Die Registrierungsfrist ist abgelaufen. Seit dem 6. März 2026 hätten sich rund 29.850 Unternehmen in Deutschland beim BSI registrieren müssen. Tatsächlich haben es nur 11.500 geschafft — gerade einmal 38,5 Prozent. Wenn Ihr Unternehmen zu den fehlenden 18.350 gehört, sollten Sie jetzt handeln. Nicht irgendwann. Jetzt.
Was passiert ist — und warum es so viele kalt erwischt hat
Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Es erweitert den Kreis der regulierten Unternehmen massiv: Statt bisher rund 4.500 KRITIS-Betreiber fallen nun etwa 30.000 Organisationen unter die Aufsicht des BSI — sechsmal so viele wie zuvor.
Das BSI-Registrierungsportal ging am 6. Januar 2026 online. Drei Monate später, am 6. März, endete die Frist. Doch der Verlauf zeigt, wie viele Unternehmen das Thema unterschätzt haben:
📅 Mitte Februar 2026
Gerade einmal 4.500 Unternehmen registriert
📅 2 Wochen vor Fristende
4.856 Registrierungen — kaum Bewegung
📅 Letzte Woche vor Stichtag
6.600 weitere Registrierungen auf einen Schlag
📅 7. März 2026 — Frist abgelaufen
11.500 registriert. 18.350 fehlen noch.
Über die Hälfte aller Registrierungen erfolgte in der letzten Woche. Das BSI kommentierte: „Die signifikante Steigerung lässt darauf schließen, dass kurzfristig viele weitere Registrierungen erfolgen werden.” Anders gesagt: Die Behörde weiß, dass tausende Unternehmen noch aufwachen müssen.
Wen es betrifft — der Schnelltest
NIS2 betrifft Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in regulierten Sektoren.
Prüfen Sie, ob mindestens einer dieser Punkte auf Sie zutrifft:
- Sie beschäftigen 50 oder mehr Mitarbeiter
- Ihr Jahresumsatz liegt über 10 Millionen Euro
- Sie gehören zu einem regulierten Sektor: Energie, Wasser, Abfall, Transport, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung, Chemie, Lebensmittel, produzierendes Gewerbe
- Sie betreiben Infrastruktur, die als kritisch eingestuft werden könnte — etwa Stadtwerke, Kläranlagen oder Versorgungsnetze
- Sie sind Zulieferer oder Dienstleister für ein NIS2-betroffenes Unternehmen
Besonders wichtig für Kommunen
Kommunale Behörden fallen grundsätzlich unter Landesrecht und nicht direkt unter das NIS2-Umsetzungsgesetz. Anders sieht es bei kommunalen Eigenbetrieben aus — Stadtwerke, Wasserversorger oder Abfallwirtschaftsbetriebe, die kritische Anlagen betreiben oder die Schwellenwerte überschreiten, sind sehr wohl betroffen. Das BSI hat am 13. März 2026 eine eigene FAQ für die öffentliche Verwaltung veröffentlicht.
Was das BSI jetzt tun kann
Wer sich nicht registriert hat, verstößt gegen geltendes Recht. Das klingt abstrakt — die möglichen Konsequenzen sind es nicht:
Mögliche Konsequenzen bei Nicht-Registrierung
- Zwangsgelder — Das BSI kann die Registrierung erzwingen. Wer der Aufforderung nicht nachkommt, zahlt.
- Bußgelder — Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist.
- Persönliche Haftung — Die Geschäftsleitung trägt die Verantwortung. Diese lässt sich nicht delegieren.
- Aufsichtsmaßnahmen — Das BSI kann tiefergehende Sicherheitsprüfungen anordnen.
Noch sind keine konkreten Bußgeldverfahren öffentlich bekannt. Aber die Aufsichtsstrukturen stehen, und das BSI hat klar signalisiert, dass es seine neue Rolle ernst nimmt.
Vier Schritte, die Sie jetzt gehen sollten
1. Betroffenheit verbindlich klären
Nutzen Sie das BSI-Prüftool und die aktuellen FAQ, um festzustellen, ob Ihre Organisation als „wichtige Einrichtung” oder „besonders wichtige Einrichtung” gilt. KRITIS-Betreiber werden automatisch als besonders wichtige Einrichtungen eingestuft.
2. Registrierung nachholen
Das BSI-Portal ist weiterhin geöffnet. Eine Registrierung nach Fristablauf ist möglich und dringend empfohlen. Je länger Sie warten, desto größer wird das Risiko, dass das BSI aktiv auf Sie zukommt — und dann nicht mit einer Einladung, sondern mit einer Aufforderung.
3. Technische Maßnahmen dokumentieren und umsetzen
NIS2 verlangt ein dokumentiertes Risikomanagement. Konkret bedeutet das:
- Netzwerksegmentierung und Zugriffskontrollen
- Multi-Faktor-Authentifizierung
- Backup- und Recovery-Strategie mit getesteter Wiederherstellung
- Incident-Response-Prozess mit definierten Meldewegen
- Regelmäßiges Patch-Management und Schwachstellenanalyse
4. Meldeprozesse vorbereiten
Bei einem erheblichen Sicherheitsvorfall müssen Sie innerhalb von 24 Stunden eine Erstmeldung an das BSI abgeben. Nach 72 Stunden folgt ein Zwischenbericht, nach einem Monat der Abschlussbericht. Ohne vorbereitete Prozesse und klare Zuständigkeiten ist das kaum zu schaffen.
Fazit
NIS2 ist kein Thema, das sich aussitzen lässt. Die Registrierungsfrist ist vorbei, aber die Pflichten bleiben — und sie werden nicht weniger. Wer jetzt handelt, schützt nicht nur sein Unternehmen vor Bußgeldern, sondern stellt die eigene IT-Sicherheit auf ein tragfähiges Fundament. Warten ist keine Strategie.
Sie wollen wissen, wo Ihr Unternehmen bei NIS2 steht?
Wir prüfen Ihre Betroffenheit, identifizieren Lücken und begleiten Sie von der Registrierung bis zur laufenden Umsetzung.