Welche ersten Schritte muss ich nach NIS-2 sofort umsetzen?
Januar 2026
Schritt 1: Betroffenheit prüfen und dokumentieren
Gesetzliche Grundlage: § 28 BSIG definiert, wer als besonders wichtige oder wichtige Einrichtung gilt.
Was Sie tun müssen: Prüfen Sie systematisch, ob Ihr Unternehmen die Kriterien nach § 28 BSIG erfüllt: Gehören Sie zu einem der Sektoren in Anlage 1 oder 2 zum BSIG? Erfüllen Sie die Größenkriterien (Mitarbeiter, Umsatz, Bilanzsumme)?
Praktische Umsetzung:
Nutzen Sie das BSI-Tool zur Betroffenheitsprüfung auf der offiziellen BSI-Website
Dokumentieren Sie das Ergebnis Ihrer Prüfung schriftlich, auch wenn Sie nicht betroffen sind, um die Durchführung der Prüfung dem BSI im Zweifel nachweisen zu können
Holen Sie bei Unsicherheiten externe rechtliche Beratung ein
Zeitrahmen: Sofort, vor allen anderen Schritten.
Schritt 2: Mein Unternehmenskonto (MUK) einrichten
Gesetzliche Grundlage: § 33 BSIG regelt die Registrierungspflicht.
Was Sie tun müssen: Das BSI empfiehlt, das MUK-Konto bis spätestens Ende 2025 anzulegen. Wer es noch nicht hat, sollte nun also zeitnah handeln. Das MUK-Konto ist die Voraussetzung für die spätere Registrierung im BSI-Portal.
Praktische Umsetzung:
Besuchen Sie https://mein-unternehmenskonto.de
Halten Sie Ihre Steuernummer oder USt-ID bereit
Die Authentifizierung erfolgt über ein ELSTER-Zertifikat oder eine BundID
Weisen Sie Ihre Vertretungsberechtigung nach (z.B. durch Handelsregisterauszug)
Zeitrahmen: Sofort nach Feststellung der Betroffenheit.
Schritt 3: Beim BSI registrieren
Gesetzliche Grundlage: § 33 Abs. 1 BSIG verpflichtet besonders wichtige und wichtige Einrichtungen, sich spätestens drei Monate nach erstmaliger Einstufung beim BSI zu registrieren.
Was Sie tun müssen:
Das BSI-Portal wurde am 6. Januar 2026 freigeschaltet
Melden Sie sich mit Ihrem MUK-Konto an
Übermitteln Sie die Pflichtangaben: Name, Rechtsform, Registernummer, Anschrift, Kontaktdaten, Geschäftsleitung, Sektor nach Anlage 1 oder 2, Mitarbeiterzahl, Jahresumsatz und Bilanzsumme
Für Betreiber kritischer Anlagen zusätzlich: Die kritische Dienstleistung, die zum Einsatz kommenden Typen von kritischen Komponenten, die öffentlichen IP-Adressbereiche der betriebenen Anlagen sowie die ermittelte Anlagenkategorie und Versorgungskennzahlen, der Standort der Anlagen und eine Kontaktstelle.
Zeitrahmen: Spätestens bis 6. März 2026 (für Unternehmen, die am 6. Dezember 2025 bereits betroffen waren).
Schritt 4: Kontaktstelle einrichten und erreichbar halten
Gesetzliche Grundlage: § 33 Abs. 2 Satz 2 BSIG verpflichtet Betreiber kritischer Anlagen sicherzustellen, dass sie über ihre Kontaktstelle jederzeit erreichbar sind.
Was Sie tun müssen:
Benennen Sie eine dedizierte Kontaktperson oder ein Team für BSI-Anfragen
Stellen Sie 24/7-Erreichbarkeit sicher (mindestens per E-Mail mit Bereitschaftsregelung)
Dokumentieren Sie die Kontaktstelle intern und schulen Sie die benannten Personen
Zeitrahmen: Sofort nach der Registrierung.
Schritt 5: Risikomanagement aufbauen
Gesetzliche Grundlage: § 30 Abs. 1 BSIG verpflichtet zu geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.
Mindestmaßnahmen: Die Maßnahmen müssen zumindest umfassen:
Konzepte zur Risikoanalyse und IT-Sicherheit,
Bewältigung von Sicherheitsvorfällen,
Aufrechterhaltung des Betriebs wie Backup-Management und Wiederherstellung nach einem Notfall sowie Krisenmanagement,
Sicherheit der Lieferkette,
Sicherheitsmaßnahmen bei Erwerb,
Entwicklung und Wartung von IT-Systemen,
Konzepte zur Bewertung der Wirksamkeit, grundlegende Schulungen und Sensibilisierungsmaßnahmen,
Konzepte für kryptographische Verfahren,
Konzepte für Sicherheit des Personals und Zugriffskontrolle, und
Verwendung von Multi-Faktor-Authentifizierung.
