FAQ: Registrierung & Zuständigkeiten – Der Fahrplan 2026
Registrierung & Zuständigkeiten
Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes und des KRITIS-Dachgesetzes wurde das Anmeldeverfahren für kritische Infrastrukturen vereinheitlicht. Die Registrierung ist keine freiwillige Option, sondern eine gesetzliche Pflicht mit strikten Fristen. In diesen FAQ erfahren Sie alles über das neue BSI-Portal, die notwendigen Unterlagen und wie die Aufgaben zwischen BSI, BBK und den Fachbehörden verteilt sind, um Redundanzen zu vermeiden.
Kontaktieren Sie uns bei weiteren Fragen gerne:
FAQ: Der Fahrplan 2026
Wo muss ich mein Unternehmen als KRITIS-Betreiber registrieren?
Die Registrierung erfolgt zentral über eine gemeinsame digitale Plattform, die vom BSI und dem BBK bereitgestellt wird. Dieses Portal dient als „Single Entry Point“ für beide Säulen der Regulierung (IT und Physisch).
Welche Fristen gelten für die Registrierung im Jahr 2026?
- Bestands-Einrichtungen: Einrichtungen, die bereits am 6. Dezember 2025 unter das neue BSIG fielen, mussten sich bis zum 6. März 2026 registrieren.
- Neue KRITIS-Anlagen: Betreiber müssen sich spätestens drei Monate nach Erreichen der Schwellenwerte melden, frühestens jedoch ab dem 17. Juli 2026 für die Belange des KRITIS-Dachgesetzes.
Welche Daten werden bei der Registrierung abgefragt?
Sie müssen unter anderem folgende Informationen übermitteln:
- Name, Rechtsform und Handelsregisternummer.
- Anschrift und aktuelle Kontaktdaten.
- Sektor, Branche und die erbrachte kritische Dienstleistung.
- Kategorie der Anlage und Werte zum Versorgungsgrad.
- Standorte, Versorgungsgebiete und öffentliche IP-Adressbereiche.
- Eine Liste der EU-Mitgliedstaaten, in denen Sie wesentliche Dienste erbringen.
Was ist die Anforderung an die „Kontaktstelle“?
Betreiber müssen eine Kontaktstelle benennen, über die sie jederzeit (24/7) erreichbar sind. Dies ist entscheidend für die schnelle Übermittlung von Warnungen oder Informationen zu Sicherheitsvorfällen.
Benötige ich ein spezielles Konto für die Registrierung?
Ja, der Zugang zum BSI-Portal erfordert ein ELSTER-Organisationszertifikat („Mein Unternehmenskonto“ – MUK), um die Identität des Unternehmens zweifelsfrei nachzuweisen.
Wer ist für meine IT-Sicherheit zuständig?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die federführende Behörde für die Überwachung der Cybersicherheitsmaßnahmen gemäß NIS-2 und BSIG.
Wer überwacht meine physische Resilienz?
Für den Schutz baulicher Anlagen und die allgemeine Widerstandsfähigkeit gegenüber Naturkatastrophen oder Sabotage ist das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zuständig.
Welche Rolle spielt das Bundesministerium des Innern (BMI)?
Das BMI fungiert als oberste Instanz und bestimmt die Kategorien von Anlagen sowie die Schwellenwerte für die Betroffenheit. Es koordiniert zudem den Informationsaustausch mit der EU-Kommission.
Gibt es sektorspezifische Aufsichtsbehörden?
Ja, für viele Sektoren gibt es spezialisierte Fachaufsichten:
- Energie & TK: Bundesnetzagentur (BNetzA).
- Finanzwesen: BaFin.
- Verkehr: EBA (Bahn), LBA (Luftfahrt), BSH (See), FBA (Straße).
- Weltraum: BAFA.
Wer ist für Wasser, Ernährung und Gesundheit zuständig?
In diesen Bereichen liegt die Aufsicht primär bei den zuständigen Behörden der Bundesländer, wobei BSI und BBK die übergeordneten Standards für IT und physische Resilienz setzen.
Was passiert, wenn ich mich nicht rechtzeitig registriere?
Das BBK kann eine Registrierung im Zweifel selbst vornehmen, wenn feststeht, dass eine Anlage kritisch ist. Zudem drohen Bußgelder von bis zu 500.000 €.
Muss ich Änderungen an meinen Daten melden?
Ja, Änderungen an den bei der Registrierung angegebenen Daten (z. B. neue IP-Bereiche oder Wechsel der Kontaktstelle) müssen dem BSI/BBK unverzüglich über das Portal mitgeteilt werden.