BSI einfach erklärt

Auf einen Blick

Vollständiger Name: Bundesamt für Sicherheit in der Informationstechnik
Sitz: Bonn
Rolle bei NIS2: Zuständige Aufsichts- und Meldebehörde in Deutschland
Wichtigstes Werkzeug: BSI-Portal für Registrierung und Meldungen
Stand: Juni 2026
Redaktion: Compliance Compass

Was ist das BSI?

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist die nationale Cybersicherheitsbehörde Deutschlands mit Sitz in Bonn. Als Bundesoberbehörde im Geschäftsbereich des Bundesministeriums des Innern gestaltet es die Informationssicherheit für Staat, Wirtschaft und Gesellschaft. Für Unternehmen ist das BSI vor allem als zentrale Aufsichts-, Melde- und Registrierungsstelle relevant – es bündelt damit Rollen, die im EU-Recht als zuständige Behörde, CSIRT und teils Single Point of Contact beschrieben werden.

Welche Aufgaben hat das BSI?

Analyse von Cyberbedrohungen und Warnung vor Sicherheitslücken
Entwicklung von Standards wie dem IT-Grundschutz
Betrieb eines nationalen CSIRT zur Unterstützung bei Sicherheitsvorfällen
Aufsicht, Registrierung und Entgegennahme von Meldungen im Rahmen von Gesetzen wie NIS2

Das BSI und NIS2

Bei NIS2 trägt das BSI gleich mehrere Hüte. Für die Umsetzung von NIS2 in Deutschland – in Kraft seit dem 6. Dezember 2025 – ist es die zuständige Behörde, die zugleich registriert, beaufsichtigt, Meldungen entgegennimmt und im Fall festgestellter Verstöße sanktioniert, weshalb betroffene Unternehmen praktisch jede ihrer formalen NIS2-Pflichten gegenüber genau dieser einen Stelle erfüllen. Betroffene Unternehmen müssen sich über das BSI-Portal registrieren (die Registrierung; die Erstfrist lief am 6. März 2026 ab, eine Nachregistrierung bleibt möglich) und dort erhebliche Sicherheitsvorfälle im Rahmen der Meldepflicht einreichen. Die gestaffelte Meldekette verlangt eine Frühwarnung binnen 24 Stunden, eine Vorfallsmeldung binnen 72 Stunden und einen Abschlussbericht binnen eines Monats. Bei Verstößen drohen Bußgelder: bei wesentlichen Einrichtungen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Mio. Euro oder 1,4 %.

Das BSI und NIS2: Aufgaben + Registrierungsschritte

Aufsicht führen. Das BSI prüft, ob betroffene Einrichtungen die NIS2-Pflichten – etwa Risikomanagement und Meldewesen – tatsächlich erfüllen, und kann dazu Nachweise anfordern oder Anordnungen treffen.
Meldungen entgegennehmen. Erhebliche Sicherheitsvorfälle laufen beim BSI als nationaler Melde- und CSIRT-Stelle zusammen – über die Meldekette 24 Stunden / 72 Stunden / 1 Monat.
Registrierung im BSI-Portal nachholen. Die Erstfrist endete am 6. März 2026. Wer sie versäumt hat, legt jetzt ein Konto im BSI-Portal an und trägt seine Stammdaten nach – die Pflicht entfällt nicht.

IT-Grundschutz

Der vom BSI entwickelte IT-Grundschutz ist eine bewährte Methodik, um Informationssicherheit strukturiert aufzubauen. Er lässt sich gut mit einem ISMS nach ISO 27001 kombinieren und liefert konkrete Bausteine, mit denen sich die nach NIS2 geforderten Risikomanagement-Maßnahmen umsetzen lassen.

So sieht der Kontakt mit dem BSI aus

Beispiel: Ein mittelständischer Energieversorger stellt fest, dass er als wesentliche Einrichtung unter NIS2 fällt. Er legt zunächst ein Konto im BSI-Portal an und registriert seine Stammdaten. Wird Monate später ein Ransomware-Angriff erkannt, der den Netzbetrieb stört, meldet das Unternehmen über dasselbe Portal binnen 24 Stunden die Frühwarnung, reicht binnen 72 Stunden die ausführliche Vorfallsmeldung nach und schließt innerhalb eines Monats mit dem Abschlussbericht ab – während das nationale CSIRT des BSI parallel Hinweise zur Eindämmung geben kann. Das BSI ist also beides. Es kontrolliert, und es hilft.

Was müssen Sie konkret tun?

Prüfen, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung unter NIS2 fällt.
Konto im BSI-Portal anlegen und die Registrierung nachholen, falls die Frist vom 6. März 2026 verstrichen ist.
Eine interne Meldekette definieren, die 24-Stunden-Frühwarnung, 72-Stunden-Meldung und Monats-Abschluss zuverlässig auslösen kann.
Verantwortliche und Stellvertreter für die Kommunikation mit dem BSI benennen.
Risikomanagement-Maßnahmen nachweisbar dokumentieren – etwa mithilfe von IT-Grundschutz oder einem ISMS.

Weiterführende Quelle: BSI – Bundesamt für Sicherheit in der Informationstechnik

Häufige Fragen

Was ist das BSI einfach erklärt?

Das BSI ist das Bundesamt für Sicherheit in der Informationstechnik, die zentrale deutsche Cybersicherheitsbehörde mit Sitz in Bonn. Als Bundesoberbehörde im Geschäftsbereich des Bundesministeriums des Innern gestaltet es die Informationssicherheit für Staat, Wirtschaft und Gesellschaft. Zu seinen Aufgaben zählen die Analyse von Cyberbedrohungen, die Warnung vor Sicherheitslücken, die Entwicklung von Standards wie dem IT-Grundschutz sowie der Betrieb eines nationalen CSIRT.

Welche Rolle spielt das BSI bei NIS2?

Das BSI ist die zuständige Aufsichts- und Meldebehörde für NIS2 in Deutschland, das seit dem 6. Dezember 2025 in Kraft ist. Betroffene Unternehmen registrieren sich über das BSI-Portal und melden dort erhebliche Sicherheitsvorfälle über die Meldekette 24 Stunden, 72 Stunden und ein Monat. Das BSI beaufsichtigt die Pflichten und sanktioniert Verstöße mit Bußgeldern bis zu 10 Mio. Euro oder 2 Prozent des Jahresumsatzes.

Was ist das BSI-Portal?

Das BSI-Portal ist die zentrale Online-Plattform des Bundesamts für Sicherheit in der Informationstechnik, über die sich NIS2-pflichtige Unternehmen registrieren, ihre Stammdaten pflegen und erhebliche Sicherheitsvorfälle melden. Der Zugang erfolgt in der Regel über Mein Unternehmenskonto mit ELSTER-Zertifikat. Die Erst-Registrierungsfrist lief am 6. März 2026 ab; eine Nachregistrierung über das Portal bleibt jedoch weiterhin möglich.