NIS2-Registrierung: BSI setzt Nachfrist bis 31. Juli 2026
Die gesetzliche Frist für die Registrierung nach dem NIS-2-Umsetzungsgesetz (NIS2UmsuCG) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ist am 6. März 2026 abgelaufen. Von den rund 29.500 betroffenen Unternehmen in Deutschland hatten sich bis zu diesem Stichtag lediglich rund 11.500 gemeldet. Als Reaktion auf diese erhebliche Lücke hat das BSI gegenüber Wirtschaftsverbänden eine Nachfrist bis zum 31. Juli 2026 kommuniziert, um Nachmeldungen zu ermöglichen.
Hintergrund: Geringe Meldequote führt zur Fristverlängerung
Seit dem Inkrafttreten des NIS2UmsuCG am 6. Dezember 2025 waren betroffene Einrichtungen nach §33 BSIG verpflichtet, sich innerhalb von drei Monaten beim BSI zu registrieren. Das dafür vorgesehene Meldeportal ist seit dem 6. Januar 2026 in Betrieb. Die geringe Registrierungsquote deutet auf erhebliche Unsicherheiten bei der Selbsteinstufung und den neuen Pflichten hin. Die nun eingeräumte Nachfrist ist als Kulanzregelung zu verstehen, ändert jedoch nichts daran, dass das ursprüngliche Versäumnis eine bußgeldbewehrte Ordnungswidrigkeit darstellt.
Wer ist von der NIS2-Registrierungspflicht betroffen?
Die Verpflichtung betrifft Unternehmen und Organisationen aus 18 Sektoren, die definierte Schwellenwerte erreichen oder überschreiten. Das Gesetz unterscheidet dabei zwei Hauptkategorien:
- Besonders wichtige Einrichtungen: Organisationen mit mindestens 250 Mitarbeitern oder einem Jahresumsatz über 50 Millionen Euro bei einer Bilanzsumme von mehr als 43 Millionen Euro.
- Wichtige Einrichtungen: Unternehmen ab 50 Mitarbeitern oder mit einem Jahresumsatz von über 10 Millionen Euro und einer Bilanzsumme von über 10 Millionen Euro.
Unabhängig von ihrer Größe sind bestimmte Akteure wie qualifizierte Vertrauensdiensteanbieter, TLD-Registries und DNS-Diensteanbieter stets als „besonders wichtig“ eingestuft. Unternehmen aus Sektoren wie Energie, Verkehr, Finanzen, Gesundheit und digitale Infrastruktur müssen ihre Betroffenheit prüfen und die Registrierung vornehmen.
Für Finanzunternehmen, die in den Anwendungsbereich der DORA-Verordnung fallen, gilt eine Besonderheit: Sie sind von den Pflichten nach §30 BSIG (Risikomanagement) ausgenommen, die Registrierungspflicht nach §33 BSIG bleibt jedoch unberührt bestehen. Darüber hinaus sollten betroffene Einrichtungen beachten, dass erhebliche Sicherheitsvorfälle parallel zur NIS2-Meldepflicht auch nach Art. 33 DSGVO innerhalb von 72 Stunden gegenüber der zuständigen Datenschutzaufsichtsbehörde zu melden sind, sofern personenbezogene Daten betroffen sind.
Rechtliche Konsequenzen und persönliche Haftung der Geschäftsführung
Die Nichteinhaltung der NIS2-Vorgaben hat erhebliche finanzielle und persönliche Konsequenzen. Gemäß §65 BSIG kann allein die verspätete Registrierung mit einem Bußgeld von bis zu 500.000 Euro geahndet werden. Bei Verstößen gegen die Risikomanagement- und Meldepflichten sind die Sanktionen noch empfindlicher:
- Besonders wichtige Einrichtungen: Bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes.
- Wichtige Einrichtungen: Bis zu 7.000.000 Euro oder 1,4 % des weltweiten Jahresumsatzes.
Zusätzlich etabliert §38 BSIG eine persönliche Haftung der Geschäftsleitung. Diese ist direkt für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen verantwortlich und kann bei Pflichtverletzungen persönlich zur Rechenschaft gezogen werden.
Handlungsempfehlungen: Was jetzt zu tun ist
1. Unverzügliche Registrierung: Betroffene Unternehmen, die die Meldung noch nicht vorgenommen haben, sollten dies umgehend über das offizielle BSI-Portal nachholen. Die Nachfrist bis zum 31. Juli 2026 bietet die Gelegenheit, die Registrierung nachzuholen und das Risiko weiterer Konsequenzen zu reduzieren.
2. Umsetzung der Sicherheitsmaßnahmen: Die Registrierung ist nur der erste Schritt. Gemäß §30 BSIG müssen Unternehmen zehn Kernmaßnahmen zum Risikomanagement implementieren. Dazu gehören Risikoanalysen, Sicherheitskonzepte und Prozesse zur Vorfallbewältigung. Besonders wichtige Einrichtungen müssen die Umsetzung dieser Maßnahmen bis Dezember 2028 nachweisen.
