NIS2 betroffen? Wir klären Status, Registrierungspflicht und den Handlungsspielraum der Geschäftsleitung.
Wenn Einkauf, Security, Compliance oder Geschäftsführung keine belastbare Antwort auf drei Fragen haben, entsteht aus NIS2 schnell ein echtes Managementproblem: Fallen wir unter das BSIG, mussten wir uns beim BSI registrieren und was muss jetzt intern dokumentiert und entschieden werden?
ITMR prüft Betroffenheit, Einrichtungstyp, Konzern- und Lieferkettenbezug sowie die Registrierungslogik im BSI-Portal. Das Ergebnis ist kein loses Memo, sondern eine tragfähige Entscheidungsgrundlage für Management, Compliance, Security und die nächsten Umsetzungsschritte.
So einfach funktioniert es
1. Lage, Gesellschaften, Dienste, Sektor und Unternehmensgröße sauber aufnehmen.
2. Betroffenheit, Einrichtungstyp, Registrierungspflicht und Pflichtenbild rechtlich bewerten.
3. Management-Memo, Registrierung und belastbare nächste Schritte festziehen.
NIS2-Umsetzungsfall kurz schildern
Für Unternehmen, die ihre NIS2-Lage belastbar entscheiden und dokumentieren müssen.
Sinnvoll, wenn Betroffenheit, Registrierung, Konzernrolle oder Fristversäumnis intern nicht belastbar entschieden sind.
NIS2 gilt in Deutschland: Jetzt zählt die konkrete Betroffenheits- und Pflichtenprüfung.
Die EU-Umsetzungsfrist zur NIS-2-Richtlinie ist am 17. Oktober 2024 abgelaufen; die nationalen Vorgaben sollten ab 18. Oktober 2024 angewendet werden. In Deutschland ist das Umsetzungsgesetz am 6. Dezember 2025 in Kraft getreten. Für betroffene Einrichtungen ist NIS2 damit kein künftiges Projekt mehr, sondern eine laufende Einordnungs-, Registrierungs-, Melde- und Governance-Aufgabe. Entscheidend ist jetzt, ob das Unternehmen als wichtige oder besonders wichtige Einrichtung erfasst ist und welche Umsetzungs- und Nachweisspur daraus folgt.
Die EU-Umsetzungsfrist endete am 17. Oktober 2024. Für Einrichtungen, die bereits bei Inkrafttreten des deutschen Gesetzes erfasst waren, ist zudem die erste praktische Dreimonatsgrenze zur Registrierung am 6. März 2026 verstrichen.
Das deutsche Umsetzungsgesetz ist in Kraft. Betroffene Unternehmen müssen NIS2 nicht mehr nur vorbereiten, sondern Betroffenheit, Einstufung, Registrierung, Meldewege und Risikomanagement belastbar abbilden.
Zu entscheiden sind Sektorbezug, Schwellenwerte, Sondertatbestände, Konzernstruktur, Einrichtungstyp, BSI-Registrierung, interne Zuständigkeit und Geschäftsleitungsfreigabe.
Auch nach Registrierung bleiben Nachweise, Risikomanagementmaßnahmen, Lieferketten- und Dienstleisterbezug, Incident Response, Governance, Meldeprozesse und Dokumentation relevant.
- Fällt das Unternehmen in einen NIS2-Sektor oder in einen Sondertatbestand?
- Sind Schwellenwerte, verbundene Unternehmen, Shared Services oder Konzernrollen sauber eingeordnet?
- Welche Systeme, Dienste, Standorte, Lieferketten und Dienstleister tragen den Pflichtenumfang?
- Sind Meldewege, Verantwortlichkeiten und Geschäftsleitungszuständigkeit dokumentiert?
- Gibt es nachvollziehbare Risikomanagementmaßnahmen und eine belastbare Nachweisspur?
Wenn Betroffenheit, Registrierung oder Umsetzungsstand intern offen sind, sollte zuerst das Pflichtenbild geklärt werden: Welche Einheit ist betroffen, was ist bereits erledigt, was muss nachgezogen werden?
NIS2-Umsetzungsbedarf einordnen lassen Der Statusblock ersetzt keine Detailprüfung des Einrichtungsbegriffs, der Sektorzuordnung und möglicher Sondertatbestände.Für die breite Einordnung von IT-Recht, digitalen Verträgen und angrenzender Regulierung ist unsere Hauptseite IT-Recht der richtige Einstieg. Im Mittelpunkt stehen hier nur die engere NIS2-Frage: Betroffenheit, Registrierungspflicht, Fristversäumnis und die belastbare Entscheidung der Geschäftsleitung. Wenn Sicherheitsorganisation, Incident Response oder Lieferkettensteuerung schon in der Umsetzung stecken, führen häufig auch Cybersecurity und IT-Compliance weiter.
Seit Inkrafttreten zählt nicht mehr die Beobachtung, sondern die dokumentierte Umsetzungslinie.
Offene Betroffenheit, Registrierung und Zuständigkeit brauchen jetzt eine belastbare Spur.
