Geschätzte Lesezeit: 4 Minuten
Die Umsetzung der NIS2-Richtlinie in deutsches Recht (durch das NIS2UmsuCG) lässt zwar auf parlamentarischer Ebene noch auf sich warten, doch das Bundesamt für Sicherheit in der Informationstechnik (BSI) schafft bereits Fakten. Seit Kurzem ist das zentrale Registrierungsportal erreichbar.
Für Tausende Unternehmen in Deutschland bedeutet das: Die Vorbereitungszeit endet, die Pflichten beginnen. In diesem Artikel erfahrt ihr, wer sich registrieren muss und welche Schritte jetzt Priorität haben.
Warum jetzt? Der Kontext zur NIS2
Obwohl die gesetzliche Frist zur nationalen Umsetzung (17. Oktober 2024) verstrichen ist und Deutschland sich im Verzug befindet, ist die Richtung klar. Sobald das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft tritt, müssen betroffene Unternehmen innerhalb kürzester Zeit handlungsfähig sein. Das BSI hat das Portal vorzeitig geöffnet, um den Ansturm zu entzerren und Unternehmen die Möglichkeit zu geben, ihre Stammdaten frühzeitig zu hinterlegen.
Wer muss sich registrieren?
Die NIS2-Richtlinie weitet den Kreis der regulierten Unternehmen massiv aus. Man unterscheidet künftig zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“.
Die Faustregel für die Betroffenheit:
Unternehmen fallen in der Regel unter NIS2, wenn sie:
- Mehr als 50 Mitarbeiter beschäftigen oder einen Jahresumsatz/eine Jahresbilanzsumme von über 10 Millionen Euro haben.
- In einem der kritischen Sektoren tätig sind (z. B. Energie, Gesundheit, Transport, Bankwesen, aber auch Abfallwirtschaft, Lebensmittel oder digitale Dienste).
Wichtig: Auch Zulieferer können indirekt betroffen sein, da regulierte Unternehmen ihre Lieferketten nach NIS2-Standards absichern müssen.
Das Registrierungsportal: Ein Schritt-für-Schritt-Guide
Das BSI stellt das Portal über seine Webseite bereit. Hier werden die Stammdaten erfasst, die für die Kommunikation im Falle von Sicherheitsvorfällen essenziell sind.
1. Identifikation der Betroffenheit
Bevor ihr euch anmeldet, nutzt die Selbsteinschätzungs-Tools (z. B. den Betroffenheitsprüfer des BSI), um sicherzugehen, in welche Kategorie (wesentlich vs. wichtig) eure Organisation fällt.
2. Benennung der Kontaktstellen
Ihr müsst eine rund um die Uhr (24/7) erreichbare Kontaktstelle angeben. Dies ist oft die IT-Leitung oder das SOC (Security Operations Center). Das BSI nutzt diese Daten für Warnmeldungen und im Krisenfall.
3. Übermittlung der Stammdaten
Im Portal werden Informationen abgefragt zu:
- Unternehmensname und Rechtsform
- Sektor und Teilsektor
- Kontaktdaten der Geschäftsführung und der IT-Sicherheit
- IP-Adressbereiche und genutzte AS-Nummern (soweit vorhanden)
Was passiert nach der Registrierung?
Die Registrierung ist nur der Anfang. Mit der Meldung im Portal erkennt das Unternehmen formal an, dass es den NIS2-Pflichten unterliegt. Daraus ergeben sich unmittelbar drei Kernaufgaben:
- Risikomanagement-Maßnahmen: Implementierung von Verschlüsselung, MFA (Multi-Faktor-Authentisierung), Backup-Strategien und Zugriffskontrollen nach dem Stand der Technik.
- Meldepflichten: Sicherheitsvorfälle müssen innerhalb von 24 Stunden (Frühwarnung) bzw. 72 Stunden (Update) an das BSI gemeldet werden.
- Haftung der Geschäftsführung: Ein kritischer Punkt der NIS2 ist die persönliche Haftung der Führungsebene bei Vernachlässigung der Aufsichtspflichten im Bereich Cybersecurity.
Fazit: Warten ist keine Option
Auch wenn das Gesetz final noch nicht verkündet wurde: Die Anforderungen an die Cybersicherheit sind real und die Bedrohungslage bleibt hoch. Das Registrierungsportal des BSI zu nutzen, ist ein wichtiger erster Meilenstein, um Compliance-ready zu werden.
Tipp für die Community von der-it-blog.de: Wartet nicht auf den letzten Drücker. Die IT-Infrastruktur NIS2-konform umzubauen, dauert Monate, nicht Wochen. Die Registrierung ist dabei der kleinste, aber symbolisch wichtigste Schritt.
Sei der Erste, der das kommentiert
Kommentare sind geschlossen, allerdings sind Trackbacks und Pingbacks möglich.