3. Sonderregelung bei Unsicherheit: Unternehmen mit offenen Fragen zur eigenen Betroffenheit können diese gebündelt beim BSI einreichen. Nach Erhalt einer Antwort gewährt die Behörde eine weitere Frist von sechs Wochen für die Registrierung.
Wie LocateRisk bei der NIS2-Compliance unterstützt
Die Erfüllung der NIS2-Anforderungen erfordert eine kontinuierliche und nachweisbare Prüfung der eigenen IT-Sicherheit und der Sicherheit in der Lieferkette. LocateRisk bietet hierfür die notwendige Datengrundlage.
Die Plattform erstellt eine detaillierte Analyse Ihrer externen Angriffsfläche. Anhand der Ergebnisse lassen sich mögliche Schwachstellen beheben und die Effektivität von Sicherheitsmaßnahmen nach §30 BSIG nachweisen. Ein weiterer zentraler Punkt der Regulierung ist das Management von Lieferkettenrisiken. Mit der Lösung für das Cyber Vendor Risk Management ermöglicht LocateRisk die kontinuierliche Bewertung der IT-Sicherheitslage von Drittanbietern und unterstützt Sie dabei, Ihrer Sorgfaltspflicht nachzukommen.
LocateRisk betreibt seine Infrastruktur in deutschen Rechenzentren und orientiert sich an ISO-27001-Standards. Dies unterstützt Sie dabei, den Anforderungen der DSGVO und NIS2 an die technische Datensicherheit nachzukommen und entsprechende Nachweise für Audits bereitzustellen.
Quellen und weitere Infos
Kennen Sie Ihre externe Angriffsfläche?
Die Einhaltung von NIS2 beginnt mit der vollständigen Kenntnis Ihrer externen Systeme und potenziellen Schwachstellen. Schaffen Sie die notwendige Transparenz für Ihre Compliance.
Kostenlosen Sicherheits-Check anfordern
—
Hinweis in eigener Sache: Dieser Beitrag gibt die Rechtslage zum Zeitpunkt der Veröffentlichung wieder. Da IT-Recht und Compliance-Vorgaben hochkomplex sind, dient dieser Text lediglich als erste Orientierungshilfe und stellt keine rechtsverbindliche Beratung dar. Für die Umsetzung in Ihrem Unternehmen empfehlen wir, im Zweifel juristischen Rat einzuholen. Eine Haftung für die Inhalte wird ausgeschlossen.
Häufige Fragen
Betroffen sind Unternehmen und Organisationen, die in einem der 18 regulierten Sektoren tätig sind und dabei definierte Größenschwellen überschreiten. Als wichtige Einrichtung gilt, wer mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz von über 10 Millionen Euro bei gleichzeitig über 10 Millionen Euro Bilanzsumme aufweist. Als besonders wichtige Einrichtung gilt, wer mindestens 250 Mitarbeiter beschäftigt oder einen Jahresumsatz von über 50 Millionen Euro bei einer Bilanzsumme von über 43 Millionen Euro erreicht. Bestimmte Einrichtungen wie qualifizierte Vertrauensdiensteanbieter, TLD-Registries und DNS-Diensteanbieter sind unabhängig von ihrer Größe stets als besonders wichtig eingestuft.
Die gesetzliche Frist zur Registrierung ist bereits am 6. März 2026 abgelaufen. Das Versäumnis stellt eine bußgeldbewehrte Ordnungswidrigkeit dar, die gemäß §65 BSIG mit bis zu 500.000 Euro geahndet werden kann. Darüber hinaus haftet die Geschäftsleitung nach §38 BSIG persönlich für die Einhaltung der NIS2-Pflichten. Eine Registrierung ist auch nach dem 31. Juli 2026 noch möglich und empfehlenswert, da sie dem BSI zeigt, dass das Unternehmen aktiv tätig wird.
Die Registrierung ist nur der erste Schritt. Nach §30 BSIG müssen betroffene Einrichtungen zehn Kernmaßnahmen zum Risikomanagement umsetzen, darunter Risikoanalysen, Sicherheitskonzepte und Prozesse zur Vorfallbewältigung. Besonders wichtige Einrichtungen müssen die Umsetzung dieser Maßnahmen bis Dezember 2028 gegenüber dem BSI nachweisen. Zusätzlich besteht eine laufende Pflicht, erhebliche Sicherheitsvorfälle in einem dreistufigen Verfahren an das BSI zu melden: Eine Frühwarnung muss innerhalb von 24 Stunden erfolgen, gefolgt von einer detaillierten Vorfallsmeldung innerhalb von 72 Stunden und einem abschließenden Bericht nach einem Monat.
Deutsch 
English 
Français