauptinfrastruktur wird angegeben, Cloud-Präfixe und Hosting-Blöcke fehlen. Lösung: Vor der Registrierung vollständige WHOIS-Analyse durchführen.
- Sammelkontakte statt Einzelpersonen: info@unternehmen.de wird als Kontakt eingetragen. Das BSI fordert direkte, personenbezogene Kontakte.
- Falsche Sektorzuordnung: Einrichtungen, die in mehreren Sektoren tätig sind, melden nur einen Sektor. Lösung: Alle zutreffenden Sektoren angeben.
- Fehlende Aktualisierung nach Fusionen: Nach Mergers oder Akquisitionen wird die Registrierung nicht aktualisiert. Die Pflicht zur Aktualisierung besteht bei allen wesentlichen Änderungen der Unternehmensstruktur.
Häufige Fragen zur BSI-Registrierung
Müssen auch kleine Unternehmen unter 50 Mitarbeitern sich registrieren?
Grundsätzlich nein — NIS2 richtet sich primär an mittlere und große Unternehmen (50+ Mitarbeiter oder 10+ Mio. € Umsatz). Ausnahmen gelten jedoch für kritische Sektoren und spezifische Dienstleistungstypen, bei denen auch kleinere Einrichtungen erfasst sein können (z. B. qualifizierte Vertrauensdiensteanbieter, DNS-Resolver, TLD-Registrare).
Was passiert, wenn ich mich als wesentlich einstufe, obwohl ich nur wichtig bin?
Eine zu hohe Einstufung führt zu strengerer BSI-Aufsicht und höheren Bußgeldrisiken. Das BSI kann die Einstufung überprüfen und bei falscher Selbstauskunft eine formelle Korrektur einleiten. Bei Unsicherheit sollte die Einstufung rechtlich abgesichert werden.
Muss ich mich erneut registrieren, wenn sich meine IP-Bereiche ändern?
Ja — das Portal muss bei wesentlichen Änderungen der technischen Angaben aktualisiert werden. Kleinere IP-Änderungen (z. B. einzelne Hosts) können im Rahmen der jährlichen Bestätigung korrigiert werden. Größere Änderungen (neues ASN, Wechsel des Rechenzentrums, Cloud-Migration) sind unverzüglich zu melden.
Ich bin Dienstleister und betreibe IT für mehrere NIS2-pflichtige Kunden. Muss ich mich selbst registrieren?
Das hängt von Ihrer eigenen Einstufung ab. Als Managed Security Service Provider (MSSP) oder Cloud-Anbieter können Sie selbst als wesentliche oder wichtige Einrichtung gelten — unabhängig von Ihren Kunden. Prüfen Sie Ihre eigene Einstufung anhand von Sektor, Größe und Umsatz.
Was ist der Unterschied zwischen der BSI-Registrierung und der Vorfallmeldung?
Die Registrierung ist eine einmalige Grundmeldung zur Identifikation und Kontaktaufnahme. Die Vorfallmeldung ist ein laufendes Instrument: Bei erheblichen Sicherheitsvorfällen besteht eine Meldepflicht innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (vollständige Meldung). Beides läuft über das BSI-Meldeportal, ist aber rechtlich und prozessual getrennt.
Quellen
- Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI-Meldeportal NIS2, meldung.bsi.bund.de (2026)
- BSI: Hinweise zur Registrierungspflicht nach § 33 BSIG, bsi.bund.de (Januar 2026)
- Bundesgesetz: NIS2UmsuCG — Gesetz zur Umsetzung der NIS-2-Richtlinie, BGBl. 2024 (insb. §§ 28, 33, 38, 65, 66 BSIG)
- OpenKRITIS: NIS2-Registrierungspflicht und Fristen, openkritis.de (2026)
- ENISA: NIS2 Directive — Key aspects and obligations, enisa.europa.eu (2024)
