#

zur Blogübersicht

NIS2-Registrierungsfrist abgelaufen: Was jetzt für Ihr Unternehmen gilt

Apr. 14, 2026

NIS-2

Die Frist war klar gesetzt: Bis zum 6. März 2026 mussten sich alle vom NIS2-Umsetzungsgesetz (NIS2UmsuCG) betroffenen Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Doch nach aktuellen Schätzungen des BSI haben rund 18.500 von etwa 29.500 betroffenen Unternehmen diese Frist verpasst. Wenn Sie sich noch nicht registriert haben, erklären wir Ihnen, was jetzt zu tun ist – und was auf dem Spiel steht.

Was ist das NIS2-Umsetzungsgesetz und wen betrifft es?

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten und setzt die europäische NIS2-Richtlinie in deutsches Recht um. Das Gesetz verpflichtet Unternehmen bestimmter Größe und Branchen zu umfassenden Maßnahmen der Cybersicherheit, zu einer Registrierungspflicht beim BSI sowie zu strengen Meldepflichten bei Sicherheitsvorfällen.

Betroffen sind Unternehmen, die in einem der 18 regulierten Sektoren tätig sind und dabei folgende Schwellenwerte überschreiten:

  • Besonders wichtige Einrichtungen: Ab 250 Mitarbeitern oder 50 Mio. Euro Jahresumsatz in Sektoren wie Energie, Verkehr, Gesundheit, Finanzmarktinfrastruktur oder digitale Infrastruktur
  • Wichtige Einrichtungen: Ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz in weiteren Sektoren wie Lebensmittel, Abfallwirtschaft, Chemie oder digitale Dienste

Wichtig zu wissen: Das Gesetz sieht keine Übergangsfrist vor. Mit dem Inkrafttreten am 6. Dezember 2025 galten die Pflichten unmittelbar.

Die Registrierungsfrist ist abgelaufen – was jetzt?

Die dreimonatige Registrierungsfrist beim BSI ist am 6. März 2026 abgelaufen. Für Unternehmen, die diese Frist versäumt haben, gibt es eine wichtige Nachricht: Eine nachträgliche Registrierung ist weiterhin möglich und dringend empfohlen. Das BSI hat signalisiert, dass es bei verspäteten Registrierungen zunächst keine sofortigen Sanktionen verhängen wird – insbesondere, da das Registrierungsportal (MUK: muk.bsi.bund.de) selbst erst rund einen Monat nach Inkrafttreten des Gesetzes online gegangen war.

Allerdings: Diese informelle Schonfrist ist zeitlich begrenzt. Das BSI hat angekündigt, nach Abschluss der Registrierungsphase aktiv zu prüfen, welche Unternehmen sich nicht registriert haben, und zur aktiven Durchsetzung überzugehen. Wer noch nicht registriert ist, sollte dies unverzüglich nachholen.

„Die nachträgliche Registrierung beim BSI zeigt Kooperationsbereitschaft und ist trotz abgelaufener Frist ausdrücklich zu empfehlen – sie kann entscheidend dabei helfen, Bußgelder zu vermeiden oder zu reduzieren.”

Welche Pflichten müssen Unternehmen erfüllen?

Die Registrierung beim BSI ist nur der erste Schritt. NIS2 verlangt von betroffenen Unternehmen umfassende technische und organisatorische Maßnahmen nach § 30 BSIG in zehn Kernbereichen:

  • Risikoanalyse und Sicherheitskonzepte
  • Bewältigung von Sicherheitsvorfällen (Incident Response)
  • Aufrechterhaltung des Betriebs und Notfallmanagement (Business Continuity)
  • Sicherheit der Lieferkette
  • Sicherheit bei der Beschaffung und Entwicklung von Netz- und Informationssystemen
  • Konzepte und Verfahren zur Wirksamkeit der Cybersicherheitsmaßnahmen
  • Grundlegende Verfahren im Bereich der Cyberhygiene sowie Schulungen der Mitarbeiter
  • Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung
  • Sicherheit des Personals, Zugriffsverwaltung und Multi-Faktor-Authentifizierung
  • Nutzung gesicherter Kommunikationssysteme im Krisenfall

Hinzu kommen strenge Meldepflichten bei erheblichen Sicherheitsvorfällen: eine erste Meldung innerhalb von 24 Stunden, eine detaillierte Zwischenmeldung nach 72 Stunden und ein abschließender Bericht nach einem Monat.

Welche Sanktionen drohen bei Verstößen?

