JETZT BESTELLEN
Startseite » NIS2-Umsetzungsgesetz tritt in Kraft – neue Pflichten für Unternehmen

NIS2-Umsetzungsgesetz tritt in Kraft – neue Pflichten für Unternehmen

Mit der Verkündung des Gesetzes zur Umsetzung der NIS-2-Richtlinie sowie zur Neuordnung des Informationssicherheitsmanagements in der Bundesverwaltung ist das modernisierte deutsche Cybersicherheitsrecht am 6. Dezember offiziell in Kraft getreten. Damit beginnt eine neue Phase der Regulierung, die die Anforderungen an Unternehmen deutlich erhöht.

Ab Anfang 2026 sind rund 30.000 Unternehmen in Deutschland verpflichtet, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Zudem müssen sie erhebliche IT-Sicherheitsvorfälle melden sowie angemessene Maßnahmen zum Risikomanagement einführen, umsetzen und nachvollziehbar dokumentieren.

Zweistufiges Registrierungsverfahren beim BSI

Für die Registrierung sieht das BSI ein zweistufiges Verfahren vor:

Im ersten Schritt ist die Einrichtung eines Zugangs über „Mein Unternehmenskonto“ (MUK) erforderlich. Dabei handelt es sich um ein zentrales Nutzerkonto für Unternehmen im Sinne des Onlinezugangsgesetzes (OZG). Technisch basiert MUK auf der bewährten ELSTER-Infrastruktur und nutzt ELSTER-Organisationszertifikate, die viele Unternehmen bereits aus steuerlichen Verfahren kennen.

Das BSI empfiehlt ausdrücklich, dieses Unternehmenskonto bis spätestens Ende 2025 anzulegen. Nur so ist gewährleistet, dass Unternehmen rechtzeitig den zweiten Schritt vollziehen können.

BSI-Portal ab Januar 2026 verfügbar

Ab dem 6. Januar 2026 wird das neu entwickelte BSI-Portal freigeschaltet. Über dieses Portal erfolgt anschließend die eigentliche NIS-2-Registrierung. Gleichzeitig dient es künftig als zentrale Plattform für die Meldung erheblicher Sicherheitsvorfälle sowie für weitere Pflichten im Rahmen des NIS2-Rechtsrahmens.

 Mein Unternehmenskonto (MUK) – Erster Schritt der NIS-2-Registrierung beim BSI (nicht nis2-conform.eu!)

  • Das BSI sieht für „besonders wichtige Einrichtungen“, „wichtige Einrichtungen“ und weitere regulierte Unternehmen einen zweistufigen Registrierungsprozess vor:
    • Im ersten Schritt muss eine Registrierung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erfolgen
    • Im zweiten Schritt folgt die Registrierung im neu entwickelten BSI-Portal, das ab Anfang Januar 2026 zur Verfügung stehen wird
  • Die Registrierungspflicht richtet sich an Einrichtungen/Organisationen, die nach dem novellierten BSI-Gesetz (nationale Umsetzung der europäischen NIS-2-Richtlinie) oder dem Luftsicherheitsgesetz zur Registrierung verpflichtet sind.
  • Für die Authentifizierung im BSI-Portal wird Mein Unternehmenskonto genutzt.

Was ist „Mein Unternehmenskonto“ (MUK)?

  • MUK dient zur Identifizierung, Authentifizierung und Kommunikation bei der Nutzung digitaler Verwaltungsleistungen.
  • Dieser zentrale Authentifizierungs- und Identifizierungsdienst basiert auf der bewährten ELSTER-Technologie.
  • Mit MUK erhalten nur authentifizierte Einrichtungen/Organisationen Zugriff auf das BSI-Portal.

Sichere Anmeldung mit MUK

  • Die Authentifizierung mit der Zertifikatsdatei ist beim jeden Einloggen im BSI-Portal erforderlich, zum Beispiel zur Registrierung oder Meldung eines IT-Sicherheitsvorfalls.
  • Beim Einloggen werden sie auf eine Login-Maske von ELSTER geleitet, um dort die Anmeldung mit der Zertifikatsdatei und dem Passwort vorzunehmen.
  • Nach erfolgreicher Anmeldung erfolgt eine Rückleitung zum BSI-Portal und die Unternehmensdaten des eingeloggten Nutzers werden automatisch in Formulare übernommen.