Praktische Umsetzung:
Führen Sie eine erste Risikoanalyse für Ihre kritischen IT-Systeme durch
Implementieren Sie Multi-Faktor-Authentifizierung für privilegierte Zugriffe
Erstellen Sie einen Notfallplan für Sicherheitsvorfälle
Prüfen Sie Ihre Backup-Strategie und testen Sie die Wiederherstellung
Dokumentationspflicht: Die Einhaltung der Verpflichtung sollte dokumentiert werden.
Zeitrahmen: Beginnen Sie sofort. Der Aufbau eines vollständigen Risikomanagement-Systems dauert mehrere Monate.
Schritt 6: Meldeprozesse etablieren nach § 32 BSIG
Gesetzliche Grundlage: § 32 BSIG regelt die Meldepflichten bei Sicherheitsvorfällen.
Die drei Meldefristen nach § 32 Abs. 1 BSIG:
Unverzüglich, spätestens innerhalb von 24 Stunden: frühe Erstmeldung.
Unverzüglich, spätestens innerhalb von 72 Stunden: detaillierte Meldung mit Bewertung des Schweregrads.
Spätestens einen Monat nach der 72-Stunden-Meldung: Abschlussmeldung mit ausführlicher Beschreibung und Abhilfemaßnahmen.
Praktische Umsetzung:
Definieren Sie interne Prozesse zur Erkennung erheblicher Sicherheitsvorfälle
Legen Sie Verantwortlichkeiten fest: Wer meldet wann an wen?
Bereiten Sie Meldevorlagen vor (orientiert an BSI-Vorgaben)
Schulen Sie Ihr IT-Team auf die Meldefristen
Zeitrahmen: Sofort. Die Meldepflicht gilt ab Inkrafttreten des Gesetzes. Es gibt möglicherweise einige Erleichterungen, solange die Meldewege noch nicht vollständig etabliert sind, Meldungen sollten aber dennoch gemacht werden.
Schritt 7: Geschäftsleitung einbinden
Gesetzliche Grundlage: § 38 Abs. 1 BSIG verpflichtet Geschäftsleitungen, die Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen.
Was Sie tun müssen:
Informieren Sie die Geschäftsleitung schriftlich über ihre persönliche Verantwortung
Die Geschäftsleitung muss regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse zur Erkennung und Bewertung von Risiken zu erlangen (§ 38 Abs. 3 BSIG)
Dokumentieren Sie die Billigung der Maßnahmen durch die Geschäftsleitung (Vorstandsbeschluss)
Etablieren Sie Berichtsprozesse: Die Geschäftsleitung muss regelmäßig über den Stand der IT-Sicherheit informiert werden
Zeitrahmen: Sofort. Die Geschäftsleitungsverantwortung ist nicht delegierbar.
Schritt 8: Lieferanten und Dienstleister prüfen
Gesetzliche Grundlage: § 30 Abs. 2 Nr. 4 BSIG verlangt Sicherheit der Lieferkette.
Was Sie tun müssen:
Identifizieren Sie kritische IT-Dienstleister (Cloud-Anbieter, Managed Services, Softwarelieferanten)
Prüfen Sie bestehende Verträge auf IT-Sicherheitsanforderungen
Verlangen Sie von kritischen Dienstleistern Nachweise über deren Sicherheitsmaßnahmen
Beginnen Sie mit der Überarbeitung von Lieferantenverträgen
Zeitrahmen: Beginnen Sie innerhalb der ersten drei Monate.
Fazit: Schnell starten, systematisch bleiben
Die ersten Schritte nach NIS-2 sind klar definiert: Betroffenheit prüfen, MUK-Konto einrichten, beim BSI registrieren, Geschäftsleitung einbinden, Meldeprozesse aufbauen und ISMS starten. Die Fristen sind eng, aber machbar.
Erfolgreiche Unternehmen behandeln NIS-2 nicht als IT-Projekt, sondern als Geschäftsleitungsaufgabe. Sie starten mit den regulatorischen Pflichten (Registrierung, Kontaktstelle) und bauen parallel die technischen und organisatorischen Strukturen auf (ISMS, Meldeprozesse, Schulungen).
Handeln Sie jetzt: Nutzen Sie die BSI-Tools zur Betroffenheitsprüfung, registrieren Sie sich rechtzeitig und beginnen Sie systematisch mit dem ISMS-Aufbau. MAINLY unterstützt Sie bei der Betroffenheitsprüfung, der Registrierung, dem Aufbau Ihres ISMS und der rechtssicheren Umsetzung aller NIS-2-Pflichten.
