wecon.it-consulting

Heute möchte ich mal über das BSI-Portal zur Registrierung von NIS-2-relevanten Einrichtungen berichten und nein, es geht nicht darum, dass das BSI hier eine AWS-gehostete Infrastruktur nutzt, das wurde ja bspw. hier und hier schon ausführlich diskutiert. Und auch die Frage, ob eine Bezeichnung "One-Stop-Shop für Cybersicherheit" angemessen ist, soll hier nicht weiter erörtert werden *Zwinkersmiley*

Vielmehr möchte ich auf – sagen wir – Optimierungspotential im Portal bzw. beim Prozess der Registrierung hinweisen, denn ich hatte aus Gründen das große Glück, den Prozess durchspielen zu dürfen *Zwinkersmiley*

Zuerst einmal noch ein dickes Lob für das BSI, dass es den Prozess im Rahmen von nis2know grundsätzlich gut beschreibt und auch mit Screenshots illustriert – auch wenn ich mir an der ein oder anderen Stelle noch ein paar zusätzliche Hinweise wünschen würde.

Jetzt aber zu meinen eigentlichen Kritikpunkten bzw. Verbesserungsvorschlägen:

1.  Es gibt während der Registrierung keine Möglichkeit, die Daten zwischen zu speichern. In Verbindung mit einem Timeout, der aufgrund von Untätigkeit irgendwann zuschlägt, ist das mehr als suboptimal. Zu oft kommt es doch vor, dass man zwischenzeitlich abgelenkt wird oder gar eine andere wichtige, "nicht aufschiebbare" Aufgabe erledigen muss.
   Dazu kommt: Der (noch verfügbare Zeitraum bis zum) Timeout wird auf der Webseite nicht transparent dargestellt, man weiß also gerade nicht, ob man nun noch zehn Minuten oder nur noch eine Minute hat, um seine Eingaben abzuschließen. Und das wird insbesondere dann ärgerlich, wenn man aus welchen Gründen auch immer umfangreichere Texte – bspw. im Rahmen der Meldung eines erheblichen Sicherheitsvorfalls – auf dem Portal erzeugt, die dann im Zweifel verloren sind.
2. Einige der Drop-Down-Menus funktionieren zudem nicht (richtig), zumindest nicht mit allen aktuellen Browsern; dadurch wird bspw. die Auswahl der "Aufsichtsbehörde" unnötig erschwert.
   Apropos: Warum ist die Angabe einer Aufsichtsbehörde überhaupt ein Pflichtfeld? Wenn man der Auffassung ist, dass das BSI hier immer zu nennen ist, kann man das auch einfach per Default einstellen oder anhand der Angabe zur Branche ableiten. Hilfreich wäre es sicherlich, aus der angegebenen Branche abgeleitet Aufsichtsbehörden vorzuschlagen. Und warum bspw. das "ABC-Abwehrkommando der Bundeswehr", die "Abschlussprüferaufsichtsstelle" oder der "Adalbert-Stifter-Verein e.V." als Aufsichtsbehörde gelistet werden, erschließt sich mir nicht, da scheint die Liste offensichtlich ohne entsprechende Bereinigung von "irgendwo" importiert worden zu sein.
   Update vom 4. Februar 2026: Es gibt in der Liste tatsächlich auch einen Eintrag "keine der genannten Bundesbehörden ist für die Einrichtungsart zuständig", den kann man natürlich auch auswählen *Zwinkersmiley*
3. Nach einer abgeschlossenen Registrierung kann man die Registrierungsdaten ändern, das ist ja erstmal gut. Allerdings trägt die dann erscheinende Schaltfläche "Registrierung abschließen" nicht zur Klarheit bei. Das ist eher maximal missverständlich, denn es geht ja nur um Änderungen und gerade nicht um eine neue Registrierung.
   Ein Unternehmen kann zudem mehrere Einrichtungen registrieren, das kommt sicher relativ häufig vor. Werden aber weitere Einrichtungen hinzugefügt, bietet das Portal keine Möglichkeit, dedizierte Ansprechpartner für die einzelnen Einrichtungen zu benennen. Das behindert meines Erachtens einen sinnvollen Informationsfluss in der jeweiligen Organisation.
4. Nach Abschluss der Registrierung hat man zumindest in meinem Fall keine Bestätigungs-E-Mail erhalten. Dass man die gesammelten, bei der Registrierung angegebenen Daten nicht nochmals per E-Mail verschickt, scheint aufgrund der hier notwendigen Vertraulichkeit der Daten verständlich. Dass aber nicht zumindest eine Bestätigungs-E-Mail im Sinne von "Sie haben die Registrierung erfolgreich abgeschlossen." bekommt, erschließt sich mir nicht. Zumal auch weitere Ansprechpartner, die man angeben kann, nicht per E-Mail auf ihre Rolle hingewiesen werden (hier wirft das Portal zumindest den Hinweis, dass man bestätigt, die Betroffenen auf die Angabe ihrer Daten hingewiesen zu haben). Mit Blick auf die DSGVO erscheint mir das durchaus fragwürdig.
5. Und noch eine Kleinigkeit: Man kann über das Registrierungsportal auch Mitgliedschaft in der Allianz für Cybersicherheit (ACS) beantragen – dabei werden die Daten aber nicht mit einer ggf. bereits bestehenden Mitgliedschaft in der ACS gemappt, was ggf. zu unnötigem Aufwand und auch zu "Missverständnissen" führen kann bzw. wird.

Vielleicht liest ja hier jemand vom BSI mit und nimmt meine obigen Punkte zum Anlass, das Portal entsprechend zu überarbeiten. Das wäre aus meiner Sicht wirklich sehr wünschenswert. Und weil wir gerade bei Wünschen sind: Auch ein Testzugang für "Interessierte" wäre mehr als hilfreich und sollte technisch einfach umsetzbar sein. Und wenn man diesen frühzeitig zur Verfügung gestellt hätte, hätten sich die obigen Probleme wahrscheinlich von vornherein vermeiden lassen.

Hätte, hätte, Fahrradkette *Zwinkersmiley*