springe zum Hauptinhalt

NIS 2 für Hochschulen: Warum die Registrierung jetzt Pflicht ist – und was Sie konkret tun müssen

Blogbeitrag
05.03.2026

Die Digitalisierung an Hochschulen schreitet rasant voran – und mit ihr die Gefahr von Cyberangriffen. Studien und Forschungsdaten, Infrastrukturen für Campus IT oder Verwaltungssysteme sind attraktive Ziele. Die EU reagiert darauf mit der NIS 2 Richtlinie, die seit Dezember 2025 über das neue BSI Gesetz (BSIG) in Deutschland gilt. Für Hochschulen bedeutet das: Sie gelten nun als „wichtige Einrichtungen“ und unterliegen damit klar definierten, verpflichtenden Cybersicherheitsmaßnahmen.

Urte Lickfett ist Partnerin und Wirtschaftsprüferin sowie Steuerberaterin bei PKF Fasselt

von
Urte Lickfett

Partnerin

Ein besonders dringlicher Punkt: die verpflichtende Registrierung beim BSI.

Warum Hochschulen nun NIS‑2-pflichtig sind

Mit NIS‑2 will die EU ein einheitliches Schutzniveau für kritische und wichtige Einrichtungen schaffen. Hochschulen und Forschungseinrichtungen sind erstmals explizit als „wichtige Einrichtungen“ eingestuft, weil sie eine zentrale Rolle für gesellschaftliche Versorgung, Wissenstransfer und Innovation übernehmen. Gleichzeitig zeigt die Realität, wie gefährdet sie sind – von Ransomware‑Angriffen über Datendiebstahl bis hin zu Spionagevorfällen. Die nationale Umsetzung der Richtlinie erfolgte durch das NIS2UmsuCG, das am 6. Dezember 2025 in Kraft trat. Seitdem gilt das erweiterte BSIG unmittelbar. 

Welche Registrierungspflicht gilt für Hochschulen?

Alle „besonders wichtigen“ und „wichtigen Einrichtungen“ müssen sich innerhalb von drei Monaten, nachdem sie unter den Anwendungsbereich fallen, verpflichtend beim BSI registrieren. Da Hochschulen automatisch als „wichtige Einrichtungen“ gelten, beginnt diese Frist mit Inkrafttreten des Gesetzes

Für alle bereits betroffenen Einrichtungen endet die Registrierungsfrist am 6. März 2026.

Der zweistufige Registrierungsprozess

Laut BSI läuft der Prozess in zwei Schritten ab:

1. Schritt: ELSTER‑Organisationszertifikat & „Mein Unternehmenskonto“ (MUK)

Bevor Einrichtungen sich im BSI‑Portal registrieren können, benötigen sie ein ELSTER‑Organisationszertifikat. Dieses dient als digitaler Identitätsnachweis und wird über Mein Unternehmenskonto (MUK) erzeugt. 

2. Schritt: Registrierung im BSI‑Portal

Nach erfolgreicher ELSTER‑Anmeldung werden dort u. a. folgende Daten hinterlegt:

  • Hochschulname und Anschrift
  • Angaben zur NIS‑2‑Kontaktstelle und Kontaktperson
  • Sektor und Art der Einrichtung
  • Angaben zur Unternehmensgröße
  • Öffentliche IP‑Adressbereiche [bsi.bund.de]

Änderungen müssen spätestens innerhalb von zwei Wochen im BSI‑Portal aktualisiert werden. 

Doch die Registrierung ist nur ein erster formaler Schritt, der Kern der anstehenden Arbeiten wird die Entwicklung und Umsetzung der erforderlichen Maßnahmen zur Erfüllung der inhaltlichen Anforderungen des NIS-2 sein. 

zurück