NIS-2 und IT-Sicherheit: Müssen Sie Ihr Unternehmen registrieren?
2. April 2026
Im Dezember 2025 ist das neue IT-Sicherheitsgesetz in Kraft getreten. Nach vielen Anläufen konnte die EU-Richtlinie NIS-2 endlich ins deutsche Recht umgesetzt und „scharf“ gestellt werden. Die neue Gesetzeslage sieht neben wichtigen IT-Sicherheitspflichten eine Registrierungspflicht betroffener Unternehmen vor. Dieser Beitrag beleuchtet daher, welche Unternehmen betroffen sind und sich registrieren müssen und was bei der Prüfung des Betroffenen-Status zu beachten ist.
Lesedauer: 5 Minuten (a. 950 Wörter)
Was ist das neue IT-Sicherheitsrecht?
In den vergangenen Jahren hat die Bedrohung durch Cyberattacken zugenommen und die Wirtschaftsunternehmen und Betreiber kritischer Anlagen vor neue Herausforderungen gestellt. Das hat die Europäische Union auf den Plan gerufen, die daraufhin die NIS-2-Richtlinie verabschiedet hat. Diese wurde nun im Dezember 2025 – nach mehreren Monaten Verzögerung – ins deutsche Recht umgesetzt. Schwerpunktmäßig wurde dabei das Bundessicherheitsgesetz (BSIG) angepasst. Die Schätzungen, wie viele Unternehmen nach der neuen Gesetzeslage in Deutschland verpflichtet sind, variieren zwischen 30.000 bis 40.000.
Nach dem neuen IT-Sicherheitsrecht werden Unternehmen, die bestimmte Voraussetzungen erfüllen, als sog. wichtige Einrichtungen und besonders wichtige Einrichtungen unterteilt. Ein Unterschied zwischen beiden liegt darin, dass die Art und Eingriffsintensität der Aufsichts- und Durchsetzungsmaßnahmen des Bundesamtes für Sicherheit in der Informationstechnik („BSI“) gegenüber besonders wichtigen Einrichtungen strenger ausgestaltet sind. Alle wichtigen Einrichtungen müssen aber IT-Sicherheitsvorkehrungen treffen, die anderen Unternehmen im Geschäftsverkehr nicht auferlegt werden.
Registrierungsfrist verpasst – was jetzt?
Eine erste Pflicht ist die Registrierung beim BSI. Das Bundesamt bietet auf seiner Webseite ein Onlineportal an, über das sich Unternehmen mit ihrem ELSTER-Organisationszertifikat anmelden und registrieren können. Die gesetzliche Frist zur Registrierung ist zwar bereits am 6. März 2026 abgelaufen. Doch das Onlineportal ist nach wie vor freigeschaltet. Auch wenn bislang keine Sanktionen bekannt geworden sind, die wegen verspäteter Registrierung verhängt wurden – rechtlich besteht jedoch weiterhin ein Verstoß. Unternehmen sollten daher zügig handeln.
Dabei ist die entscheidende Frage, welche Unternehmen von der neuen Gesetzeslage erfasst sind und sich registrieren müssen. Da sind zum einen die Unternehmen, die sich bereits nach der Vorgängerversion des Bundessicherheitsgesetzes registrieren mussten, die noch in die Kategorien „Betreiber kritischer Infrastrukturen“ und „Unternehmen im besonderen öffentlichen Interesse“ unterteilt waren. Dieses Wording ist für das neue Gesetz nicht übernommen worden. Stattdessen sind, zum anderen, die genannten Kategorien der besonders wichtigen und wichtigen Einrichtungen geschaffen worden. Da auch die Kriterien geändert wurden, fallen mit der neuen Gesetzeslage mehr Unternehmen in den Anwendungsbereich des IT-Sicherheitsrechts als zuvor.
Besonders wichtige Einrichtungen: Kriterien
Die Registrierungspflicht betrifft besonders wichtige Einrichtungen, wichtige Einrichtungen und Domain-Name-Registry-Diensteanbieter. Besonders wichtige Einrichtungen, die die IT-Sicherheitsmaßnahmen nach dem BSIG umsetzen müssen und dabei einer engen Aufsicht des BSI unterworfen sind, sind u. a.:
- Betreiber kritischer Anlagen
- qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter
- T. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze
- sonstige Anbieter gemäß Anlage 1
Hervorzuheben sind die sonstigen Anbieter. Hierbei handelt es sich um Unternehmungen, die – nach Anlage 1 des BSIG – eine bestimmte Tätigkeit in den folgenden Sektoren ausführen:
- Energie
- Transport und Verkehr
- Finanzwesen
- Gesundheit
- Wasser
- Digitale Infrastruktur
- Weltraum
Allerdings stellt der Gesetzgeber nicht einzig auf die Sektorenzugehörigkeit ab. Vielmehr müssen Unternehmen eine durch Schwellenwerte festgelegte Größe erreicht haben, um den gesteigerten Pflichten der besonders wichtigen Einrichtungen zu unterliegen. Die Unternehmen müssen also
- 250 Mitarbeiter beschäftigen ODER
- einen Jahresumsatz von über 50 Mio. € erzielen.
