NIS2 betroffen? Wir klären Status, Registrierungspflicht und den Handlungsspielraum der Geschäftsleitung.
Wenn Einkauf, Security, Compliance oder Geschäftsführung keine belastbare Antwort auf drei Fragen haben, entsteht aus NIS2 schnell ein echtes Managementproblem: Fallen wir unter das BSIG, mussten wir uns beim BSI registrieren und was muss jetzt intern dokumentiert und entschieden werden?
ITMR prüft Betroffenheit, Einrichtungstyp, Konzern- und Lieferkettenbezug sowie die Registrierungslogik im BSI-Portal. Das Ergebnis ist kein loses Memo, sondern eine tragfähige Entscheidungsgrundlage für Management, Compliance, Security und die nächsten Umsetzungsschritte.
So einfach funktioniert es
1. Lage, Gesellschaften, Dienste, Sektor und Unternehmensgröße sauber aufnehmen.
2. Betroffenheit, Einrichtungstyp, Registrierungspflicht und Pflichtenbild rechtlich bewerten.
3. Management-Memo, Registrierung und belastbare nächste Schritte festziehen.
NIS2-Umsetzungsfall kurz schildern
Für Unternehmen, die ihre NIS2-Lage belastbar entscheiden und dokumentieren müssen.
Sinnvoll, wenn Betroffenheit, Registrierung, Konzernrolle oder Fristversäumnis intern nicht belastbar entschieden sind.
Für die breite Einordnung von IT-Recht, digitalen Verträgen und angrenzender Regulierung ist unsere Hauptseite IT-Recht der richtige Einstieg. Im Mittelpunkt stehen hier nur die engere NIS2-Frage: Betroffenheit, Registrierungspflicht, Fristversäumnis und die belastbare Entscheidung der Geschäftsleitung. Wenn Sicherheitsorganisation, Incident Response oder Lieferkettensteuerung schon in der Umsetzung stecken, führen häufig auch Cybersecurity und IT-Compliance weiter.
Seit dem Fristablauf ist aus NIS2 kein Beobachtungsthema mehr.
NIS2-Druck endet nicht mit dem Registrierungsstichtag.
Seit dem 6. Dezember 2025 gilt das deutsche NIS2-Umsetzungsgesetz. Seit dem 6. Januar 2026 läuft die Registrierung über das BSI-Portal. Die erste Registrierungsfrist für betroffene Unternehmen lief am 6. März 2026 ab. Wer Betroffenheit bis dahin nicht belastbar entschieden oder die Registrierung nicht sauber vorbereitet hat, hat keine theoretische Rechtsfrage offen, sondern eine dokumentations- und organisationsrelevante Schwachstelle.
- Gesetz in Kraft: Organisations- und Nachweispflichten laufen nicht erst mit einem Audit an.
- BSI-Portal aktiv: Registrierung und Vorfallkommunikation sind organisatorisch vorzubereiten, nicht nur technisch.
- Frist abgelaufen: Offene Registrierungen und ungeklärte Betroffenheit gehören jetzt in einen strukturierten Beschluss- und Nachholprozess.
Typische Unternehmenslagen
Dann wird eine externe Betroffenheitsprüfung wirtschaftlich sinnvoll.
Es braucht ein belastbares Ja oder Nein.
Die Geschäftsleitung will keine Folienlage, sondern eine dokumentierte Entscheidung dazu, ob eine Gesellschaft oder ein Unternehmensverbund als wichtige oder besonders wichtige Einrichtung einzuordnen ist.
NIS2-Nachweise werden von außen verlangt.
Enterprise-Kunden, Konzernmutter, Versicherer oder Investoren fragen nach Status, Registrierung, Verantwortlichkeiten und Nachweisbarkeit, obwohl intern noch keine saubere Linie steht.
Konzernrollen, Shared Services oder Dienstketten verwischen den Scope.
Ob die operative Einheit, die Holding, der interne IT-Dienstleister oder mehrere Gesellschaften betroffen sind, lässt sich nicht an einer Branchenbezeichnung ablesen. Entscheidend ist die tatsächliche Dienst- und Organisationsstruktur.
