Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetz am 6. Dezember 2025 ist die unionsrechtliche Vorgabe der NIS-2-Richtlinie in nationales Recht überführt worden. Damit begann die 3-monatige Frist zur Registrierung betroffener Einrichtungen. Seit Anfang Januar 2026 ist es möglich, die Registrierung über das Portal des Bundesamt für Sicherheit in der Informationstechnik (BSI) vorzunehmen.
Auf den ersten Blick mag der Anwendungsbereich der NIS-2-RL noch eindeutig und klar umrissen erscheinen. Unsere Beratungspraxis der letzten Monate zeigt jedoch, dass die rechtliche Einordnung sich häufig komplexer darstellt, als zunächst vermutet.
Verkürzung der Registrierungsfrist?
Die gesetzlich vorgesehene Dreimonatsfrist – die bereits seit Anfang Dezember 2025 läuft – knüpft an das Inkrafttreten des Gesetzes an. Praktisch existiert ein zweistufiger Registrierungsprozess, der zunächst eine Anmeldung beim Dienst „Mein Unternehmenskonto“ (auf Basis von ELSTER) erfordert und erst dann die Registrierung im BSI-Portal möglich macht.
Damit reduziert sich der jetzt verbleibende zeitliche Spielraum für Unternehmen deutlich, denn für die vollständige Registrierung bei „Mein Unternehmenskonto“ werden Teile der Aktivierungsdaten per Post an die bei der Steuerverwaltung hinterlegte Unternehmensadresse verschickt. Die Zustellung dauert laut aktuellen Informationen in der Regel ca. 5 Werktage.
Zumindest die Registrierung bei „Mein Unternehmenskonto“ sollte daher zeitnah erfolgen. Faktisch verkürzt sich ansonsten die Dreimonatsfrist, in der Unternehmen die Anwendbarkeit der NIS-2-RL bzw. des nationalen Umsetzungsgesetzes überprüfen können.
Zentrale Frage: Fällt die betroffene Einrichtung überhaupt unter die NIS-2-RL?
Unsere Beratungspraxis zeigt, dass die Frage der Anwendbarkeit der NIS-2-RL bzw. des nationalen Umsetzungsgesetzes komplex ist und häufig ein hohes Maß an Abstimmung im (potentiell) betroffenen Unternehmen bzw. Konzern erfordert.
Beispielsweise stellen sich folgende Fragen:
- Wie sind die relevanten Schwellwerte zu berechnen? Was gilt bei den Mitarbeiterzahlen? Wann und wie erfolgt eine Zurechnung innerhalb eines Konzerns?
- Welche Bedeutung hat es, wenn nur ein kleiner Teil der Geschäftstätigkeit einem regulierten Sektor zuzuordnen ist?
- Wie sind IT-Dienstleistungen einzuordnen, die zentral innerhalb der Konzernstruktur erbracht werden?
- Welche Auswirkungen haben Mutter- oder Tochtergesellschaften im EU-Ausland oder in Drittstaaten?
- Wie sollte die Frage zu „öffentlichen IP-Adressbereichen“ bei der Registrierung beantwortet werden?
Diese Fragen sind in der Regel nicht schematisch zu beantworten. Sie erfordern eine sorgfältige rechtliche Analyse der tatsächlichen Unternehmensstruktur und der gesetzlichen Tatbestandsmerkmale. Die Komplexität steigt mit diversifizierten Geschäftsmodellen und internationalen Verflechtungen.
Fazit: Zeitnaher Handlungsbedarf
Unternehmen sollten zeitnah reagieren und die mögliche Fristverkürzung durch den Registrierungsprozess berücksichtigen. Dazu kann auch vor Abschluss der rechtlichen Prüfung die Registrierung bei „Mein Unternehmenskonto“ erfolgen, um im Anschluss schneller reagieren zu können, sofern eine Anwendbarkeit der NIS-2-RL bejaht wird.
Die Einordnung, ob und inwieweit die NIS-2-RL für Einrichtungen relevant ist, erfordert eine belastbare rechtliche Prüfung und häufig mehrere Abstimmungen mit Fachabteilungen und anderen Unternehmens- bzw. Konzernbereichen. Gerne unterstützen wir Sie dabei.