Die Konsequenzen einer Nichteinhaltung sind erheblich:

  • Besonders wichtige Einrichtungen: Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
  • Wichtige Einrichtungen: Bußgelder bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
  • Persönliche Haftung der Geschäftsführung: Nach § 38 BSIG i.V.m. § 43 GmbHG / § 93 AktG haften Geschäftsführer und Vorstände persönlich mit ihrem Privatvermögen
  • BSI-Aufsichtsmaßnahmen, Sicherheitsaudits und im Extremfall Untersagung des Betriebs

Besonders kritisch: Die Nichteinhaltung der Registrierungspflicht stellt einen eigenständigen Bußgeldtatbestand dar.

„NIS2 ist kein IT-Thema, das an die Technik-Abteilung delegiert werden kann. Die persönliche Haftung der Geschäftsführung macht Cybersicherheit zur Chefsache.”

Häufige Fragen (FAQ)

Bin ich von NIS2 betroffen?

Prüfen Sie zunächst, ob Ihr Unternehmen in einem der 18 regulierten Sektoren tätig ist und ob die Schwellenwerte (50 Mitarbeiter / 10 Mio. Euro Umsatz für wichtige Einrichtungen bzw. 250 Mitarbeiter / 50 Mio. Euro Umsatz für besonders wichtige Einrichtungen) überschritten werden. Das BSI stellt unter muk.bsi.bund.de ein Selbsteinschätzungstool zur Verfügung.

Wie registriere ich mein Unternehmen beim BSI?

Die Registrierung erfolgt über das BSI-Portal unter muk.bsi.bund.de. Für die Registrierung benötigen Sie ein ELSTER-Zertifikat (dessen Beantragung mehrere Wochen in Anspruch nehmen kann). Im Registrierungsprozess müssen Sie Organisationsdaten angeben und einen rund um die Uhr erreichbaren Sicherheitskontakt benennen.

Reicht die Registrierung für die NIS2-Compliance aus?

Nein. Die Registrierung ist nur eine von mehreren Pflichten. Parallel dazu müssen Unternehmen die technischen und organisatorischen Sicherheitsmaßnahmen nach § 30 BSIG implementieren, ein Informationssicherheitsmanagementsystem (ISMS) aufbauen und Meldeprozesse für Sicherheitsvorfälle etablieren. Unternehmen mit ISO-27001-Zertifizierung erfüllen bereits 70–80 % der NIS2-Anforderungen.

Was passiert, wenn ich die Registrierungsfrist verpasst habe?

Holen Sie die Registrierung so schnell wie möglich nach. Das BSI hat signalisiert, bei verspäteten Registrierungen zunächst mit Augenmaß vorzugehen. Dennoch: Je länger Sie warten, desto größer das Risiko von Aufsichtsmaßnahmen. Die verspätete Registrierung zeigt zudem Kooperationsbereitschaft, die im Rahmen der Bußgeldbemessung berücksichtigt werden kann.

Benötige ich für die NIS2-Umsetzung rechtliche und technische Unterstützung?

Ja, dringend. NIS2 ist ein komplexes Regelwerk mit erheblichen rechtlichen und technischen Anforderungen. Die Kanzlei Wetzel berät Sie umfassend bei der rechtlichen Einordnung Ihres Unternehmens, der Erstellung erforderlicher Dokumentation, der Umsetzung der Compliance-Anforderungen und der Vorbereitung auf BSI-Prüfungen. Kontaktieren Sie uns für eine erste Beratung.

Aktuelle Beiträge

EU AI Act: Was ab August 2026 auf Unternehmen zukommt – Handlungsbedarf jetzt!

Ab dem 2. August 2026 müssen Unternehmen die Anforderungen des EU AI Act für Hochrisiko-KI-Systeme vollständig erfüllen. Risikomanagementsystem, technische Dokumentation, menschliche Aufsicht und Konformitätsbewertung werden Pflicht. Bußgelder bis zu 15 Mio. Euro drohen. Die Kanzlei Wetzel erklärt, was auf Sie zukommt und was jetzt zu tun ist.

Datenschutz in Vereinen und NGOs

Als engagierte Akteure der Zivilgesellschaft tragen Sie eine besondere Verantwortung – nicht nur für Ihre Mission, sondern auch für den Schutz personenbezogener Daten. Die Datenschutz-Grundverordnung (DSGVO) gilt uneingeschränkt für alle Organisationen, unabhängig von...

Praxis-Tipps: Anbauvereinigungen (CSCs) und Mitgliederverwaltung

Seit Inkrafttreten des Konsumcannabisgesetzes (CanG) am 1. April 2024 ist der gemeinschaftliche, nicht-gewerbliche Cannabis-Anbau für Erwachsene unter strengen Auflagen legal. Dabei sehen wir immer wieder: Die größten Stolpersteine liegen nicht im Anbau selbst,...