Das bedeutet, dass ein Unternehmen, das zwar in einem der in Anlage 1 aufgezählten Sektoren tätig ist, aber 249 oder weniger Mitarbeiter beschäftigt und einen Jahresumsatz von 50 Mio. € oder weniger erwirtschaftet, keine besonders wichtige Einrichtung ist und nicht der strengen Aufsicht des BSI unterfällt.
Wichtige Einrichtungen: Kriterien
Die Unternehmen, die mangels Größe keine besonders wichtigen Einrichtungen sind, können aber wichtige Einrichtungen sein. Das ist der Fall, wenn diese Unternehmungen
- 50 – 249 Mitarbeiter beschäftigen ODER
- einen Jahresumsatz von über 10 – 50 Mio. € erzielen.
Die wichtigen Einrichtungen unterliegen zwar keiner strengen behördlichen Aufsicht, müssen aber gleichwohl die IT-Sicherheitsmaßnahmen voll ergreifen.
Zusammenfassend gelten die folgenden Fallgruppen als wichtige Einrichtungen:
- Unternehmen, die die Schwellenwerte für die besonders wichtigen Einrichtungen nicht erreichen
- Vertrauensdiensteanbieter
- T. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze
- sonstige Anbieter gemäß Anlage 2
Als weitere relevante Fallgruppe sind die sonstigen Anbieter zu nennen, die gemäß der Anlage 2 in den folgenden Sektoren tätig sind:
- Transport und Verkehr
- Abfallbewirtschaftung
- Produktion, Herstellung und Handel mit chemischen Stoffen
- Produktion, Verarbeitung und Vertrieb von Lebensmitteln
- Verarbeitendes Gewerbe/Herstellung von Waren
- Anbieter digitaler Dienste
- Forschung
Auch für die Fallgruppe der sonstigen Anbieter gilt, dass diese eine gewisse Bagatellgrenze überschritten haben müssen, um verpflichtet zu werden. Das bedeutet: min. 50 Mitarbeiter oder min. 10 Mio. € Jahresumsatz. Ein Unternehmen, das in einem systemkritischen Sektor tätig ist, aber weniger als 50 Mitarbeiter beschäftigt oder weniger als 10 Mio. € Jahresumsatz erwirtschaftet, ist nach dem BSIG nicht unmittelbar verpflichtet.
Beispiel: Ein Kfz-Zulieferer mit 120 Mitarbeitern und 20 Mio. € Umsatz fällt als „wichtige Einrichtung“ unter das Gesetz.
Praxisproblem: Unternehmensgröße richtig prüfen
Im Ergebnis bedeutet das, dass die Registrierungspflicht nur Unternehmungen betrifft, die Tätigkeiten in einem der systemkritischen Sektoren erbringen, und dabei mind. 50 Mitarbeiter beschäftigen oder 10 Mio. € Jahresumsatz generieren. Alle anderen Unternehmungen müssen sich nicht registrieren und – eigentlich – auch keine IT-Sicherheitsmaßnahmen ergreifen. Arbeiten diese Unternehmen allerdings mit einer wichtigen oder besonders wichtigen Einrichtung zusammen, können bzw. müssen sie von der Einrichtung auf vertraglicher Basis mittelbar zu IT-Sicherheitsmaßnahmen verpflichtet werden (Sicherheit der Lieferkette).
Unternehmen sollten also prüfen, ob sie die Kriterien einer wichtigen oder besonders wichtigen Einrichtung erfüllen. Bei der Prüfung ist speziell auf die in der Praxis immer wieder auftretenden Fragen zur Berechnung der Mitarbeiterzahl und des Jahresumsatzes sowie bei der Beurteilung von Konzernen und Holding-Strukturen zu achten. Relevant ist auch, dass verpflichtete Einrichtungen prüfen müssen, inwiefern sie die IT-Sicherheit in ihrer Lieferkette sicherstellen. Geprüft werden sollte also nicht nur der Betroffenheit-Status, sondern auch die Verträge mit Lieferanten und Dienstleister.
Sie kommen aus Kiel oder Schleswig-Holstein und haben Fragen zur Registrierung beim BSI? Oder Sie kommen aus dem übrigen Bundesgebiet und möchten sich über die Prüfung zur NIS-2-Betroffenheit informieren? Dann nehmen Sie gerne unter info@anwalt-daum.de Kontakt zu mir auf.
Dr. Oliver Daum
Fachanwalt für IT-Recht
Datenschutzbeauftragter (IHK)
IT-Sicherheitsbeauftragter (IHK)
Auch interessant: Verantwortung in Unternehmen: Datenschutz und IT-Sicherheit sind Chefsache