Die Registrierung ist offen, verspätet oder intern blockiert.
Oft scheitert der Prozess nicht an der Norm, sondern an ELSTER, Rollen, Zuständigkeiten, fehlender Managementfreigabe oder daran, dass niemand die Verantwortung für die Einordnung übernehmen will.
Was im Mandat wirklich entschieden werden muss
NIS2-Betroffenheit kippt selten an einer Norm. Sie kippt an der Einordnung.
Branchenetikett reicht nicht.
Maßgeblich ist, welche Dienste oder Tätigkeiten tatsächlich erbracht werden, in welchem Sektor sie einzuordnen sind und ob Ausnahmen, Sonderrollen oder sektorale Besonderheiten greifen.
Schwellenwerte werden oft auf der falschen Ebene gelesen.
Entscheidend ist nicht nur Umsatz oder Mitarbeiterzahl, sondern auf welche Organisationseinheit, Gesellschaft oder Verbundstruktur die Prüfung bezogen werden muss.
Interne IT-Dienstleister und Verbundstrukturen brauchen eine eigene Logik.
Shared Services, zentrale Plattformen, Tochtergesellschaften und ausgelagerte Betriebsmodelle erzeugen Grenzfälle, die intern häufig zu grob oder vorschnell entschieden werden.
Ohne Management-Memo fehlt später die belastbare Spur.
Wer Betroffenheit, Registrierung oder Nichtbetroffenheit nicht nachvollziehbar dokumentiert, baut eine unnötige Reibungsstelle für Audit, Kunde, Versicherer oder Behörde auf.
Wenn der Registrierungsprozess offen geblieben ist
Frist verpasst oder Registrierung stockt? Abwarten vergrößert nur die Lücke.
Nach dem 6. März 2026 ist die richtige Reaktion nicht, die Lage intern kleinzureden. Sinnvoll ist, Betroffenheit zügig sauber zu entscheiden, den bisherigen Erkenntnisstand zu dokumentieren, die Registrierungslogik organisatorisch zu ordnen und offene Managementfragen nicht in der IT hängen zu lassen. Besonders heikel wird es, wenn Betroffenheit zwar vermutet, aber nie förmlich entschieden wurde.
Welche Gesellschaft muss handeln?
Wer ist betroffen, wer darf registrieren, welche Vertretungs- und Zugriffsrechte liegen vor und welche Daten müssen gegenüber dem BSI bereitgestellt werden?
Welche Unterlagen müssen jetzt belastbar vorliegen?
Entscheidungsmemo, Ansprechpartner, Unternehmensdaten, Zuständigkeitsbild, Eskalationswege und ein nachvollziehbarer Nachweis, wie die Lage intern bewertet wurde.
Wichtig: Eine versäumte oder stockende Registrierung ist selten nur ein Portalthema. In der Regel zeigt sie, dass Scope, Verantwortung, Vertretung oder Managementfreigabe vorher nicht tragfähig geklärt wurden. Genau dort setzt die anwaltliche Einordnung an.
Belastbare Ausgangspunkte
Amtliche Quellen, an die die Einordnung andockt.
Bundesgesetzblatt
Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung.
BSI-Betroffenheitsprüfung
Erste Orientierung für Unternehmen. Praktisch hilfreich, aber kein Ersatz für eine belastbare rechtliche Einordnung in Grenz- und Strukturfällen.
BSI-Registrierung
Portal- und Verfahrenshinweise für die Registrierung. Relevant, wenn Rollen, Zugriffe und Unternehmensdaten sauber vorbereitet sind.
Wo der Schwerpunkt in ein anderes Mandat kippt
Nicht jede NIS2-Lage bleibt eine Betroffenheits- und Registrierungsfrage.
Cybersecurity
Wenn Sicherheitsorganisation, § 30-Maßnahmen, Incident Response, Lieferkette oder Krisenreaktion das Mandat tragen.
IT-Compliance
Wenn Rollenmodelle, Governance, Auditfähigkeit, Rechtskataster und übergreifende Pflichtensteuerung im Vordergrund stehen.
Datenschutzrecht
Wenn der Schwerpunkt bei personenbezogenen Daten, Behördenkommunikation oder einer parallelen DSGVO-Lage liegt. Bei akuter Verletzung führt häufig Hilfe bei Datenpanne weiter.
Zuständige Rechtsanwälte
Wer NIS2-Betroffenheit und Registrierungsfragen bei ITMR trägt.
Dr. Alexander Pleh
Partner, Fachanwalt für IT-Recht, Ansprechpartner bei IT-Recht und Cybersecurity. Naheliegend bei NIS2-, Governance- und Sicherheitsbezug.
Jean Paul P. Bohne, LL.M., MM
Partner, Fachanwalt für IT-Recht, CIPP/E, CIPM und IT-Compliance Manager. Besonders stark an der Schnittstelle von IT-Recht, Compliance und dokumentierter Managementspur.
Dominik Skornia, LL.B.
Rechtsanwalt mit Fokus auf Datenschutzrecht und IT-Recht. Relevant, wenn NIS2-Lagen mit Datenschutz, Melde- und Nachweisfragen verzahnt sind.
Häufige Fragen
Häufige Fragen zur NIS2-Betroffenheit und Registrierung.
Reicht die BSI-Betroffenheitsprüfung aus?
Für eine erste Orientierung kann sie sehr hilfreich sein. Bei Grenzfällen, Konzernstrukturen, internen IT-Dienstleistern, gemischten Tätigkeiten oder einer dokumentationsbedürftigen Managemententscheidung reicht eine reine Selbsteinschätzung oft nicht aus.
Müssen wir uns noch registrieren, wenn die Frist abgelaufen ist?
Wenn Ihr Unternehmen registrierungspflichtig ist, erledigt sich die Pflicht nicht durch Fristablauf. Dann sollte Betroffenheit kurzfristig belastbar geklärt, der Nachholprozess strukturiert vorbereitet und die interne Entscheidung sauber dokumentiert werden.
Sind wir auch ohne klassischen KRITIS-Bezug betroffen?
Ja, häufig. NIS2 erfasst deutlich mehr Unternehmen als das frühere KRITIS-Regime. Entscheidend sind Sektor, Dienstbezug, Unternehmensgröße und die konkrete Organisationsstruktur.
Wer muss die Entscheidung intern tragen?
Die juristische und organisatorische Verantwortung lässt sich nicht wirksam in der IT verstecken. Betroffenheit, Registrierung und das daraus folgende Pflichtenbild gehören in eine nachvollziehbare Management- und Governance-Spur.
Welche Unterlagen brauchen wir für die Registrierung?
Das hängt von Struktur und Einrichtungstyp ab. In der Praxis müssen Unternehmensdaten, Ansprechpartner, Vertretungs- und Zugriffsfragen sowie die interne Zuständigkeitslogik vorbereitet sein. Genau daran stocken viele Prozesse.
Wann ist eher Cybersecurity oder IT-Compliance der richtige Einstieg?
Wenn Betroffenheit im Kern geklärt ist und nun Sicherheitsmaßnahmen, Auditfähigkeit, Lieferkettensteuerung oder Incident Response aufgebaut werden müssen, tragen meist Cybersecurity oder IT-Compliance das Mandat stärker als die reine NIS2-Einordnung.
Nächster sinnvoller Schritt
NIS2-Status, Registrierung oder Fristversäumnis jetzt sauber einordnen.
Wenn im Unternehmen noch offen ist, ob eine Gesellschaft erfasst ist, wer registrieren muss oder wie die Geschäftsleitung die Lage belastbar dokumentiert, sollte die Einordnung nicht weiter vertagt werden. Ein klares Scope-Memo spart häufig mehr Zeit und Reibung als jede interne Runde ohne klare Verantwortungsbasis.
Unsere Expertise
- Schlagkräftige agile Anwaltsboutique
- Experten im Medien-, IT-, KI-, Daten-, Urheberrecht und mehr
- Erfahrene Berater und Prozessanwälte
- Deutschlandweite Vertretung
Warum ITMR Rechtsanwälte?
- Schnelle Reaktionszeiten
- Fokus auf das Business unserer Mandanten
- Transparente Kostenstruktur
- Verpflichtet auf Mandantenerfolg