Mit der NIS-2-Richtlinie beschloss die Europäische Union im Dezember 2022 ein Gesetz zur Gewährleistung eines hohen Cybersicherheitsniveaus in Europa. Der Kreis der betroffenen Sektoren wurde hierbei gegenüber der NIS-Richtlinie erweitert und in „wesentliche Einrichtungen“ und „wichtige Einrichtungen“ unterschieden. Auf die Kategorien entfallen verschiedene Vorgaben und Sanktionen. DNS-Diensteanbieter fallen hierbei unter die „wesentlichen Einrichtungen“, womit unabhängig von der Unternehmensgröße strenge Vorgaben an das Risikomanagement und die Meldepflichten gestellt werden.
Seit dem 6. Dezember 2025 ist die NIS-2-Richtlinie auch in nationales Recht umgesetzt – mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung. Dieses sieht vor, dass sich betroffene Einrichtungen in einem zweistufigen Prozess registrieren. In einem ersten Schritt muss eine Registrierung beim digitalen Dienst „Mein Unternehmenskonto“ des BSI vorgenommen werden. Für den sicheren Austausch von Cybersicherheitsinformationen zwischen den relevanten Organisationen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zudem ein Portal eingerichtet, das unter anderem als Meldestelle für schwerwiegende Sicherheitsvorfälle dient. Hier erfolgt in einem zweiten Schritt eine Registrierung. Die Registrierungsfrist lief hierzu am 6. März – drei Monate nach Inkrafttreten des Umsetzungsgesetzes – aus.
Bislang haben sich beim BSI deutlich weniger Unternehmen registriert als erwartet, sodass das BSI eine neue Frist bis Ende Juli setzt. Bis dahin nicht registrierten Unternehmen kann ein erhebliches Bußgeld verhängt werden. Herrscht noch Unsicherheit, ob ein Unternehmen von der neuen Gesetzgebung betroffen ist, kann eine vom BSI bereitgestellte unverbindliche Betroffenheitsprüfung {https://betroffenheitspruefung-nis-2.bsi.de/} durchgeführt werden. DENIC weist darauf hin, dass nach ihrer vorsichtigen Einschätzung Anbieter von DNS-Diensten für Dritte von einer Registrierungspflicht beim BSI nach NIS2 erfasst sein könnten. Diese Einschätzung stellt keine Rechtsberatung dar; die Bewertung der individuellen Betroffenheit und etwaiger Pflichten liegt in der Verantwortung des jeweiligen Unternehmens. Daher sollten sie jetzt prüfen, ob sie in den Anwendungsbereich der NIS2-Regelungen fallen und ob die vorgesehenen Registrierungs- und Organisationsschritte bereits umgesetzt wurden.
