BSI-Registrierung: Schritt-für-Schritt-Anleitung

Wenn Sie unter NIS-2 fallen, müssen Sie sich beim BSI registrieren. Klingt einfach, ist es im Grunde auch – aber es gibt ein paar Stolpersteine, die Sie kennen sollten. Das Portal ist seit dem 6. Januar 2026 online, und die Uhr tickt.

Wie das Ganze funktioniert

Die Registrierung läuft in zwei Stufen. Erst brauchen Sie einen Account bei “Mein Unternehmenskonto” – das ist das zentrale Unternehmenskonto der Bundesverwaltung, wird auch für andere Behördendienste genutzt. Dann erst können Sie sich damit im BSI-Portal anmelden und die eigentliche NIS-2-Registrierung durchführen.

Bevor Sie loslegen, sollten Sie ein paar Dinge geklärt haben: Haben Sie die Betroffenheitsprüfung gemacht? Wissen Sie, ob Sie “wichtig” oder “besonders wichtig” sind? Kennen Sie die Sektoren, in denen Sie tätig sind? Und haben Sie alle Unternehmensdaten zur Hand? Wenn nicht, wird es mittendrin hakelig.

Schritt 1: Mein Unternehmenskonto einrichten

Die Website ist mein-unternehmenskonto.de. Dort klicken Sie auf “Jetzt registrieren”, wählen Ihren Unternehmenstyp, und dann geht es über ELSTER-Authentifizierung weiter. Sie brauchen ein ELSTER-Organisationszertifikat – ohne das funktioniert es nicht.

Ein paar wichtige Punkte: Die Registrierung kann einige Tage dauern. Pro Unternehmen gibt es nur ein Konto. Und: Nur vertretungsberechtigte Personen können das machen, nicht irgendein Mitarbeiter.

Das BSI empfiehlt, das frühzeitig zu erledigen. Wer erst am letzten Tag vor Fristende anfängt und dann merkt, dass die MUK-Registrierung eine Woche dauert, hat ein Problem.

Schritt 2: Im BSI-Portal registrieren

Wenn Ihr MUK-Konto aktiviert ist, können Sie das BSI-Portal aufrufen, sich mit Ihrem Unternehmenskonto anmelden und die NIS-2-Registrierung starten.

Was Sie eingeben müssen: Unternehmensdaten wie Firma, Rechtsform, Handelsregisternummer, Anschrift. Bei Konzerngesellschaften auch Angaben zur Muttergesellschaft. Dann die Einrichtungsdaten – ob Sie “wichtig” oder “besonders wichtig” sind, welche Sektoren relevant sind, was Sie konkret machen.

Außerdem brauchen Sie Kontaktdaten: Eine zentrale Kontaktstelle für das BSI mit E-Mail und Telefon, möglicherweise einen Sicherheitsbeauftragten. Und Größenangaben: Mitarbeiterzahl, Umsatz, Bilanzsumme.

Besonders wichtig ist die Benennung mindestens einer Ansprechperson. Diese Person ist der primäre Kontakt fürs BSI – sie bekommt die Warnungen und Informationen, sie ist zuständig für die Kommunikation, sie meldet Vorfälle. Das sollte jemand sein, der erreichbar ist und weiß, was zu tun ist.

Nach der Registrierung

Sie bekommen eine Bestätigung und möglicherweise eine Registrierungsnummer. Damit haben Sie Zugang zu den BSI-Diensten: Vorfallsmeldung, Warnungen, direkte Kommunikation mit der Behörde.

Aber Sie sind nicht fertig. Sie müssen Ihre Daten aktuell halten. Wenn sich Unternehmensdaten ändern, wenn die Ansprechperson wechselt, wenn Sie durch Wachstum in eine andere Kategorie rutschen – das BSI muss das wissen.

Die Fristen

Das Gesetz sieht vor, dass Sie sich innerhalb von drei Monaten nach Inkrafttreten registrieren müssen – oder innerhalb von drei Monaten, nachdem Sie die Schwellenwerte überschritten haben. Das Gesetz ist am 6. Dezember 2025 in Kraft getreten. Rechnen Sie nach.

Was passiert, wenn Sie die Frist verpassen? Das kann als Ordnungswidrigkeit geahndet werden. Und wenn bei einer Prüfung oder nach einem Vorfall herauskommt, dass Sie nicht registriert waren – das macht keinen guten Eindruck.

Die häufigsten Fragen

Muss jede Tochtergesellschaft sich einzeln registrieren? Ja, grundsätzlich schon. Jede rechtlich selbstständige Einrichtung, die die Voraussetzungen erfüllt, muss sich registrieren. Bei Konzernen können Sie aber zentrale Ansprechpersonen benennen, das erleichtert die Koordination.

Was wenn ich nicht sicher bin, ob wir betroffen sind? Dann machen Sie eine sorgfältige Betroffenheitsprüfung. Im Zweifel ist Registrieren besser als Nicht-Registrieren. Es hat keine negativen Konsequenzen, registriert zu sein, obwohl man nicht muss – aber umgekehrt schon.

Kann ich das an einen Dienstleister delegieren? Die Vorbereitung ja, die Registrierung selbst muss durch eine vertretungsberechtigte Person erfolgen. Das ist keine Bürokratieschikane, sondern macht Sinn: Am Ende trägt jemand die Verantwortung, und das sollte dokumentiert sein.

Wie lange dauert das insgesamt? Planen Sie zwei bis drei Wochen ein. Die MUK-Registrierung braucht etwa ein bis zwei Wochen, abhängig davon, wie schnell ELSTER reagiert. Die BSI-Registrierung selbst ist dann relativ schnell erledigt.

Ihre Checkliste

Vor der MUK-Registrierung: Betroffenheitsprüfung abgeschlossen? Einstufung klar? Sektoren identifiziert? ELSTER-Zertifikat vorhanden?

Für die MUK-Registrierung: Account angelegt, Daten verifiziert, Account aktiviert?

Für die BSI-Registrierung: Portal aufgerufen, Unternehmensdaten eingegeben, Einrichtungsdaten eingegeben, Ansprechperson benannt, Registrierung abgeschlossen, Bestätigung erhalten?

Danach: Prozess für Datenaktualisierung etabliert? Ansprechperson informiert und eingearbeitet? Meldewege für Vorfälle dokumentiert?

Zum Schluss

Die Registrierung beim BSI ist keine große Sache, wenn Sie vorbereitet sind. Zweistufig, ein bisschen Papierkram, aber machbar.

Das Wichtige: Fangen Sie früh an. Warten Sie nicht bis zur letzten Woche. Die MUK-Registrierung braucht Zeit, und wenn Sie da in Verzug geraten, können Sie die BSI-Frist reißen.

Und vergessen Sie nicht: Die Registrierung ist nur der Anfang. Sie haben damit einen Meilenstein erreicht, aber die eigentliche Arbeit – Sicherheitsmaßnahmen umsetzen, Meldeprozesse etablieren, die laufenden Pflichten erfüllen – die geht danach erst richtig los.