Seit dem 6. Dezember 2025 gilt das deutsche NIS2-Umsetzungsgesetz. Für Einrichtungen, die bereits bei Inkrafttreten erfasst waren, ist die erste praktische Dreimonatsgrenze zur Registrierung am 6. März 2026 abgelaufen. Wer bis dahin keine belastbare Einordnung getroffen hat, sollte die Entscheidung nachholen, die Zuständigkeit dokumentieren und offene Registrierungsschritte nachvollziehbar ordnen. Für Unternehmen, deren Betroffenheit erst später entsteht oder deren Struktur sich ändert, bleibt die Prüfung ebenso relevant.
- Betroffenheit zuerst: Ohne belastbare Einordnung bleiben Registrierung, Meldepflichten und Maßnahmenplan unscharf.
- Registrierung nachvollziehen: Offene, stockende oder verspätete Schritte gehören in eine dokumentierte Nachhol- und Freigabelogik.
- Pflichten operationalisieren: Risikomanagement, Meldewege, Lieferkettenbezug und Geschäftsleitungszuständigkeit müssen organisatorisch abbildbar sein.
Typische Unternehmenslagen
Dann wird eine externe Betroffenheitsprüfung wirtschaftlich sinnvoll.
Es braucht ein belastbares Ja oder Nein.
Die Geschäftsleitung will keine Folienlage, sondern eine dokumentierte Entscheidung dazu, ob eine Gesellschaft oder ein Unternehmensverbund als wichtige oder besonders wichtige Einrichtung einzuordnen ist.
NIS2-Nachweise werden von außen verlangt.
Enterprise-Kunden, Konzernmutter, Versicherer oder Investoren fragen nach Status, Registrierung, Verantwortlichkeiten und Nachweisbarkeit, obwohl intern noch keine saubere Linie steht.
Konzernrollen, Shared Services oder Dienstketten verwischen den Scope.
Ob die operative Einheit, die Holding, der interne IT-Dienstleister oder mehrere Gesellschaften betroffen sind, lässt sich nicht an einer Branchenbezeichnung ablesen. Entscheidend ist die tatsächliche Dienst- und Organisationsstruktur.
Die Registrierung ist offen, verspätet oder intern blockiert.
Oft scheitert der Prozess nicht an der Norm, sondern an ELSTER, Rollen, Zuständigkeiten, fehlender Managementfreigabe oder daran, dass niemand die Verantwortung für die Einordnung übernehmen will.
Was im Mandat wirklich entschieden werden muss
NIS2-Betroffenheit kippt selten an einer Norm. Sie kippt an der Einordnung.
Branchenetikett reicht nicht.
Maßgeblich ist, welche Dienste oder Tätigkeiten tatsächlich erbracht werden, in welchem Sektor sie einzuordnen sind und ob Ausnahmen, Sonderrollen oder sektorale Besonderheiten greifen.
Schwellenwerte werden oft auf der falschen Ebene gelesen.
Entscheidend ist nicht nur Umsatz oder Mitarbeiterzahl, sondern auf welche Organisationseinheit, Gesellschaft oder Verbundstruktur die Prüfung bezogen werden muss.
Interne IT-Dienstleister und Verbundstrukturen brauchen eine eigene Logik.
Shared Services, zentrale Plattformen, Tochtergesellschaften und ausgelagerte Betriebsmodelle erzeugen Grenzfälle, die intern häufig zu grob oder vorschnell entschieden werden.
Ohne Management-Memo fehlt später die belastbare Spur.
Wer Betroffenheit, Registrierung oder Nichtbetroffenheit nicht nachvollziehbar dokumentiert, baut eine unnötige Reibungsstelle für Audit, Kunde, Versicherer oder Behörde auf.
Wenn Registrierung oder Betroffenheit offen geblieben sind
Offene Registrierung oder ungeklärte Betroffenheit brauchen jetzt eine dokumentierte Linie.
Nach Ablauf der ersten praktischen Dreimonatsgrenze für bereits erfasste Einrichtungen ist die richtige Reaktion nicht, die Lage intern kleinzureden. Sinnvoll ist, Betroffenheit zügig sauber zu entscheiden, den bisherigen Erkenntnisstand zu dokumentieren, die Registrierungslogik organisatorisch zu ordnen und offene Managementfragen nicht in der IT hängen zu lassen. Besonders heikel wird es, wenn Betroffenheit zwar vermutet, aber nie förmlich entschieden wurde.
Welche Gesellschaft muss handeln?
Wer ist betroffen, wer darf registrieren, welche Vertretungs- und Zugriffsrechte liegen vor und welche Daten müssen gegenüber dem BSI bereitgestellt werden?
Welche Unterlagen müssen jetzt belastbar vorliegen?
Entscheidungsmemo, Ansprechpartner, Unternehmensdaten, Zuständigkeitsbild, Eskalationswege und ein nachvollziehbarer Nachweis, wie die Lage intern bewertet wurde.
Wichtig: Eine offene oder stockende Registrierung ist selten nur ein Portalthema. Meist zeigt sie, dass Scope, Verantwortung, Vertretung oder Managementfreigabe vorher nicht tragfähig geklärt wurden. Genau dort setzt die anwaltliche Einordnung an.
