BSI-Portal: Für 30.000 Firmen läuft die Zeit ab

Rund 30.000 Unternehmen müssen sich bis zum 6. März im neuen BSI-Portal registrieren. Die verschärften Cybersicherheits-Pflichten bedeuten einen Paradigmenwechsel – mit persönlicher Haftung für Geschäftsführer.

Die Uhr tickt unerbittlich. Seit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes im Dezember 2025 haben Betreiber kritischer Infrastrukturen (KRITIS) und Tausende weitere Firmen Zeit, sich für verschärfte Meldepflichten zu registrieren. Die Frist endet am 6. März 2026. Das technische Herzstück ist das seit Januar online geschaltete BSI-Portal des Bundesamtes für Sicherheit in der Informationstechnik. Wer die Deadline verpasst, begeht eine Compliance-Verletzung – mit potenziell empfindlichen Konsequenzen.

Viele Unternehmen unterschätzen, wie schnell NIS-2 konkrete Folgen bringt: Registrierungspflicht, 24‑Stunden-Meldung bei Vorfällen und erhöhte Prüfungen durch das BSI. Ein kostenloses E‑Book fasst praxisnah zusammen, welche Sofortmaßnahmen IT-Verantwortliche und Geschäftsführer jetzt umsetzen müssen — von Incident‑Response-Prozessen über Mitarbeiterschulungen bis zur Nachweisführung für Audits. Ideal, um Bußgelder und Haftungsrisiken zu minimieren. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Strikte Meldepflichten: 24 Stunden für die Erstmeldung

Die neuen Regeln, die die europäische NIS-2-Richtlinie in deutsches Recht überführen, stellen die umfassendste Reform der Cybersicherheitsgesetze seit Jahren dar. Im Fokus stehen konkrete, zeitkritische Meldepflichten bei erheblichen Sicherheitsvorfällen.

Betroffene Unternehmen müssen einen Vorfall unverzüglich, spätestens aber innerhalb von 24 Stunden, dem BSI melden. Eine Folgemeldung mit erster Bewertung ist binnen 72 Stunden fällig. Der Abschlussbericht muss nach einem Monat vorliegen. Diese strikten Vorgaben erfordern etablierte interne Prozesse für die Incident Response. Die Pflichten gehen dabei weit über die bisherigen KRITIS-Regelungen hinaus.

Wer ist betroffen? Vom Energiekonzern zum Maschinenbauer

Eine fundamentale Änderung ist die massive Ausweitung des Kreises der Betroffenen. Erfasst werden nun schätzungsweise 29.500 bis 30.000 Einrichtungen in Deutschland. Neben den klassischen KRITIS-Betreibern, die als „besonders wichtige Einrichtungen“ gelten, umfasst das Gesetz auch „wichtige Einrichtungen“.

Die Betroffenheit richtet sich nach Unternehmensgröße und Branche. Schon Firmen ab 50 Mitarbeitenden oder einem Jahresumsatz von über 10 Millionen Euro können in die Pflicht genommen werden. Entscheidend ist die Tätigkeit in einem von 18 kritischen Sektoren. Dazu zählen nicht nur Energie, Gesundheit und digitale Infrastruktur, sondern auch Lebensmittelproduktion, Maschinenbau oder Abfallwirtschaft. Erstmals müssen sich damit zahlreiche Mittelständler mit verbindlichen Cybersicherheitsvorgaben auf diesem Niveau auseinandersetzen.

Paradigmenwechsel: Cybersicherheit wird Chefsache

Branchenexperten sehen in NIS-2 mehr als eine technische Vorschrift. Es etabliert Cybersicherheit als zentrale Führungsaufgabe. Ein wesentlicher Aspekt ist die explizite Verankerung der Verantwortung auf der Leitungsebene. Geschäftsführer und Vorstände haften persönlich für die Umsetzung der Risikomanagementmaßnahmen und sind zu Schulungen verpflichtet.

Diese Verschärfung erhöht den Druck auf das Management enorm. Cybersicherheit muss als strategisches Unternehmensrisiko behandelt und mit entsprechenden Ressourcen unterlegt werden. Gerade für den Mittelstand, der in der Vergangenheit oft an IT-Sicherheit gespart hat, stellt dies eine erhebliche Herausforderung dar.

Nach der Registrierung beginnt die Prüfung

Die Registrierung bis März ist nur der erste Schritt. Danach beginnt die Phase der dauerhaften Umsetzung und Nachweisführung. Das BSI erhält deutlich erweiterte Aufsichts- und Prüfungsbefugnisse. Unternehmen müssen sich auf Kontrollen und Audits einstellen.

Der Fokus verlagert sich nun darauf, die implementierten Maßnahmen in der Praxis zu belegen. Zahlreiche Verbände reagieren auf den hohen Informationsbedarf mit Veranstaltungen. Die Botschaft ist klar: Die Zeit der Freiwilligkeit ist vorbei. Die digitale Resilienz ist zu einer messbaren und sanktionierbaren Pflicht geworden.

PS: Stehen Sie als Geschäftsführer oder IT‑Leiter vor der NIS‑2‑Deadline und wollen Haftungsrisiken sowie Prüfungsstress vermeiden? Das Gratis‑E‑Book erklärt kompakt, wie Sie Sicherheit ohne teure Neueinstellungen stärken — mit klaren Checklisten für 24/72‑Stunden‑Meldungen, Audit‑Nachweisen und Awareness‑Maßnahmen für Mitarbeitende. Praktisch für Compliance-, IT‑ und Management‑Teams. Jetzt gratis Cyber-Guide für Geschäftsführer sichern