Sie sind eine wichtige oder gar eine besonders wichtige Einrichtung im Sinne der NIS-2-Richtlinie? Dann haben Sie aktuellen Handlungsbedarf: wie der TÜV SÜD meldet, müssen sich betroffene Unternehmen bis spätestens 06. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik registrieren.
Nach jahrelanger Verzögerung ist am 06. Dezember 2025 das Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung in Kraft getreten. Mit Inkrafttreten wurde der Anwendungsbereich des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) deutlich erweitert und erfasst künftig auch die Domain Name Industry. Um einen Beitrag zur Sicherheit, Stabilität und Resilienz des Domain Name Systems zu leisten, haben Registries und Registry-Dienstleister genaue und vollständige Domain-Registrierungsdaten in einer eigenen Datenbank mit der gebotenen Sorgfalt zu sammeln und zu pflegen. Doch das Gesetz reicht weit darüber hinaus und macht für etliche Unternehmen rasches Handeln zur Pflicht. So macht die TÜV SÜD AG darauf aufmerksam, dass Unternehmen, die als sogenannte wichtige und besonders wichtige Einrichtungen in den Geltungsbereich des Gesetzes fallen, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren lassen müssen. In zahlreichen Sektoren wie Energie, Gesundheit, Transport, digitale Infrastruktur oder öffentliche Verwaltung fallen Unternehmen ab 50 Mitarbeitenden oder mit mehr als EUR 10 Mio. Umsatz unter die NIS-2. Richard Skalt, Advocacy Manager Cybersecurity Office bei TÜV SÜD, meint:
Allein in Deutschland sind rund 29.000 Organisationen von den neuen NIS-2-Pflichten betroffen. Viele Unternehmen unterschätzen die Bedeutung formaler Pflichten wie Registrierung, laufende Aktualisierung von Unternehmensdaten und fristgerechte Meldungen von Sicherheitsvorfällen.
Seit Anfang des Jahres 2026 stellt das BSI das neue BSI‑Portal bereit. Es soll zur zentralen Plattform für die Erfüllung der NIS‑2‑Pflichten werden. Über das Portal erfolgt die Erstregistrierung, die alle meldepflichtigen Unternehmen spätestens drei Monate nach Eintritt ihrer gesetzlichen Pflicht durchführen müssen. Da das Gesetz am 06. Dezember 2025 in Kraft getreten ist, müssen nun viele Unternehmen bis zum 06. März aktiv werden. Bei der fristgerechten Registrierung sollte nach Ansicht des TÜV SÜD unbedingt berücksichtigt werden, dass Unternehmen zunächst ein ELSTER‑Organisationszertifikat erzeugen müssen; bis die Aktivierungs‑ID dafür per Post eintrifft, können fünf bis zehn Werktage vergehen. Für die Registrierung im BSI‑Portal selbst sind Unternehmensangaben wie Größe und Rechtsform sowie Informationen zur NIS‑2‑Kontaktstelle erforderlich. Zudem müssen der jeweilige Sektor und die zuständige Bundesbehörde über ein Dropdown‑Menü ausgewählt werden. Unternehmen sind verpflichtet, diese Angaben aktuell zu halten und spätestens zwei Wochen nach jeder Änderung im Portal zu aktualisieren. Auch die Meldung erheblicher Sicherheitsvorfälle erfolgt verpflichtend über das BSI‑Portal als zentrale Anlaufstelle. Ganz uneigennützig sind diese Hinweise nicht; die TÜD SÜD AG bietet mehrere Dienstleistungen rund um die NIS-2, darunter Unterstützung bei der Umsetzung eines strategischen Cybersicherheitsprogramms und Schulungen sowie Trainings für Mitarbeiter, um menschliches Versagen zu minimieren.
Auch die Domain-Branche sollte den 06. März 2026 dick im Kalender angestrichen haben. Bis dahin haben Registries und Registry-Dienstleister Vorgaben und Verfahren, einschließlich Überprüfungsverfahren, vorzuhalten, mit denen sichergestellt wird, dass die WHOIS-Datenbank genaue und vollständige Angaben enthält; die entsprechenden Vorgaben und Verfahren sind bis zum 06. März 2026 öffentlich zugänglich zu machen. Dafür können Geschäftsleitungen wohl vorerst aufatmen. Zwar verlangt § 38 BSIG, dass die Geschäftsleitungen der wichtigen und besonders wichtigen Einrichtungen verpflichtet sind, die Risikomanagementmaßnahmen des § 30 BSIG umzusetzen und die Umsetzung zu überwachen haben; es wird jedoch vertreten (Dittrich/Kipker: Die Umsetzung der NIS-2-Richtlinie in nationales Recht, NJW 2026, 193), dass es sich dabei nur um eine Leitungs- und Koordinierungsfunktion bezüglich der einzelnen Maßnahmen eines Risikomanagement-Systems zur Cybersicherheit handelt, da die Geschäftsleitung typischerweise nicht die notwendigen technischen Kenntnisse und Kapazitäten für die Umsetzung von Risikomanagementmaßnahmen hat. Gerichtliche Entscheidungen dazu gibt es bisher nicht.