Belastbare Ausgangspunkte
Amtliche Quellen, an die die Einordnung andockt.
Bundesgesetzblatt
Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung.
BSI-Betroffenheitsprüfung
Erste Orientierung für Unternehmen. Praktisch hilfreich, aber kein Ersatz für eine belastbare rechtliche Einordnung in Grenz- und Strukturfällen.
BSI-Registrierung
Portal- und Verfahrenshinweise für die Registrierung. Relevant, wenn Rollen, Zugriffe und Unternehmensdaten sauber vorbereitet sind.
Wo der Schwerpunkt in ein anderes Mandat kippt
Nicht jede NIS2-Lage bleibt eine Betroffenheits- und Registrierungsfrage.
Cybersecurity
Wenn Sicherheitsorganisation, § 30-Maßnahmen, Incident Response, Lieferkette oder Krisenreaktion das Mandat tragen.
IT-Compliance
Wenn Rollenmodelle, Governance, Auditfähigkeit, Rechtskataster und übergreifende Pflichtensteuerung im Vordergrund stehen.
Datenschutzrecht
Wenn der Schwerpunkt bei personenbezogenen Daten, Behördenkommunikation oder einer parallelen DSGVO-Lage liegt. Bei akuter Verletzung führt häufig Hilfe bei Datenpanne weiter.
Zuständige Rechtsanwälte
Wer NIS2-Betroffenheit und Registrierungsfragen bei ITMR trägt.
Dr. Alexander Pleh
Partner, Fachanwalt für IT-Recht, Ansprechpartner bei IT-Recht und Cybersecurity. Naheliegend bei NIS2-, Governance- und Sicherheitsbezug.
Jean Paul P. Bohne, LL.M., MM
Partner, Fachanwalt für IT-Recht, CIPP/E, CIPM und IT-Compliance Manager. Besonders stark an der Schnittstelle von IT-Recht, Compliance und dokumentierter Managementspur.
Dominik Skornia, LL.B.
Rechtsanwalt mit Fokus auf Datenschutzrecht und IT-Recht. Relevant, wenn NIS2-Lagen mit Datenschutz, Melde- und Nachweisfragen verzahnt sind.
Häufige Fragen
Häufige Fragen zur NIS2-Betroffenheit und Registrierung.
Reicht die BSI-Betroffenheitsprüfung aus?
Für eine erste Orientierung kann sie sehr hilfreich sein. Bei Grenzfällen, Konzernstrukturen, internen IT-Dienstleistern, gemischten Tätigkeiten oder einer dokumentationsbedürftigen Managemententscheidung reicht eine reine Selbsteinschätzung oft nicht aus.
Müssen wir uns noch registrieren, wenn die Frist abgelaufen ist?
Wenn Ihr Unternehmen registrierungspflichtig ist, erledigt sich die Pflicht nicht durch Fristablauf. Das gilt besonders, wenn die Betroffenheit bereits bei Inkrafttreten bestand. Dann sollte der Nachholprozess strukturiert vorbereitet, die interne Entscheidung dokumentiert und die Registrierung nicht weiter als reine Portalarbeit behandelt werden.
Sind wir auch ohne klassischen KRITIS-Bezug betroffen?
Ja, das ist möglich. NIS2 erfasst deutlich mehr Unternehmen als das frühere KRITIS-Regime. Entscheidend sind Sektor, Dienstbezug, Unternehmensgröße und die konkrete Organisationsstruktur.
Wer muss die Entscheidung intern tragen?
Die juristische und organisatorische Verantwortung lässt sich nicht wirksam in der IT verstecken. Betroffenheit, Registrierung und das daraus folgende Pflichtenbild gehören in eine nachvollziehbare Management- und Governance-Spur.
Welche Unterlagen brauchen wir für die Registrierung?
Das hängt von Struktur und Einrichtungstyp ab. In der Praxis müssen Unternehmensdaten, Ansprechpartner, Vertretungs- und Zugriffsfragen sowie die interne Zuständigkeitslogik vorbereitet sein. Genau daran stocken viele Prozesse.
Wann ist eher Cybersecurity oder IT-Compliance der richtige Einstieg?
Wenn Betroffenheit im Kern geklärt ist und nun Sicherheitsmaßnahmen, Auditfähigkeit, Lieferkettensteuerung oder Incident Response aufgebaut werden müssen, tragen meist Cybersecurity oder IT-Compliance das Mandat stärker als die reine NIS2-Einordnung.
Nächster sinnvoller Schritt
NIS2-Status, Registrierung oder Nachholbedarf jetzt sauber einordnen.
Wenn im Unternehmen noch offen ist, ob eine Gesellschaft erfasst ist, wer registrieren muss oder wie die Geschäftsleitung die Lage belastbar dokumentiert, sollte die Einordnung nicht weiter vertagt werden. Ein klares Scope-Memo spart häufig mehr Zeit und Reibung als jede interne Runde ohne klare Verantwortungsbasis.
NIS2-Betroffenheitsprüfung & BSI-Registrierung