+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

NIS-2 Registrierung im BSI-Portal: Was Unternehmen jetzt zu ELSTER und Verantwortlichkeiten wissen müssen

von | März 18, 2026 | Informationssicherheit | 0 Kommentare

NIS-2 Registrierung

Die NIS-2 Registrierung ist für viele Unternehmen mehr als ein formaler Schritt. Entscheidend ist, ob Zugänge, Zuständigkeiten und Meldewege im Ernstfall tatsächlich funktionieren.

Stellen Sie sich vor, Sie müssen Ihr Unternehmen für NIS-2 registrieren. Aber es ist unklar, wer dafür zuständig ist, wer das notwendige ELSTER-Zertifikat beantragen darf und wie die Rollen im BSI-Portal verteilt werden sollen. Genau solche organisatorischen Lücken machen schon den ersten Schritt der NIS-2-Umsetzung in der Praxis oft komplizierter als viele Unternehmen zunächst vermuten.

Wenn Sie uns kennen, wissen Sie: Wir mögen keine unnötige Panik. Aber wir mögen Klarheit. Und genau die fehlt bei der Umsetzung des NIS-2-Umsetzungsgesetzes in vielen Unternehmen von Anfang an. Die Lücke kommt nicht aus dem Gesetzestext, sondern entsteht im Alltag. Wer sich zunächst einen Überblick zur bisherigen NIS-2-Entwicklung in Deutschland verschaffen möchte, findet in unserem Beitrag zum NIS-2-Referentenentwurf 2025 die wichtigsten Hintergründe.

Auf den Punkt gebracht: NIS-2 Registrierung

Auf den Punkt gebracht:
Auf den Punkt gebracht: NIS-2 Registrierung
  • Die NIS-2 Registrierung ist mehr als ein Verwaltungsschritt.
  • Für viele Unternehmen wird das ELSTER-Organisationszertifikat zum praktischen Schlüsselfaktor.
  • Registrierung und Meldung sind organisatorisch nicht automatisch dasselbe.
  • Unklare Zuständigkeiten führen im Ernstfall schnell zu Verzögerungen.
  • Unternehmen sollten Rollen, Zugänge und Vertretungen frühzeitig sauber klären.

Warum die NIS-2 Registrierung in der Praxis mehr ist als ein Formular

Auf dem Papier klingt die Sache zunächst überschaubar: betroffenes Unternehmen identifizieren, registrieren, Daten hinterlegen, fertig. In der Praxis beginnt genau hier aber oft das eigentliche Organisationsprojekt. Denn eine Registrierung funktioniert nur dann sauber, wenn intern bereits geklärt ist, wer fachlich verantwortlich ist, wer technisch Zugriff auf die notwendigen Systeme hat und wie die Organisation im Ernstfall handlungsfähig bleibt. Das Problem ist also selten nur „das Portal“. Das Problem ist meist die fehlende Abstimmung und die unklare Verteilung von Verantwortlichkeiten im Unternehmen.

Viele Unternehmen unterschätzen diesen Aufwand, weil der Begriff „Registrierung“ nach reiner Formalie klingt. Aber schon die Frage, wer das für die Authentifizierung notwendige ELSTER-Organisationszertifikat beantragt, verwaltet und im Bedarfsfall nutzt, ist eben keine reine Formalie mehr. Sie berührt die Verwaltung, die IT-Abteilung, die Compliance-Abteilung und je nach Unternehmensstruktur auch die Geschäftsleitung. Genau deshalb wird aus einem vermeintlich kleinen Schritt schnell ein Test dafür, ob Zuständigkeiten im Unternehmen tatsächlich geklärt und Prozesse für den Ernstfall etabliert sind. Die Registrierung erzwingt eine Auseinandersetzung mit der eigenen Organisationsstruktur und deckt schonungslos auf, wo es an klaren Regelungen mangelt.

Managementsystem für Informationssicherheit (ISMS) als Basis

Letztendlich sprechen wir von einem funktionierenden ISMS, wenn Sie die Anforderungen an NIS-2 umgesetzt haben. Im Zuge der Implementierung Ihres Managementsystems regeln Sie, wer verantwortlich ist für Informationssicherheit im Allgemeinen, wie die Meldekette bei Vorfällen aussieht und wer die Meldung beim BSI übernimmt, sollte dies notwendig sein. Dies sind nur ein paar Beispiele, die Sie umsetzen müssen.

Da Sie die Registrierung nicht mehr aufschieben können – sollten Sie dies noch nicht gemacht haben, aber vielleicht noch kein ISMS komplett implementiert haben, müssen Sie sich kurzfristig diesen Fragen stellen. Aber keine Panik, es ist ja nicht in Stein gemeißelt. Sollten Sie während der nächsten Monate bei der Umsetzung der NIS-2 Anforderungen Ihre Prozesse überarbeiten und zu einem anderen Ergebnis kommen, haben Sie jederzeit die Möglichkeit, die Verantwortlichkeiten zu ändern.

