Registrierung

Registration picture

Unternehmen, die sich als eine wichtige oder besonders wichtige Einrichtung nach NIS2 identifiziert haben oder kritische Anlagen betreiben, müssen sich selbst beim BSI registrieren. Für den Austausch mit dem BSI zu Vorfällen und Meldungen der KRITIS-Anlagen müssen Betreiber eine Kontaktstelle einrichten. Alles über BSI-Portale.

  1. Registrierung beim BSI
  2. BSI-Portal
  3. Kontaktstelle
  4. KRITIS-Dachgesetz

Die Registrierung startet nach Feststellung der Betroffenheit: Über ELSTER-Zertifikate müssen in einem Portal der Bundesverwaltung Zugänge für das BSI-Portal registriert werden, in dem NIS2-Registrierungen und Meldepflichten vorgenommen werden. Für bestimmte Einrichungen der digitalen Infrastruktur und Betreiber kritischer Anlagen bestehen zusätzliche Registrierungspflichten.

Bereich NIS2  
DachG  		 KdA Anforderung
Registrierung Einrichtung §33
§34		 Registrierung BSI
Registrierung IT, Internet und Cloud
Registrierung kritische Anlagen §33 (2)
§8		 Registrierung kritische Anlagen
Registrierung KRITIS-Dachgesetz
Kontaktstelle kritische Anlagen §33 (2)
§8 (1)		 100 Kontaktstelle kritische Anlagen

up

Registrierung beim BSI

Anmeldung als Einrichtung

Einrichtungen und Betreiber müssen sich selbst identifizieren und anschließend beim BSI über das BSI-Portal registrieren. §33 (1)

Registrierungen müssen pro betroffener Legaleinheit (Einrichtung) vorgenommen werden. Es gibt, außer bei bestimmten Einrichtungen im IT- und Internetsektor, keine Registrierung von Verbundunternehmen oder Konzernen.

Einrichtungen

Besonders wichtige und wichtige Einrichtungen müssen sich als Legaleinheit nach §33 (1) innerhalb von drei Monaten beim BSI registrieren. Dabei müssen folgende Angaben gemacht werden:

  • Name inkl. Rechtsform und ggf. Handelsregisternummer
  • Anschrift und aktuelle Kontaktdaten inkl. Mail-Adresse und Telefonnummern, öffentliche IP-Adressbereiche
  • Sektor und ggf. Branche (registrierte Einrichtungsart)
  • Auflistung aller EU-Staaten mit Geschäftstätigkeiten (der registrierten Einrichtungsart)
  • zuständige Aufsichtsbehörden für die Geschäftstätigkeit (der registrierten Einrichtungsart)

Änderungen bei den Registrierungsangaben müssen unverzüglich, zwei Wochen nach Kenntnis der Änderung, mitgeteilt werden. §33 (5)

Betreiber kritischer Anlagen

Betreiber kritischer Anlagen (KRITIS) müssen sich wie Einrichtungen registrieren, und zusätzliche Informationen zu möglichen kritischen Anlagen angeben: §33 (2)

  • Erbrachte kritische Dienstleistung
  • Zum Einsatz kommende Typen von kritischen Komponenten
  • Öffentlichen IP-Adressbereiche der von ihnen betriebenen Anlagen
  • Anlagenkategorie und Versorgungskennzahlen
  • Standort der Anlagen
  • Kontaktstelle, über die der Betreiber jederzeit erreichbar ist

Änderungen der Angaben müssen unverzüglich, spätestens jedoch zwei Wochen nach Kenntnis der Änderung, mitgeteilt werden. Geänderte Versorgungskennzahlen sowie Änderungen der eingesetzten Typen von kritischen Komponenten müssen jährlich übermittelt werden. §33 (5) BSIG

IT, Internet und Cloud

Bestimmte Einrichtungen im Sektor Digitale Infrastruktur, die in der EU tätig sind und ihren Hauptsitz in Deutschland haben, müssen sich nach §34 innerhalb von drei Monaten beim BSI registrieren:

  • DNS-Dienste, Romain Registries und TLD Registries
  • Cloud Computing (Provider), Anbieter von Rechenzentren und COntent Delivery Networks
  • Managed Services und Managed Security Services Provider
  • Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke

up

BSI-Portal

Die Registrierung als NIS2-regulierte Einrichtung geschieht ab 2026 im neuen BSI-Portal, einer Cloud-basierten Informations- und Austauschplattform, die auch zur Meldung von Sicherheitsvorfällen und Kommunikation zwischen BSI und Einrichtungen dient.