Beantragung von ELSTER-Organisationszertifikaten

  • Voraussetzung für die Beantragung von ELSTER-Organisationszertifikaten ist das Vorhandensein einer deutschen Steuernummer, unabhängig davon, auf welcher Grundlage (z.B. Einkommensteuer, Umsatzsteuer) diese beruht.
  • Ein Sitz in Deutschland ist nicht notwendig. Das bedeutet, dass auch Unternehmen aus dem Ausland die Möglichkeit haben, ein ELSTER-Organisationszertifikat zu beantragen, wenn sie eine deutsche Steuernummer besitzen.
  • Die zur elektronischen Authentifizierung erforderliche Zertifikatsdatei wird im Rahmen der Registrierung kostenlos erstellt. Die Aktivierungsdaten werden Ihnen per E-Mail und per Post zugestellt.
  • Jedem ELSTER-Organisationszertifikat ist genau ein Benutzerkonto zugeordnet. Es wird daher ein ELSTER-Organisationszertifikat pro Person empfohlen, die Zugriff auf das BSI-Portal haben soll.
  • Je Einrichtung/Organisation können bis zu 5.000 ELSTER-Organisationszertifikate (Zertifikatsdateien) beantragt werden.

Mein Unternehmenskonto erstellen

  • Beantragen Sie ein ELSTER-Organisationszertifikat unter mein-unternehmenskonto.de/registrierung, Sie erhalten die grundlegenden Aktivierungsdaten per E-Mail.
  • Zusätzlich wird ein Aktivierungsbrief per Post an das Unternehmen geschickt. Die Zustellung dauert regelmäßig mindestens fünf Werktage.
  • Wenn die E-Mail mit den Aktivierungsdaten und der Aktivierungsbrief vorliegen, kann (gemäß den Anweisungen aus der E-Mail und befristet) der Download der Zertifikatsdatei erfolgen.

Zugriffsrechte für ELSTER-Organisationszertifikate

  • Jedem ELSTER-Organisationszertifikat ist genau ein Benutzerkonto zugeordnet. Mit einem ELSTER-Organisationszertifikat loggt sich ein Nutzer in sein Benutzerkonto ein.
  • Die jeweilige Einrichtung/Organisation ist für die Verwaltung ihrer ELSTER-Organisationszertifikate selbst verantwortlich. Es wird ein ELSTER-Organisationszertifikat pro Mitarbeitendem empfohlen.
  • Der erste Benutzer, der seine Einrichtung/Organisation im BSI-Portal registriert, erhält automatisch die Rolle eines Verwalters und kann anschließend andere Benutzer einladen und Rollen zuweisen.
  • Alle Nutzer einer Einrichtung/Organisation können einen IT-Sicherheitsvorfall melden, sofern sie ein ELSTER-Organisationszertifikat besitzen und dieser Einrichtung/Organisation im BSI-Portal zugeordnet sind.

Verwaltung von ELSTER-Organisationszertifikaten durch eine „Zentrale Stelle“

  • Die ELSTER-Organisationszertifikate sind grundsätzlich nicht personengebunden.
  • Es wird empfohlen, dass die Beantragung und das Verteilen auf die einzelnen Mitarbeitenden von einer „Zentralen Stelle“ in dem Unternehmen übernommen werden.
  • Eine eingerichtete „Zentrale Stelle“ kann damit beauftragt werden, ELSTER-Organisationszertifikate für einzelne Mitarbeitende zu verwalten (beantragen, erneuern, dokumentieren, löschen).

Wichtig dabei:

  • Jedes ELSTER-Organisationszertifikat ist immer an die Steuernummer des Unternehmens gebunden.
  • Die E-Mail mit dem Benutzernamen sowie der Aktivierungs-ID wird an die im Beantragungsprozess angegebene E­­‑Mail‑Adresse geschickt.
  • Der Aktivierungs-Code wird per Post an die in der Steuernummer gespeicherte Adresse des Unternehmens gesendet. Eine zentrale Poststelle kann ihn NICHT direkt empfangen.
  • Die Briefe mit dem Aktivierungs-Code müssen anschließend der zentralen Stelle zur Verfügung gestellt werden.

Berechtigungen verschiedender ELSTER-Zertifikate

Es können keine Anträge eingesehen werden, die von einer anderen Stelle mit anderen ELSTER-Zertifikaten abgegeben wurden, wie z.B. steuerliche Sachverhalte. Mitarbeiterinnen und Mitarbeiter mit einem ELSTER-Organisationszertifikat haben keinen Zugriff auf andere Benutzerkonten sowie abgegebene Anträge, erhaltene Bescheide und Mitteilungen der Finanzverwaltung.

Bei einem ELSTER-Organisationszertifikat handelt es sich nicht um ein persönliches ELSTER-Zertifikat, welches z.B.für private Steuererklärungen verwendet wird.