Welche Unternehmen sich mit dem BSI-Portal beschäftigen müssen

Relevant ist das Thema für alle von der NIS-2-Richtlinie regulierten Unternehmen. Das deutsche Umsetzungsgesetz, das novellierte BSI-Gesetz (BSIG), unterscheidet hierbei zwischen „wichtigen Einrichtungen“ und „besonders wichtigen Einrichtungen“. Wer unter eine dieser Kategorien fällt, kommt am BSI-Portal praktisch nicht vorbei.

Was das NIS-2-Umsetzungsgesetz in Deutschland für Unternehmen bedeutet, haben wir in einem separaten Beitrag bereits ausführlicher eingeordnet.

Zu den „besonders wichtigen Einrichtungen“ zählen beispielsweise Betreiber Kritischer Infrastrukturen (KRITIS), während zu den „wichtigen Einrichtungen“ eine breite Palette von Unternehmen aus Sektoren wie der digitalen Dienste, der Post- und Kurierdienste oder der Abfallwirtschaft gehören kann. Sie sind sich noch nicht sicher, ob Ihre Organisation betroffen ist? Dann bieten wir Ihnen die Möglichkeit eines kostenlosen Betroffenheit-Checks.

Für KRITIS-Unternehmen kommt eine wichtige Feinheit hinzu: Auch sie müssen sich im neuen BSI-Portal registrieren. Gleichzeitig gilt für die Meldung von Sicherheitsvorfällen vorübergehend noch eine Übergangslösung. KRITIS-Betreiber nutzen für eine gewisse Zeit weiterhin ihre etablierten Meldewege, während andere von NIS-2 betroffene Unternehmen ihre Meldungen direkt über das BSI-Portal abgeben müssen. Genau an dieser Stelle entstehen in der Praxis schnell Missverständnisse. Denn viele Unternehmen hören „Portal“ und gehen automatisch davon aus, dass Registrierung und spätere Meldung zwangsläufig identisch laufen. Genau das sollte man intern sauber auseinanderhalten, um im Ernstfall die richtigen Prozesse zu befolgen.

NIS-2 Registrierung - Pin it on Pinterest
Pin it on Pinterest

Warum das ELSTER-Zertifikat zum organisatorischen Schlüsselfaktor wird

Das BSI-Portal nutzt für die Authentifizierung der Nutzer das „Mein Unternehmenskonto“, eine bundeseinheitliche Lösung für die digitale Kommunikation zwischen Unternehmen und Verwaltung. Die Grundlage für die Nutzung von „Mein Unternehmenskonto“ wiederum ist das ELSTER-Organisationszertifikat. Wer sich also fragt, warum im Zusammenhang mit Cybersicherheitsregulierung plötzlich das aus dem Steuerwesen bekannte ELSTER-System so wichtig wird: Genau deshalb. Ohne diesen digitalen Schlüssel läuft bei der NIS-2-Registrierung und -Meldung praktisch nichts.

Der kritische Punkt ist aber nicht nur die reine Existenz des Zertifikats, sondern seine Verfügbarkeit und die Verwaltung der Zugriffsrechte im Alltag. In manchen Unternehmen liegt das Zertifikat faktisch bei einer einzelnen Person, oft in der Finanz- oder Verwaltungsabteilung. In anderen ist zwar klar, dass es irgendwo existiert, aber nicht, wer tatsächlich Zugriff hat und es im Notfall nutzen kann. Manchmal befindet sich das Wissen über Zertifikat, Passwort und Zuständigkeit in einer Abteilung, die im Ernstfall gar nicht die operative Verantwortung für die Bewältigung eines Sicherheitsvorfalls trägt. Dann wird aus einem Compliance-Thema sehr schnell ein handfestes Organisationsproblem.

Besonders heikel wird es, wenn keine Vertretungsregel existiert. Urlaub, Krankheit, Abwesenheit oder schlicht eine Vorfalllage außerhalb der üblichen Arbeitszeiten sind keine exotischen Sonderfälle. Sie sind normaler Unternehmensalltag. Wenn dann nur eine Person handlungsfähig ist, hat das Unternehmen einen klassischen Single Point of Failure geschaffen – und zwar nicht in seiner Technik, sondern in seinem Prozess. Das BSI selbst empfiehlt daher, für jede Person, die auf das Portal zugreifen soll, ein eigenes ELSTER-Organisationszertifikat zu beantragen, um genau solche Engpässe zu vermeiden und die Handlungsfähigkeit jederzeit sicherzustellen.

Typische Praxisprobleme bei Rollen, Zugängen und Zuständigkeiten für die NIS-2 Registrierung

Unklare Verantwortlichkeiten

Die diffuse Verantwortlichkeit für dieses Thema in der Organisation ist ein typisches Problem. Die IT geht davon aus, dass der Bereich Compliance das Thema im Blick hat. Compliance wiederum nimmt an, die Verwaltung kümmert sich um das Zertifikat. Die Geschäftsleitung ist nur am Rand eingebunden. Und am Ende ist niemand wirklich verantwortlich dafür, dass Registrierung, Zugang und Meldeprozess als zusammenhängender Ablauf funktionieren.

Lösungsvorschlag:

Die Anforderungen aus der NIS-2 Gesetzgebung setzen Sie durch ein Managementsystem für Informationssicherheit um. Die Verantwortlichkeit liegt beim ISB und dieser ist in der Regel bei den Managementsytemen oder bei Compliance angesiedelt. In Abstimmung mit der Geschäftsführung sollte der ISB auch die NIS-2 Registrierung anstoßen und sich um die Verfügbarkeit des ELSTER-Zertifikats für die Registrierung kümmern.

Meldewege im Falle eines Vorfalls müssen im ISMS geregelt sein und sind Teil eines Implementierungsprojekts für ein ISMS.

Vertreterregelungen

Ein zweites Problem ist die Konzentration von Wissen bei Einzelpersonen. Das ist bequem, solange alles ruhig bleibt. Es ist aber riskant, sobald Zeitdruck ins Spiel kommt. Ein Zertifikat, das nur eine Person kennt oder verwalten kann, ist kein sauber organisierter Unternehmensprozess.

Lösungsvorschlag:

Haben wir uns im vorherigen Problem mit den Verantwortlichkeiten beschäftigt, sollten wir auch noch die organisatorischen Vertreter berücksichtigen. Gibt es eine Möglichkeit, dass das ELSTER-Zertifikat direkt beim ISB verfügbar ist oder sollte immer eine Stelle aus der Finanzverwaltung eingebunden werden? Hier entscheiden Sie. Aber wichtig ist, dass Sie es entscheiden und so regeln, dass in allen Fällen auch ein Zugriff auf notwendige Ressourcen möglich ist. Wie dieser Zugriff vonstatten geht, beleuchtet die nächste Herausforderung.

Prozesse

Ein drittes Problem: Prozesse existieren nur auf dem Papier. Es gibt dann vielleicht eine Zuständigkeit, vielleicht sogar eine kleine Dokumentation. Aber niemand hat geprüft, ob die Abläufe realistisch sind. Kann die zuständige Person tatsächlich auf die nötigen Informationen zugreifen? Ist klar, wie IT, Management und gegebenenfalls Recht oder Datenschutz zusammenarbeiten? Wurde einmal durchgespielt, wie der Ablauf bei einem meldepflichtigen Vorfall aussieht? Wenn nicht, ist die Organisation im Zweifel deutlich schlechter vorbereitet, als sie selbst glaubt.

Lösungsvorschlag:

Ein klarer Punkt, der in einem ISMS geregelt wird, sind die Prozessabläufe. Sind die Verantwortlichen festgelegt, dann erhalten diese klare Aufgaben in beschriebenen Prozessen. Einer der wichtigsten Prozesse im NIS-2 Kontext ist die Meldepflicht beim BSI bzw. im Allgemeinen die Abwicklung von Sicherheitsvorfällen. Hier sprechen wir nicht von einem theoretischen Prozess. Dieser muss gelebt, geprüft und optimiert werden. Kein Unternehmen wird ohne Sicherheitsvorfälle laufen. Daher ist es relativ einfach, den Prozessablauf kontinuierlich durchzuführen. Das heißt nicht, dass jeder kleine Sicherheitsvorfall gleich eine Meldung beim BSI nach sich zieht. Aber 80% des Prozesses können mit der Bearbeitung von Sicherheitsvorfällen im Business-Alltag gelebt werden.

WICHTIG! NIS-2 Registrierung ist nicht gleich Meldung: Worauf Unternehmen achten sollten

Die Begriffe Registrierung und Meldung geraten in der Praxis besonders häufig durcheinander. Registrierung bedeutet zunächst, dass Ihre Organisation als regulierte Einrichtung im BSI-Kontext erfasst wird. Meldung bedeutet dagegen, dass ein konkreter erheblicher Sicherheitsvorfall auf dem vorgesehenen Weg abgegeben wird.

Genau deshalb reicht es nicht, intern nur zu sagen: „Wir haben uns registriert.“ Diese Aussage klingt gut, beantwortet aber noch nicht die entscheidenden operativen Fragen. Wer meldet im Ernstfall? Wer entscheidet, ob ein Vorfall meldepflichtig ist? Wer hat die notwendigen Zugänge? Und wer springt ein, wenn die zuständige Person nicht verfügbar ist? Zwischen formaler NIS-2 Registrierung und gelebter Handlungsfähigkeit im Vorfall liegen in vielen Unternehmen noch einige offene Punkte.

