Das BSI hat eine informelle Nachfrist gesetzt: Bis zum 31. Juli 2026 können sich NIS2-pflichtige Unternehmen ohne unmittelbare Bußgeldgefahr beim Bundesamt für Sicherheit in der Informationstechnik registrieren. Danach beginnt die aktive Enforcement-Phase. Problem: Noch immer fehlen rund 10.500 der betroffenen rund 29.000 Unternehmen.
NIS2-Compliance: Das BSI erwartet bis 31. Juli 2026 die vollständige Registrierung aller betroffenen Unternehmen. Foto: Stefan Coders auf Pexels
39 Prozent Compliance bei Fristablauf
Als die Registrierungsfrist am 6. März 2026 ablief, hatten sich nur rund 11.500 von geschätzten 29.000 betroffenen Unternehmen beim BSI registriert. Ein Wert, der das BSI überraschte. Bis Ende Mai stieg die Zahl auf knapp 18.500. Immer noch fehlen nach Schätzungen rund 10.500 Unternehmen.
Die Situation erinnert an den DSGVO-Start 2018: Auch damals herrschte in den ersten Monaten faktisch ein Vollzugsdefizit. Der entscheidende Unterschied: Die Datenschutzbehörden wurden ab 2019 substanziell aktiv. Compliance-Experten erwarten, dass das BSI ähnlich vorgeht.
Das Bundesamt hat die Nachfrist nicht gesetzlich verankert, sondern informell an Wirtschaftsverbände kommuniziert. Sie ist damit kein Rechtsanspruch, sondern ein Signal. Ab August gilt laut BSI-Äußerungen: kein Entgegenkommen mehr.
Wen das NIS2UmsuCG trifft
Das Gesetz betrifft Unternehmen ab 50 Mitarbeitern und mehr als 10 Millionen Euro Jahresumsatz in 18 definierten Sektoren. Die Liste ist weit gefasst: Energie, Gesundheit, Transport und Verkehr, Finanzdienstleistungen, digitale Infrastruktur und Cloud-Dienste zählen zu den besonders kritischen. Hinzu kommen verarbeitendes Gewerbe, Lebensmittelproduktion, Chemie und digitale Marktplätze.
Wichtig für Geschäftsführer: Gilt man als “besonders wichtige Einrichtung” (ab 250 Mitarbeiter, ab 50 Mio. Euro Umsatz), prüft das BSI proaktiv und regelmäßig. Als “wichtige Einrichtung” wird nur anlassbezogen geprüft. Die Pflichten selbst sind identisch, der Prüfrhythmus nicht.
Ein Punkt, der viele KMU überrascht: Unternehmen unter den Größenschwellen können trotzdem betroffen sein. Wenn ein direkter Auftraggeber oder Kunde unter NIS2 fällt, wird er seine Sicherheitsanforderungen per Vertragsklausel nach unten durchreichen. NIS2 hat damit einen Trickle-down-Effekt auf die gesamte Lieferkette.
”Die Registrierungsfrist ist bereits abgelaufen. Wer jetzt noch nicht beim BSI gemeldet ist, befindet sich im rechtlichen Verzug. Jeder weitere Monat erhöht das Risiko.”
— BSI-Kommunikation an Wirtschaftsverbände, März 2026
Was Unternehmen konkret umsetzen müssen
Neben der Registrierung verlangt das NIS2UmsuCG zehn konkrete Risikomanagementmaßnahmen. Dazu gehören eine schriftliche Risikoanalyse, ein Business-Continuity-Plan mit Backup-Strategie, Multi-Faktor-Authentifizierung auf allen kritischen Systemen, ein Incident-Response-Plan mit definierten Meldewegen sowie nachweisbare Schulungen für die Geschäftsleitung.
Besonders die Meldepflicht hat es in sich: Bei einem ernsthaften Sicherheitsvorfall muss innerhalb von 24 Stunden eine Erstmeldung beim BSI eingehen, nach 72 Stunden folgt eine detaillierte Analyse. Das setzt voraus, dass die internen Prozesse bereits jetzt stehen. Wer erst nach dem Vorfall mit dem Aufbau beginnt, verletzt die Frist automatisch.
Unternehmen mit bestehender ISO-27001-Zertifizierung haben einen Vorsprung: Viele der technischen Anforderungen sind bereits abgedeckt. Ersetzt wird die NIS2-spezifische Registrierung und Meldepflicht durch ISO 27001 allerdings nicht.
Parallel dazu lohnt ein Blick auf die KI-Compliance-Anforderungen des EU AI Act: Dort greift im August 2026 die Pflicht zum Nachweis von KI-Kompetenz bei Führungskräften. Wer jetzt Governance-Strukturen für NIS2 aufbaut, legt damit gleichzeitig die Basis für den AI Act.
Ähnlich wie beim BFSG für Barrierefreiheit gilt: Regulierung mit konkretem Stichtag und persönlicher Haftung verlangt frühe, strukturierte Reaktion. Wer wartet, bis die ersten Bußgeldbescheide aus der Nachbarbranche kommen, verliert wertvolle Vorbereitungszeit.
Haftung und Bußgelder: die persönliche Dimension
Bußgelder nach NIS2UmsuCG erreichen bis zu 10 Millionen Euro für besonders wichtige Einrichtungen, bis zu 7 Millionen Euro für wichtige Einrichtungen. Allein für die fehlende BSI-Registrierung können bis zu 500.000 Euro fällig werden.
Entscheidender als die Unternehmensebene ist die persönliche Haftung: Paragraph 38 NIS2UmsuCG macht Geschäftsführer persönlich verantwortlich für die Einführung und Überwachung der Risikomanagementmaßnahmen. Das schließt die Pflicht zur eigenen Schulung ein, dokumentiert und nachweisbar. Bei schuldhafter Pflichtverletzung haftet die Geschäftsführung gegenüber dem Unternehmen für entstandene Schäden.
Erste dokumentierte Bußgeldfälle gibt es aus Deutschland bislang nicht. Das BSI hat aber signalisiert, ab August 2026 sektorweise mit systematischen Prüfungen zu beginnen: prioritär Energie, Gesundheit, digitale Infrastruktur. Wer in diesen Bereichen tätig ist, sollte die Frist besonders ernst nehmen.
Wer KI-Tools DSGVO-konform im Unternehmen einsetzt, kennt das Muster: Die kombinierten Datenschutz- und Sicherheitsanforderungen an Unternehmen nehmen zu, Ignorieren kostet mehr als Umsetzen.
Häufige Fragen
Wie prüfe ich, ob mein Unternehmen unter NIS2 fällt?
Das BSI stellt unter bsi.bund.de einen kostenlosen Betroffenheitscheck bereit. Relevant sind drei Kriterien: Unternehmensgröße (ab 50 Mitarbeiter), Umsatz (ab 10 Millionen Euro) und Sektor (18 definierte Bereiche von Energie bis verarbeitendes Gewerbe). Wichtig: Bei Konzernstrukturen zählen verbundene Unternehmen zusammen. Unter den Schwellenwerten können Unternehmen indirekt betroffen sein, wenn Kunden oder Auftraggeber NIS2-pflichtig sind.
Was passiert, wenn die Nachfrist bis 31. Juli verstreicht?
Rechtlich befinden sich nicht registrierte Unternehmen bereits heute im Verzug, da die offizielle Frist am 6. März 2026 ablief. Ab August 2026 wechselt das BSI laut eigenen Äußerungen vollständig in die Enforcement-Phase mit aktiven Prüfungen. Allein die fehlende Registrierung kann mit bis zu 500.000 Euro bebußt werden. Darüber hinaus sind umfassendere Bußgelder für fehlende Risikomanagementmaßnahmen möglich. Die Nachfrist ist nicht gesetzlich verankert und damit kein Rechtsanspruch.
Wie lange dauert die NIS2-Registrierung beim BSI?
Die Registrierung selbst ist ein digitaler Prozess über das BSI-Melde- und Informationsportal (MIP). Voraussetzung ist ein “Mein Unternehmenskonto” via ELSTER-Organisationszertifikat, falls noch nicht vorhanden. Das Beantragen und Einrichten des Zertifikats kann einige Werktage in Anspruch nehmen. Wer noch kein ELSTER-Organisationszertifikat besitzt, sollte sofort beginnen, um den 31. Juli sicher zu erreichen.
Quellen & Referenzen
- BSI: Informationen zu NIS-2-regulierten Unternehmen, Pflichten und Registrierung. bsi.bund.de
- IT-Daily: BSI setzt informelle Nachfrist für NIS2-Registrierung bis Ende Juli 2026. it-daily.net
- NIS2Compass: Registrierungsfrist verpasst, Was jetzt zu tun ist. nis2compass.de
- DENIC: BSI-Registrierung unter NIS-2, neue Registrierungsfrist. blog.denic.de
- OpenKRITIS: Einrichtungen und Unternehmensgrößen NIS2, Bußgelder und Sanktionen. openkritis.de
- Advisori: NIS2-Durchsetzung 2026, BSI-Prüfung und Bußgelder. advisori.de
- Secjur: NIS2-Meldepflicht und betroffene Sektoren. secjur.com
