,

„Geschäftsleitung fit für NIS2“, Teil 3

AdobeStock | 965988410 | Ali Hamza TullahAdobeStock | 965988410 | Ali Hamza Tullah

Nachdem wir im ersten Teil dieser Reihe von Blogartikeln zur Umsetzung der NIS2-Richtlinie in Deutschland dargestellt hatten, warum es eine Schulungspflicht für Geschäftsleitungen im entsprechenden BSI-Gesetz (BSI-G) gibt, ging es im zweiten Teil um das Risikomanagement und die Möglichkeiten der Unternehmensleitung, das Risikomanagement aktiv zu gestalten.

Mittlerweile ist die sofort nach Inkrafttreten des BSI-Gesetzes einsetzende 3-monatige Frist zur Registrierung des Unternehmens am 3. März 2026 abgelaufen, und es tritt ein eigentlich schon abgehaktes Thema wieder neu auf die Tagesordnung: die Frage nach der Betroffenheit.

Fehlinterpretationen in der Betroffenheitsprüfung

Von der gesetzlichen Vorgabe, die Anforderungen aus dem BSI-Gesetz zu erfüllen, sind nicht alle Unternehmen betroffen. Schon vor dem finalen Inkrafttreten des Gesetzes hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Webseite eine recht eingängig gehaltene Unterstützung veröffentlich, in der man durch Beantwortung einiger weniger einfacher Fragen selbständig (unverbindlich!) prüfen konnte, ob das eigene Unternehmen nach dem BSI-G pflichtig ist.

Interessanterweise ist das Wissen über die Pflichtigkeit in Unternehmen extrem verschieden ausgeprägt. Einige Unternehmen haben die Pflichtigkeit schon vor dem Inkrafttreten des BSI-G geprüft und erste, grobe Planungen angestellt, wie, mit welchen Ressourcen und mit welcher Unterstützung eventuelle Anforderungen sinnvoll und strukturiert umgesetzt werden könnten.

Unsicherheiten bei der Einschätzung

Einige Einschätzung aus dem März 2026 gehen davon aus, dass besonders in kleineren und kleinen umsatzstarken Unternehmen die Betroffenheit des eigenen Unternehmens immer noch falsch eingeschätzt wird. Der Anteil der Unternehmen, die für sich fälschlicherweise davon ausgehen, dass sie nicht betroffen seien, obwohl sie es tatsächlich sind, liegt nach diesen Einschätzungen bei ca. 50 Prozent (laut Cyber Security Report 2026 – Schwarz Digits KG).

Parameter Unternehmensgröße

Die Betroffenheit ergibt sich für die meisten Unternehmen aus den beiden Parametern „Unternehmensgröße“ und „Geschäftsfeld“. Die Unternehmensgröße wird an den Mitarbeiterzahlen und an Finanzdaten festgemacht: mit mehr als 250 Mitarbeitern ODER (!) mehr als 50 Millionen € Umsatz bzw. mehr als 43 Millionen € Bilanzsumme gilt man als Großunternehmen und damit potenziell als „besonders wichtige Einrichtung“. Zu den mittleren Unternehmen zählt man mit mehr als 50 Mitarbeitern ODER (!) mit mehr als 10 Millionen € Umsatz bzw. Jahresbilanz.

Parameter Geschäftsfeld

Der Parameter „Unternehmensgröße“ allein führt allerdings noch nicht zwingend zu einer Betroffenheit – es muss auch der zweite Parameter „Geschäftsfeld“ erfüllt sein. Hierfür gibt es im BSI-G die beiden Anlagen 1 und 2, in der recht detailliert die Geschäftsfelder aufgeführt sind, die im Zusammenspiel mit der Unternehmensgröße zu einer Betroffenheit führen.

Besonderheiten

Allerdings gibt es auch noch einige Besonderheiten. So sind Unternehmen unabhängig von den beiden genannten Parametern pflichtig, wenn sie z.B. als Anbieter von DNS-Diensten oder Qualifizierten Vertrauensdiensten tätig sind. Auch Betreiber Kritischer Anlagen sind unabhängig von der Unternehmensgröße betroffen. Im BSI-G finden sich neben der Definition, welche Unternehmen betroffen sind, auch abweichende Regelungen für Unternehmen, die bereits nach dem Energiewirtschaftsgesetzt (EnWG) oder dem Telekommunikationsgesetz (TKG) reguliert sind.