Checkliste: So bereiten Sie Ihr Unternehmen organisatorisch vor

  1. Betroffenheit sauber einordnen und dokumentieren.
  2. Eine verantwortliche Stelle mit klarer Ownership benennen.
    • Der ISB ist in der Regel die Verantwortliche Person für die Informationssicherheit in Ihrer Organisation.
    • Haben Sie noch kein ISMS implementiert, benennen Sie eine Interimsstelle, die für die Umsetzung verantwortlich ist.
  3. ELSTER-Organisationszertifikat, Ablage und Passwortzugriff prüfen.
    • Beantragen Sie das Zertifikat, falls noch nicht im Unternehmen vorhanden.
    • Klären Sie, ob für den ISB oder den zukünftigen Verantwortlichen für die Meldung von Sicherheitsvorfällen ein eigenes ELSTER-Zertifikat ausgegeben werden sollte.
  4. Eine belastbare Vertretungsregel festlegen.
    • Definieren Sie im ISMS die Rollen und entsprechende Vertreter für zeitkritische Funktionen.
  5. NIS-2 Registrierung und Meldeweg intern getrennt denken und abstimmen.
    • NIS-2 Registrierung ist eine einmalige Sache.
    • Meldepflicht beim BSI ist im ISMS im Prozess Sicherheitsvorfälle zu berücksichtigen.
  6. Einen kurzen, praxistauglichen Ablauf dokumentieren und einmal durchspielen.
    • Im Rahmen der internen Audits oder des BCMs kann z.B. ein Test Ihrer definierten Prozesse erfolgen.
Ablauf der NIS-2 Registrierung

NIS-2 Registrierung in der Praxis

Legen Sie Ihr Unternehmenskonto an, wenn dies noch nicht erfolgt ist (z.B. durch Ihre Finanzabteilung).

Nutzen Sie dafür den folgendem Link: https://info.mein-unternehmenskonto.de

Mein Unternehmenskonto auf Basis von Elster

Hier geht es direkt zum BSI-Portal: https://portal.bsi.bund.de/startseite

Eine Anmeldung mit dem ELSTER-Organisationszertifikat ist an dieser Stelle notwendig, um die weiteren Schritte abschließen zu können.

ELSTER Anmeldung

Im nächsten Fenster sehen Sie die Menüführung im BSI-Portal. Links können Sie das NIS-2 Icon anwählen und sind dann in der Maske für die NIS-2 Registrierung.

BSI-Portal

Füllen Sie die weiteren Informationen für Ihre Organisation aus, entsprechend der Formulare.

Haben Sie Fragen dazu? Dann sprechen Sie uns an – wir unterstützen Sie gerne bei der Registrierung.

Warum das Thema gerade jetzt so relevant ist

Die organisatorische Vorbereitung ist nicht nur theoretisch wichtig. Sie ist auch zeitlich relevant. Die dreimonatige Registrierungsfrist für viele betroffene Unternehmen endete am 6. März 2026. Es zeigt sich, dass viele Unternehmen mit der praktischen Umsetzung hinterherhinken. Das spricht dafür, die operative Seite von NIS-2 nüchtern und strukturiert anzugehen – statt sich nur auf Fristen oder Gesetzesnamen zu konzentrieren.

Fazit: Klarheit vor Aktionismus

Die NIS-2 Anforderungen umzusetzen wird oft als juristische oder regulatorische Großbaustelle wahrgenommen. In der Praxis entscheidet sich die Umsetzbarkeit aber häufig an ganz bodenständigen Fragen: Wer ist zuständig? Wer hat Zugriff? Wer kann im Ernstfall handeln? Und wie gut sind Registrierung und Meldeweg intern aufeinander abgestimmt?

Die gute Nachricht ist: Genau diese Fragen lassen sich klären. Nicht mit Aktionismus, nicht mit hektischem Nachziehen unter Zeitdruck, sondern mit Struktur und einem Informationssicherheitsmanagementsystem (ISMS). Wer Zuständigkeiten, Zugänge und Vertretungen frühzeitig sauber aufsetzt, macht aus der Umsetzung der NIS-2 Anforderungen kein Chaosprojekt, sondern einen beherrschbaren Organisationsprozess.

Gerne unterstützen wir Sie bei der Klärung Ihrer offenen Fragen und der Umsetzung der NIS-2 Anforderungen in Ihrem Unternehmen. Sprechen Sie uns an oder vereinbaren Sie direkt ein kostenloses Erstgespräch mit unseren Experten.

Kostenloses Erstgespräch Umsetzung der NIS-2 Anforderungen

Diesen Beitrag teilen

Das ist sicher auch interessant für Sie

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert