Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) wurden neue Maßstäbe für die Cyber-Resilienz in Deutschland gesetzt. Aktuelle Marktdaten deuten darauf hin, dass die Beteiligung an der gesetzlichen Registrierungspflicht bisher hinter den Erwartungen zurückbleibt – Schätzungen zufolge haben bisher weniger als die Hälfte der betroffenen Organisationen den Prozess abgeschlossen. Da die offizielle Frist am 6. März 2026 endete, steht für viele Unternehmen nun die zügige Herstellung der Compliance im Vordergrund, um Rechtssicherheit für die operative Tätigkeit und die Geschäftsführung zu schaffen.
Ein proaktives Nachholen der Registrierung gilt dabei als notwendiger Schritt, um die Konformität mit der europäischen Sicherheitsrichtlinie zu dokumentieren. Während die betroffenen Gesellschaften der IONOS Group diesen Prozess bereits fristgerecht durchlaufen haben, bietet der folgende Leitfaden eine Orientierungshilfe für alle Unternehmen, die sich noch in der Analysephase befinden.
Die Durchführung der Betroffenheitsanalyse
Die Analyse der Betroffenheit erfolgt grundsätzlich pro Legal Entity (einzelne Rechtseinheit). Infolgedessen reicht eine pauschale Betrachtung für gesamte Konzerne ohne Detailprüfung der Einzeleinheiten nicht aus.
Schritt 1: Klassifizierung und geografischer Fokus
Zunächst ist eine Liste sämtlicher Geschäftstätigkeiten und Dienstleistungen zu erstellen. Dabei werden Dienste/Tätigkeiten, die nicht für oder innerhalb der EU-Mitgliedstaaten erbracht werden, ausgeklammert. Der Grund ist, dass sich die Richtlinie an Unternehmen richtet, die Tätigkeiten/Dienstleistungen auf dem EU-Markt bereitstellen.
Schritt 2: Sektorale Einordnung
Anhand dieser Liste erfolgt die Prüfung, ob die Tätigkeiten unter die in Anlage I (Sektoren mit hoher Kritikalität) oder Anlage II (Sonstige kritische Sektoren) des BSIG genannten Einrichtungsarten fallen. Dementsprechend stellt eine sorgfältige Analyse der Begriffserklärungen in den Anlagen I und II eine korrekte Einordnung sicher.
Schritt 3: Prüfung der direkten Betroffenheit
Bestimmte Einrichtungsarten führen unabhängig von ihrer Größe zu einer direkten Betroffenheit. Hierzu zählen insbesondere:
- Anbieter von öffentlich zugänglichen Kommunikationsdiensten oder Betreiber von öffentlichen Kommunikationsnetzen
- Domain-Name-Registry-Dienstleister (Registrare, Reseller)
- Top-Level-Domain (TLD) Registries
- Vertrauensdienstanbieter
- DNS-Dienstanbieter
- KRITIS-Betreiber
Prüfung der Vernachlässigbarkeit
Nach der sektoralen Zuordnung erfolgt eine Prüfung auf Vernachlässigbarkeit. Tätigkeiten gelten nach Expertenansicht dann als vernachlässigbar, wenn sie keinen signifikanten Anteil am Jahresumsatz ausmachen, die Anzahl der in diesem Bereich tätigen Mitarbeiter gering ist und die Tätigkeit nicht in Gründungsverträgen oder wesentlichen Satzungen (siehe Erwähgungsgrund § 28 Abs. 3) verankert ist. Das Ergebnis dieser Prüfung mündet schließlich in einer Matrix (Legal Entity / betroffene Dienstleistung).
Finanzschwellenwerte und IT-Abhängigkeit
Ein wesentlicher Teil der Analyse betrifft die Überprüfung der Finanzschwellenwerte gemäß § 28 Abs. 1 Nr. 4 und Abs. 2 Nr. 3 BSIG. Hierbei darf die Betrachtung nicht isoliert erfolgen, wenn eine IT-Abhängigkeit besteht.
- Top-Down-Analyse: Die Prüfung erfolgt innerhalb des Konzernbaums von oben nach unten.
- Konsolidierung: Ist eine Muttergesellschaft IT-abhängig von ihren Tochtergesellschaften, werden die Kennzahlen (Jahresumsatz, Jahresbilanzsumme und Mitarbeiteranzahl/FTE) der Tochtergesellschaften zu jenen der Muttergesellschaft addiert (siehe Erwägungsgrund des § 28 Abs. 4).
- Kaskadierung: Sofern Tochtergesellschaften von der Muttergesellschaft IT-abhängig sind, müssen diese die konsolidierten Zahlen der Muttergesellschaft zu ihren eigenen Werten addieren.
Der Registrierungsprozess zur NIS2-Umsetzung
Sobald die Betroffenheit final feststeht, ist die Registrierung beim BSI einzuleiten. Der Gesetzgeber sieht hierfür, abhängig von der Einordnung der Einrichtung, unterschiedliche Verfahrenswege vor.
Registrierung nach § 34 BSIG (Zentralisiertes Verfahren)
Für Unternehmen unter den Regelungen des § 34 BSIG existiert ein effizienter, zentralisierter Prozess:
- Zentrale Anmeldung: Die Registrierung erfolgt federführend über die Hauptniederlassung.
- Authentifizierung: Der Identitätsnachweis im Portal wird mittels eines ELSTER-Organisationszertifikats erbracht.
- Sammelmeldung: Weitere betroffene Einheiten innerhalb eines Unternehmensverbunds benötigen zudem keine Einzelregistrierung; diese lassen sich stattdessen gesammelt über eine vom BSI bereitgestellte Excel-Vorlage melden.
Registrierung nach § 33 BSIG (Dezentralisiertes Verfahren)
Im Gegensatz dazu unterliegen Einrichtungen unter § 33 BSIG spezifischen Anforderungen des BSI:
- Einzelregistrierung: Hier ist eine individuelle Betrachtung jeder einzelnen Einrichtung erforderlich.
- Authentifizierung: Für jede betroffene Einheit ist eine eigenständige Anmeldung im BSI-Portal unter Verwendung eines ELSTER-Zertifikats notwendig.
| Merkmal | Verfahren nach § 34 BSIG | Verfahren nach § 33 BSIG |
| Registrierungsart | Zentral (Hauptniederlassung) | Dezentral (je Einrichtung) |
| ELSTER-Bedarf | Ein Zertifikat für den Verbund | Ein Zertifikat pro Einrichtung |
| Töchter-Meldung | Sammelliste (Excel-Upload) | Einzelregistrierung |
Hinweis: Das BSI empfiehlt ausdrücklich die Verwendung von individuellen Zertifikaten pro handelnder Person.
Ausblick: In einem künftigen Beitrag folgen vertiefende Hinweise zur Erstellung dieser Zertifikate sowie praktische Tipps für eine reibungslose Portal-Registrierung.
Weiterführende Links
- Aktuelle Marktdaten zur Beteiligung an der gesetzlichen Registrierungspflicht
- Anlage I (Sektoren mit hoher Kritikalität)
- Anlage II (Sonstige kritische Sektoren)
- Anleitung zur Registrierung über die Hauptniederlassung
- Anleitung zur Registrierung nach § 33 BSIG
- ISO 27001:2022 – Der neue Standard für Informationssicherheit