Es ist nachvollziehbar, dass neben der Uninformiertheit auch Fehlinterpretationen des Gesetzestextes zu einer falschen Einschätzung der eigenen NIS2-Pflichtigkeit führen. Rechtzeitige Information, eine Vernetzung mit anderen Unternehmen und Spezialisten und Inanspruchnahme von Unterstützungsangeboten helfen dabei, unangenehme Fehlentscheidungen zu vermeiden. Alles übrigens Dinge, die auch ein einem ISMS gefordert werden.

Strukturiert vorgehen

Wenn festgestellt wurde, dass man doch unter die NIS2-Richtlinie fällt, stellt sich für viele Verantwortliche unmittelbar die nächste zentrale Frage: Was ist konkret zu tun, wenn man betroffen ist? Neben der Umsetzung geeigneter Sicherheitsmaßnahmen rückt dabei insbesondere eine formale Anforderung in den Fokus, die häufig unterschätzt wird – die Registrierung im Melde- und Informationsportal des Bundesamts für Sicherheit in der Informationstechnik (BSI). Diese stellt den ersten verbindlichen Schritt dar, um den gesetzlichen Pflichten nachzukommen und als betroffene Einrichtung gegenüber den zuständigen Behörden sichtbar zu werden.

Ablauf der Registrierung in Kürze

  1. Prüfung, ob das Unternehmen unter NIS-2 fällt. Zur Betroffenheitsprüfung
  2. Im Portal von Mein Unternehmenskonto mit einer deutschen Steuernummer ein Organisationszertifikat beantragen.
  3. Aktivierung per E-Mail und Post abwarten und das Zertifikat freischalten.
  4. Mit diesem Zugang im BSI-Portal anmelden.
  5. Dort die NIS-2-Registrierung abschließen und die erforderlichen Unternehmensdaten sowie eine Kontaktstelle angeben.

Wichtige Hinweise

  • Für jede Person mit Portalzugriff kann ein eigenes ELSTER-Organisationszertifikat sinnvoll sein. Übrigens: Dieses Zertifikat hat nichts mit dem ELSTER-Zertifikat für die private Steuereklärung zu tun!
  • Die Registrierung sollte nicht aufgeschoben werden, da für betroffene Unternehmen eine Frist gilt, diese Frist bereits abgelaufen ist, und die Aktivierung einige Zeit in Anspruch nehmen kann.

Fazit

Abschließend zeigt sich deutlich: Die NIS2-Betroffenheit wird nach wie vor von vielen Unternehmen unterschätzt oder falsch eingeordnet – insbesondere von kleineren, aber umsatzstarken oder kritischen Organisationen. Gerade hier besteht akuter Handlungsbedarf. Die Registrierung im BSI-Portal ist kein optionaler Schritt, sondern eine zentrale gesetzliche Verpflichtung, die nicht aufgeschoben werden sollte.

Unternehmen sollten daher zeitnah prüfen, ob sie unter die Richtlinie fallen, und die Registrierung strukturiert angehen.

Was Sie auch interessieren könnte:

Seminar:

„Geschäftsleitung fit für NIS2“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube“ sowie natürlich auf unserer Website.

Hören Sie rein!

/von
Das könnte Dich auch interessieren
AdobeStock | 1927805106 | AnusaAdobeStock | 1927805106 | Anusa “Geschäftsleitung fit für NIS2“, Teil 2
ANMATHO Podcast Logo "Security on Air".© ANMATHO AG + AdobeStock | #129965694 | frank peters (Micro)Podcast – Jahresrückblick 2025 & Ausblick 2026
AdobeStock | 1896781002 | sorapopAdobeStock | 1896781002 | sorapopNIS2 – Frist zur Registrierung endet am 06.03.2026!
Adobe Stock | 968083173 | KI generiertAdobe Stock | 968083173 | KI generiertRatgeber Informationssicherheit für Geschäftsführung
ANMATHO Podcast Logo "Security on Air".© ANMATHO AG + AdobeStock | #129965694 | frank peters (Micro)Podcast – Security on Air – Heute Jahresrückblick Informationssicherheit
AdobeStock_135225426-DOC RABE MediaAdobeStock_135225426-DOC RABE Media„Geschäftsleitung fit für NIS2“ – Teil 1

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

Wir sind zertifiziert nach ISO27001:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen