NIS2-Registrierung beim BSI: Schritt-für-Schritt-Anleitung

BSI-Registrierung: Warum jetzt noch registrieren?

Der 06.03.2026 war der offizielle Stichtag zur Registrierung betroffener Einrichtungen beim BSI. Wer die Frist verpasst hat, läuft in erhebliche Bußgeldrisiken: Nach § 65 Abs. 2 Nr. 6 BSIG i.V.m. § 33 sind bis zu 500.000 EUR möglich, bei wiederholtem oder strukturellem Verstoß greift der Höchstbetrag nach § 65 Abs. 5 BSIG (bis zu 10 Mio. EUR bzw. 2 % Konzernumsatz). Trotzdem gilt: Wer sich jetzt registriert, zeigt dem BSI kooperatives Verhalten und kann eine mildere Behandlung erwirken. Die Registrierung nachzuholen ist daher keine Option, sondern eine dringende Pflicht. Dieser Artikel erklärt den vollständigen Prozess, von der ELSTER-Beantragung bis zur Einrichtungsnummer.

Wer muss sich registrieren?

Registrierungspflichtig nach § 33 Abs. 1 BSIG sind alle besonders wichtigen und wichtigen Einrichtungen, die unter den Anwendungsbereich des NIS2UmsuCG fallen. Das umfasst Einrichtungen in den 18 Sektoren der Anhänge I und II der NIS-2-Richtlinie, sofern sie die jeweiligen Schwellenwerte bei Mitarbeiterzahl oder Jahresumsatz erreichen. Besonders wichtige Einrichtungen sind in der Regel Betreiber kritischer Infrastrukturen sowie große Unternehmen in Sektoren wie Energie, Verkehr, Wasser, Banken oder Gesundheit. Wichtige Einrichtungen sind mittlere und große Unternehmen in weiteren regulierten Sektoren.

Wenn du dir nicht sicher bist, ob dein Unternehmen betroffen ist, nutze zunächst unseren NIS2-Betroffenheitsprüfer. Der Rechner führt dich branchenspezifisch durch die relevanten Schwellenwerte und liefert eine Ampel-Einordnung als wichtige oder besonders wichtige Einrichtung.

Voraussetzungen vor der Registrierung

Bevor du das BSI-Portal öffnest, solltest du vier Dinge vorbereiten. Das spart Zeit und verhindert Abbrüche mitten im Formular.

• 1.ELSTER-Organisationszertifikat: Das ist der digitale Ausweis deiner Organisation für alle Bundesbehörden-Portale. Beantragung dauert bis zu 5 Werktage (Aktivierungs-PIN kommt per Post). Starte diesen Schritt als erstes, denn er bestimmt deinen frühestmöglichen Starttermin.
• 2.Mein Unternehmenskonto (MUK): Das zentrale Verwaltungsportal des Bundes unter service.mein-unternehmenskonto.de. Für die Einrichtung brauchst du das ELSTER-Zertifikat.
• 3.IT-Grunddaten: IP-Adressbereiche in CIDR-Notation (z. B. 192.0.2.0/24), alle von dir betriebenen oder genutzten DNS-Domains, sowie die Sektorzuordnung nach Anhang I oder II NIS-2.
• 4.24/7-Kontaktstelle: Name, Mobilnummer und dienstliche E-Mail-Adresse einer operativen IT-Security-Person, die rund um die Uhr erreichbar ist. Das BSI versendet Warnmeldungen auch nachts und am Wochenende.

Schritt 1: ELSTER-Organisationszertifikat beantragen

Das ELSTER-Organisationszertifikat ist der Schlüssel zu allen Bundesbehörden-Portalen. Ohne es ist weder MUK noch BSI-Portal nutzbar. Die Beantragung läuft vollständig online, aber der letzte Schritt (Aktivierungs-PIN) erfolgt per Briefpost und dauert 3 bis 5 Werktage. Plane diesen Puffer unbedingt ein.

1. Gehe zu elster.de und wähle "Konto erstellen".
2. Wähle den Kontotyp "Organisation" (nicht "Privatperson").
3. Gib Steuernummer und Postadresse deines Unternehmens ein. Die Steuernummer muss exakt mit der beim Finanzamt registrierten Firmierung übereinstimmen.
4. Bestätige die E-Mail-Adresse und warte auf den Aktivierungsbrief.
5. Aktiviere das Zertifikat mit der PIN und lade es als .pfx-Datei herunter. Bewahre diese Datei sicher auf (z. B. in einem Passwortmanager).

Häufige Fehler: Falscher Kontotyp gewählt (Privatperson statt Organisation), Steuernummer stimmt nicht mit amtlicher Firmierung überein, oder die .pfx-Datei wurde nicht sicher gespeichert und ist nach Rechnerwechsel verloren. Leg das Zertifikat daher sofort in einen sicheren, zugriffsgeschützten Speicher.

Schritt 2: Mein Unternehmenskonto (MUK) anlegen

Das Mein Unternehmenskonto (MUK) ist das zentrale Verwaltungsportal der Bundesregierung. Es verknüpft das ELSTER-Zertifikat mit deiner Unternehmensidentität und erlaubt den Single-Sign-On-Zugriff auf alle angebundenen Bundesbehörden-Portale, einschließlich des BSI-Portals. Ohne MUK ist eine BSI-Registrierung nicht möglich.

1. Gehe zu service.mein-unternehmenskonto.de.
2. Melde dich mit deinem ELSTER-Organisationszertifikat an.
3. Vervollständige die Unternehmensangaben (Rechtsform, Handelsregister, Firmenanschrift).
4. Bestätige die Verknüpfung. Das MUK ist danach sofort nutzbar.

Das MUK ist nicht nur für die BSI-Registrierung relevant. Es wird langfristig der zentrale Zugang für alle digitalen Verwaltungsleistungen auf Bundesebene. Richte es sorgfältig ein und benenne intern eine verantwortliche Person für den Zugang.

Schritt 3: Im BSI-Portal registrieren

Das BSI-Portal unter portal.bsi.bund.de ist der eigentliche Registrierungsort. Plane für das Ausfüllen des Formulars 30 bis 45 Minuten ein, wenn alle Informationen vorliegen.

1. Rufe portal.bsi.bund.de auf und melde dich über das MUK-Login an.
2. Wähle den Bereich "Einrichtung anmelden" im Dashboard.
3. Gib die vollständigen Firmendaten ein: Unternehmensname, Rechtsform, Handelsregisternummer, Anschrift, Kontaktperson.
4. Wähle den zutreffenden Sektor nach Anhang I oder II der NIS-2-Richtlinie sowie die Einrichtungskategorie (wichtig oder wesentlich).
5. Trage alle IP-Adressbereiche in CIDR-Notation ein, die deine Einrichtung nutzt oder betreibt (z. B. 192.0.2.0/24). Fehlende IP-Bereiche können später nachgetragen werden, sollten aber von Beginn an vollständig sein.
6. Gib alle von dir betriebenen oder verwalteten DNS-Domains an.
7. Hinterlege die 24/7-Kontaktstelle mit Name, Handynummer und dienstlicher E-Mail.
8. Sende das Formular ab. Das BSI bestätigt die Registrierung in der Regel innerhalb weniger Werktage per E-Mail.

Wichtiger Ausfüllhinweis für IP-Bereiche: Verwende ausschließlich CIDR-Notation (z. B. 10.0.0.0/8 oder 203.0.113.0/24). Eine einzelne IP-Adresse wird als /32 notiert. IPv6-Bereiche können ebenfalls eingetragen werden. Trenne mehrere Einträge durch Zeilenumbrüche, nicht durch Kommas.

Schritt 4: Kontaktstelle und Meldewege einrichten

§ 33 Abs. 3 BSIG verlangt die Benennung einer 24/7-erreichbaren Kontaktstelle. Das BSI sendet darüber nicht nur Registrierungsbestätigung, sondern auch aktive Sicherheitswarnungen bei Angriffen auf deinen IP-Bereich oder deine Domains. Die Kontaktstelle muss operativ sein und auf Warnmeldungen reagieren können.

Wichtig: Die Kontaktstelle darf nicht ausschließlich der Geschäftsführer sein. § 33 Abs. 3 BSIG meint eine operative IT-Security-Rolle, die technisch handlungsfähig ist. Ein Geschäftsführer ohne IT-Hintergrund kann eine Sicherheitswarnung nicht sinnvoll beurteilen oder darauf reagieren. Benenne stattdessen einen IT-Sicherheitsbeauftragten, IT-Leiter oder einen externen Managed-CISO-Partner.

Das BSI-Portal bietet ein Meldeformular für Sicherheitsvorfälle nach § 32 BSIG. Die Meldekette läuft in drei Stufen: Frühwarnung innerhalb von 24 Stunden nach Entdeckung eines erheblichen Vorfalls, Meldung innerhalb von 72 Stunden mit ersten Bewertungen, und Abschlussbericht innerhalb von 30 Tagen. Richte das Meldeformular testweise aus, bevor ein Ernstfall eintritt, um sicherzustellen, dass alle Beteiligten den Prozess kennen.

Nach der Registrierung: Die ersten 30 Tage

Mit der Bestätigung des BSI erhältst du eine Einrichtungsnummer, die dein Unternehmen im BSI-System eindeutig identifiziert. Diese Nummer braucht du bei allen zukünftigen Meldungen und Behördenkontakten.

• •Interne Dokumentation: Lege die Einrichtungsnummer, das Registrierungsdatum und die hinterlegte Kontaktstelle in deinem Compliance-System ab. Das ist der erste Nachweis für deine NIS2-Compliance-Akte.
• •Kommunikation an Geschäftsleitung: Nach § 38 BSIG muss die Geschäftsleitung nachweislich über NIS2-Pflichten informiert werden und an Schulungen teilnehmen. Nutze die erfolgreiche Registrierung als Anlass für eine erste Management-Briefing-Session.
• •Ersten Risikomanagement-Zyklus dokumentieren: Nach § 30 BSIG bist du verpflichtet, geeignete Risikomanagementmaßnahmen zu ergreifen. Dokumentiere den Startpunkt deines ersten Risikobewertungs-Zyklus unmittelbar nach der Registrierung. Auch ein erster informeller Risiko-Workshop zählt als Nachweis.
• •Meldeprozess testen: Simuliere intern eine hypothetische Sicherheitsmeldung, um sicherzustellen, dass alle Verantwortlichen die 24h/72h/30d-Kette kennen. Dokumentiere den Test.

Häufige Fehler bei der BSI-Registrierung vermeiden

Diese fünf Fehler begegnen uns bei der Unterstützung von Unternehmen bei der Registrierung am häufigsten:

1. 1.ELSTER zu spät beantragt: Der Postversand des Aktivierungsbriefs dauert 3 bis 5 Werktage. Wer das unterschätzt, verliert eine ganze Woche. Beantrage ELSTER als allererstes, noch bevor du weitere Unterlagen zusammenträgst.
2. 2.Falsche Sektorzuordnung: Eine fehlerhafte Einordnung in Anhang I statt Anhang II oder umgekehrt kann dazu führen, dass du in eine falsche Einrichtungskategorie fällst und damit andere (höhere oder niedrigere) Pflichten hast. Prüfe die Sektordefinitionen des BSI und ziehe im Zweifelsfall rechtliche Beratung hinzu.
3. 3.IP-Bereiche falsch notiert: Das Formular erwartet CIDR-Notation. Einzel-IPs ohne /32, IP-Ranges mit Bindestrichen oder fehlende Subnetzmasken führen zu Validierungsfehlern. Bereite die Liste vorab in einem Texteditor auf.
4. 4.Kontaktstelle = Geschäftsführer (operativ untauglich): Das BSI erwartet eine Person, die bei einer Sicherheitswarnung um 3 Uhr nachts technisch handeln kann. Der Geschäftsführer ist dafür meist nicht geeignet. Benenne eine IT-Security-Rolle.
5. 5.24/7-Erreichbarkeit nicht tatsächlich eingerichtet: Eine Festnetznummer oder eine Büro-E-Mail ohne Notfallweiterleitung erfüllt die Anforderung nicht. Stelle sicher, dass Warnmeldungen tatsächlich rund um die Uhr eine handlungsfähige Person erreichen.

Bußgeldrahmen bei fehlender Registrierung

Eine fehlende oder fehlerhafte Registrierung ist nach § 65 Abs. 1 Nr. 1 BSIG mit einem Bußgeld von bis zu 100.000 EUR bedroht. Reagiert das Unternehmen auf eine BSI-Anordnung zur Nachbesserung nicht, kann das BSI Zwangsgelder oder Anordnungsbußgelder verhängen. In der Eskalationsstufe greift § 65 Abs. 2 BSIG mit bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes. Hinzu kommt die persönliche Geschäftsführerhaftung, die im BSIG ausdrücklich verankert ist. Alle Details zu Sanktionen und Haftungsrahmen findest du auf unserer Seite zu NIS2-Strafen und Sanktionen.