BSI-Registrierung: Schritt-für-Schritt-Anleitung
Alle NIS2-Einrichtungen müssen sich beim BSI registrieren (§33 BSIG). Die Registrierung erfolgt über das Mein-Unternehmenskonto-Portal mit ELSTER-Authentifizierung. Diese Anleitung führt Sie durch jeden Schritt.
Die BSI-Registrierung ist eine Selbstidentifikationspflicht. Das BSI informiert Sie nicht, ob Sie betroffen sind – Sie müssen das selbst feststellen und sich aktiv registrieren. Die Frist war der 17. März 2025. Wer die Registrierung noch nicht abgeschlossen hat, sollte sie umgehend nachholen, denn allein die Nichtregistrierung ist ein eigenständiger Bußgeldtatbestand (bis 500.000 EUR).
Die Registrierung selbst dauert etwa 30 bis 45 Minuten, wenn Sie alle Unterlagen vorbereitet haben. Der häufigste Grund für Verzögerungen: Das ELSTER-Unternehmenskonto ist nicht vorhanden oder abgelaufen. Bereiten Sie sich vor, bevor Sie das Portal öffnen.
Mein Unternehmenskonto (MUK)
Die Registrierung läuft über muk.bsi.bund.de. Falls Ihr Unternehmen dort noch kein Konto hat, legen Sie eines an. Das MUK ist die zentrale Plattform für Behördenkommunikation und wird auch für andere Meldepflichten genutzt.
ELSTER-Unternehmenszertifikat
Die Authentifizierung am MUK-Portal erfolgt über ein ELSTER-Organisationszertifikat. Falls Sie nur ein persönliches ELSTER-Zertifikat haben, reicht das nicht. Das Organisationszertifikat wird über das ELSTER-Portal beantragt und per Brief zugestellt – rechnen Sie mit 1 bis 2 Wochen Vorlauf.
Unternehmensdaten
Sie benötigen: vollständiger Firmenname und Rechtsform, Handelsregisternummer, Anschrift des Hauptsitzes, Sektor und Teilsektor gemäß NIS2-Anhang, Einrichtungstyp (besonders wichtig oder wichtig), Mitarbeiterzahl und Umsatz/Bilanzsumme des letzten Geschäftsjahres.
Kontaktdaten für Sicherheitsvorfälle
Das BSI verlangt eine Kontaktstelle, die für die Entgegennahme von Vorfallmeldungen und BSI-Kommunikation zuständig ist. Benennen Sie mindestens eine Person mit Name, E-Mail-Adresse und Telefonnummer. Diese Person muss auch außerhalb der Geschäftszeiten erreichbar sein.
Am MUK-Portal anmelden
Öffnen Sie muk.bsi.bund.de und melden Sie sich mit Ihrem ELSTER-Organisationszertifikat an. Beim ersten Login müssen Sie die Nutzungsbedingungen akzeptieren und eine E-Mail-Adresse für Benachrichtigungen hinterlegen.
NIS2-Registrierung starten
Wählen Sie im Portal den Bereich „NIS2-Registrierung“. Das Portal führt Sie durch einen strukturierten Fragebogen. Halten Sie Ihre vorbereiteten Unternehmensdaten griffbereit.
Sektor und Einrichtungstyp angeben
Wählen Sie Ihren Sektor und Teilsektor aus der vorgegebenen Liste. Das Portal prüft anhand Ihrer Angaben zu Mitarbeiterzahl und Finanzkennzahlen, ob Sie als besonders wichtige (bwE) oder wichtige Einrichtung (wE) eingestuft werden. Prüfen Sie die Einstufung sorgfältig – sie bestimmt Ihre Pflichten und den Bußgeldrahmen.
Kontaktstelle eintragen
Geben Sie die Kontaktdaten Ihrer Ansprechperson für Sicherheitsvorfälle ein. Diese Person wird das BSI bei Vorfällen und Prüfungen direkt kontaktieren. Wählen Sie jemanden, der technisch kompetent ist und kurzfristig reagieren kann.