Der erste Schritt nach eigener Betroffenheit ist die Registrierung im BSI-Portal (portal.bsi.bund.de) als regulierte Einrichtung mit den o.g. Informationen. Die Anmeldung für Unternehmen ist mehrstufig:

  1. Registrierung bei Mein Unternehmenskonto (MUK), einem Dienst der Bundesverwaltung zur Kommunikation mit Behörden – dabei werden ELSTER-Zertifikate genutzt
  2. Registrierung beim BSI-Portal, dabei erhalten nur durch MUK authentifizierte Organisationen Zugriff
  3. Organisationen sind für die Verwaltung ihrer ELSTER-Zertifikate und Registrierung von Personen (MUK) selbst verantwortlich. Der erste Benutzer im BSI-Portal kann dort Nutzer und Rollen verwalten.

Die Anmeldung beim BSI-Portal basiert auf einer Zertifikatsdatei, einem ELSTER-Organisationszertifikat, wofür eine deutsche Steuernummer notwendig ist. Pro ELSTER-Organisationszertifikat ist ein Benutzerkonto für das BSI-Portal zugeordnet, es sollten also alle Personen, die Vorfälle melden, ein Zertifikat besitzen.

Da die Ausstellung und Registrierung der Zertifikate und Dateien Zeit in Anspruch nimmt, inkl. E-Mail und Post, ist eine frühzeitige Klärung der Formalitäten im eigenen Unternehmen ratsam (wer hat eigentlich ein ELSTER-Zertifikat bei uns?).

up

Registrierung durch das BSI

Das BSI kann besonders wichtige und wichtige Einrichtung sowie DNS-Registries auch von sich aus registrieren. Dazu kann das BSI Unterlagen und Einzelheiten von den Unternehmen anfordern, und das Verfahren noch genauer definieren. §33 (3)(4)

Das ist der Fall, wenn Tatsachen es rechtfertigen, dass eine Registrierungs­pflicht nach seiner [d.h. BSI] Überzeugung besteht. Es besteht dabei keine umfassende Ermittlungs­pflicht, aber das BSI [ist] gehalten, dem Betreiber Gelegenheit zur Stellungnahme zu geben.

Das BSI kann auch bislang schon bei bestimmten Sachverhalten Einblick in Unterlagen von Betreibern verlangen, falls diese ihrer Registrierungspflicht nicht nachkommen (in alle für die Bewertung aus Sicht des BSI erforderlichen Aufzeichnungen, Schriftstücke und sonstigen Unterlagen).

up

Kontaktstelle

Betreiber kritischer Anlagen

Betreiber kritischer Anlagen müssen zusätzlich eine Kontaktstelle einrichten und beim BSI registrieren. Die Einrichtungen müssen über diese Kontaktstelle für das BSI jederzeit erreichbar sein. §33 (2)

Jederzeit erreichbar bedeutet in der Praxis, dass Betreiber über die registrierte Kontaktstelle rund um die Uhr (24/7) in der Lage sind, BSI-Produkte zur Warnung und Information von KRITIS-Betreibern, (BSI-Produkte: Cyber-Sicherheitswarnungen, Lageinformationen etc.) entgegenzunehmen, unverzüglich zu sichten und zu bewerten (Bearbeitung der Informationen auf Zuruf).

up

KRITIS-Dachgesetz

Registrierung beim BBK

Betreiber kritischer Anlagen (KRITIS), die neben NIS2 auch durch das KRITIS-Dachgesetz reguliert werden, müssen sich innerhalb von drei Monaten separat beim BBK registrieren. §8 (1)

Betreibern wird nach Registrierung die federführende Aufsichtsbehörde mitgeteilt und das BSI informiert. §8 (5)

Änderungen an der Anlage und Registrierung sind unverzüglich, innerhalb von zwei Wochen, an das BBK zu melden, Änderungen am Versorgungsgrad einmal jährlich. §8 (6)

Registrierung von Amts wegen

Das BBK kann Betreiber kritischer Anlagen von sich aus registrieren, falls Betreiber ihrer Pflicht nicht nachkommen, und dazu auch Aufzeichnungen oder Unterlagen einfordern. Ebenso kann das BSI und zuständige Behörden dem BBK Vorschläge zur Registrierung von Anlagen machen. §8 (2)(3)(4)

Das Innenministerium wiederum kann Betreiber von sich aus identifizieren, wenn kritische Betreiber durch die Logik der Anlagen/Schwellenwerte nicht erfasst werden, basierend auf nationalen Risikoanalysen und Kriterien wie Nutzerzahlen, Abhängigkeiten, Geographie, Marktanteil. §5 (3)(4)

Besondere Bedeutung für Europa

Bestimmte Betreiber sind kritische Einrichtungen von besonderer Bedeutung für Europa, wenn sie in mindestens sechs EU-Staaten den gleichen wesentlichen Dienst erbringen oder der Betreiber eine Meldung von der europäischen Kommission durch das BBK erhalten hat. §9

up

Weitere Informationen

Formulare und Links

Quellen

  1. Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz (BSI-Kritisverordnung - BSI-KritisV) von 2016, geändert 2025
  2. Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und die Sicherheit in der Informationstechnik von Einrichtungen, BSI-Gesetz vom 2. Dezember 2025