IP-Bereiche und Domains angeben
Listen Sie die öffentlichen IP-Adressbereiche und Domainnamen auf, unter denen Sie Ihre Dienste erbringen. Das BSI nutzt diese Angaben für die Zuordnung und gegebenenfalls für Sicherheitswarnungen. Fragen Sie Ihre IT-Abteilung oder Ihren Provider, falls Sie diese Informationen nicht griffbereit haben.
Angaben prüfen und absenden
Überprüfen Sie alle Angaben in der Zusammenfassung. Nach dem Absenden erhalten Sie eine Bestätigung. Drucken oder speichern Sie diese – sie dient als Nachweis Ihrer Registrierung. Änderungen der Registrierungsdaten müssen Sie dem BSI unverzüglich mitteilen.
- ELSTER-Organisationszertifikat fehlt oder ist abgelaufen – Neubeantragung dauert 1 bis 2 Wochen. Rechtzeitig prüfen.
- Persönliches statt Organisations-ELSTER-Zertifikat verwendet – das MUK-Portal akzeptiert nur Organisationszertifikate.
- Sektor falsch gewählt – Unternehmen mit mehreren Geschäftsfeldern müssen prüfen, ob mehrere Sektoren zutreffen. Im Zweifel alle relevanten Sektoren angeben.
- Verbundene Unternehmen nicht berücksichtigt – die EU-KMU-Definition summiert Mitarbeiter und Finanzkennzahlen aller verbundenen Unternehmen. Eine Tochtergesellschaft mit 30 Mitarbeitern kann betroffen sein, wenn der Konzern insgesamt über 50 Mitarbeiter hat.
- Kontaktperson nicht erreichbar – das BSI erwartet eine erreichbare Kontaktstelle. Benennen Sie einen Vertreter für Urlaub und Krankheit.
- Registrierung als „erledigt“ abgehakt – die Registrierung ist der erste Schritt, nicht der letzte. Danach müssen die §30-BSIG-Maßnahmen umgesetzt werden.
Häufig gestellte Fragen
Wir haben die Registrierungsfrist verpasst – was jetzt?
Holen Sie die Registrierung sofort nach. Eine verspätete Registrierung ist besser als keine Registrierung. Das BSI berücksichtigt bei der Bußgeldbemessung, ob ein Unternehmen kooperiert und Versäumnisse eigenständig korrigiert. Dokumentieren Sie den Zeitpunkt der Nachregistrierung als Nachweis Ihrer Compliance-Bemühungen.
Wer im Unternehmen sollte die Registrierung durchführen?
Idealerweise die Person, die auch als Kontaktstelle für Sicherheitsvorfälle benannt wird – typischerweise der IT-Leiter, CISO oder Compliance-Beauftragte. Die Geschäftsführung muss zwar nicht selbst klicken, sollte aber die Registrierung formal freigegeben haben und über die Inhalte informiert sein.
Wir haben kein ELSTER-Organisationszertifikat. Wie lange dauert die Beantragung?
Die Beantragung erfolgt über elster.de unter „Unternehmenszertifikat beantragen“. Die Bearbeitung dauert in der Regel 5 bis 10 Werktage, da der Aktivierungscode per Post zugestellt wird. Beginnen Sie diesen Schritt als Erstes – er ist der häufigste Engpass bei der BSI-Registrierung.
Können wir uns registrieren, auch wenn wir noch nicht sicher sind, ob wir betroffen sind?
Ja, im Zweifel registrieren. Es gibt kein Bußgeld für eine „unnötige“ Registrierung, aber ein erhebliches Bußgeld für eine unterlassene Registrierung. Wenn sich später herausstellt, dass Sie nicht betroffen sind, können Sie die Registrierung wieder zurücknehmen.
Welche IP-Adressen und Domains muss ich angeben?
Alle öffentlich erreichbaren IP-Adressbereiche und Domainnamen, unter denen Sie Ihre wesentlichen oder wichtigen Dienste erbringen. Dazu gehören typischerweise die IP-Bereiche Ihres Rechenzentrums oder Cloud-Hostings, Ihre Unternehmenswebsite und alle Kundenportale. Interne IP-Bereiche (10.x, 192.168.x) müssen nicht angegeben werden.