IT-Consulting, Projektmanagement,
Compliance und Informationssicherheit

Termin vereinbaren

NIS2-Registrierung verpasst: Was droht Ihnen jetzt wirklich?

BSI-Frist 6. März 2026 abgelaufen. Bußgelder bis 10 Mio. €, GF-Haftung, BSI-Prüfungen. Was Sie jetzt tun müssen – konkret und priorisiert.  

NIS2-Registrierung verpasst: Was droht Ihnen jetzt wirklich? 

Das Wichtigste in 30 Sekunden:  

Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Von rund 29.500 verpflichteten Unternehmen haben sich laut Branchenberichten nur etwa 38,5 % fristgerecht registriert. Wer fehlt, hat eine Ordnungswidrigkeit begangen. Bußgelder bis zu 10 Millionen Euro sind möglich. Geschäftsführer haften persönlich. Eine Nachregistrierung ist noch möglich und wirkt mildernd, aber das Zeitfenster wird enger. 

 

Über 18.000 Unternehmen in Deutschland haben die NIS2-Registrierungsfrist verpasst. Die meisten wissen nicht, was das jetzt bedeutet. 

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) trat am 6. Dezember 2025 ohne Übergangsfrist in Kraft. Das BSI-Portal öffnete erst am 6. Januar 2026, einen Monat später. Wer nicht früh informiert war, hatte kaum Zeit zu reagieren. 

Was jetzt passiert, was konkret auf Sie zukommt und was Sie diese Woche tun müssen. 

 

Die Faktenlage: Was ist seit dem 6. März 2026 passiert? 

Das NIS2UmsuCG gilt seit dem 6. Dezember 2025. Mit dem Inkrafttreten begann eine dreimonatige Registrierungsfrist beim Bundesamt für Sicherheit in der Informationstechnik (BSI), abgelaufen am 6. März 2026. 

Die Registrierung läuft über das Melde- und Unterrichtungskanal-Portal (MUK) unter muk.bsi.bund.de. Voraussetzung: ein ELSTER-Organisationszertifikat, dessen Beantragung und Zustellung per Post mehrere Werktage dauert. 

Von rund 29.500 pflichtigen Einrichtungen haben sich laut Branchenberichten nur etwa 11.500 (38,5 %) rechtzeitig registriert. Die Mehrheit ist formal im Verzug. 

Unter dem alten IT-Sicherheitsgesetz 2.0 beaufsichtigte das BSI rund 4.500 Organisationen. Mit NIS2 hat sich der Kreis mehr als versechsfacht. Viele der neu betroffenen Unternehmen hatten bis dahin keinen Kontakt mit BSI-Regulierung. 

Das sollten Sie wissen:  

Betroffen sind Unternehmen mit mindestens 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in einem der 18 regulierten Sektoren: Energie, Transport, Gesundheit, Lebensmittelproduktion, Chemie, digitale Infrastruktur und mehr. Die Einstufung als besonders wichtige Einrichtung (BWE) oder wichtige Einrichtung (WE) entscheidet über Überwachungsintensität und Bußgeldhöhe. 

Ist Ihr Unternehmen betroffen? Machen Sie jetzt den NIS2-Quick-Check

 

Warum das BSI noch nicht massenhaft straft und wie lange das noch gilt 

Das BSI hat öffentlich signalisiert, bei verspäteten Registrierungen zunächst nicht mit harten Sanktionen vorzugehen, weil das Registrierungsportal selbst erst einen Monat nach Inkrafttreten des Gesetzes online ging. 

Das ist keine Entwarnung. Das BSI arbeitet die Sektoren systematisch ab: Handels- und Unternehmensregister, Branchenverbände, Selbstauskünfte. Wer die Größenschwellen überschreitet, wird identifiziert. Wann, ist eine Frage der Zeit, nicht des Ob. 

Ausstehende Registrierungen sollen aktiv verfolgt werden; bei Nichtreaktion drohen Bußgeldverfahren. Proaktives Handeln wird bei der Sanktionsbemessung berücksichtigt. Erste Compliance-Audits für besonders wichtige Einrichtungen wurden für Mitte 2026 angekündigt [PRÜFEN: aktuelle BSI-Kommunikation]. Wer bis dahin keine Registrierung und keine Dokumentation vorweisen kann, steht schlecht da. 

Praxis-Tipp: Eine freiwillige Nachregistrierung wirkt mildernd, schützt aber nicht vollständig vor Sanktionen. Wer jetzt handelt, steht besser da als jemand, der wartet, bis das BSI anklopft. 

 

Was Sie JETZT sofort tun müssen 

  1. Betroffenheit prüfen, falls noch nicht geschehen

Nutzen Sie die offizielle BSI-Betroffenheitsprüfung unter betroffenheitspruefung-nis-2.bsi.de. Eine Fehleinschätzung in beide Richtungen hat Konsequenzen. 

  1. ELSTER-Organisationszertifikat beantragen

Ohne ELSTER-Zertifikat keine Registrierung. Prüfen Sie zuerst, ob Ihr Steuerberater bereits eines besitzt; das spart Wochen. Falls nicht: sofort unter elster.de beantragen. Die Aktivierungs-ID kommt per Post, in der Regel nach 5 bis 10 Werktagen. 

  1. MUK-Konto anlegen und BSI-Registrierung nachholen

Mit dem ELSTER-Zertifikat registrieren Sie sich zunächst bei „Mein Unternehmenskonto“ (MUK), dann im BSI-Portal. Bereithalten: Firmenname und Rechtsform, Kontaktperson für Sicherheitsmeldungen, Sektorzuordnung, IP-Adressbereiche und die Einstufung als besonders wichtige oder wichtige Einrichtung. 

  1. Risikomanagementmaßnahmen nach §30 BSIG dokumentieren

Die Registrierung allein reicht nicht. §30 BSIG schreibt zehn Mindestmaßnahmen vor, von Risikoanalyse und Backup-Management über Multifaktor-Authentifizierung bis zur Lieferkettensicherheit. Beginnen Sie mit einer Bestandsaufnahme: Was existiert bereits, was fehlt, was ist dokumentiert? 

  1. Geschäftsführung formal einbinden und Schulungspflicht erfüllen
  • 38 Abs. 3 BSIG schreibt regelmäßige Cybersicherheitsschulungen für die Geschäftsleitung vor. Das BSI stellt Unterlagen bereit. Entscheidend für den Streitfall: Die Genehmigung der Sicherheitsmaßnahmen und die Überwachungspflicht müssen schriftlich dokumentiert sein.

 

Häufige Fehler, die Unternehmen jetzt machen 

„Wir sind zu klein für NIS2.“  

Die Schwelle liegt bei 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in einem regulierten Sektor. Wer eines davon erfüllt, ist betroffen. 

„Wir haben ISO 27001, das reicht.“  

ISO 27001 deckt schätzungsweise 70 bis 80 % der NIS2-Anforderungen ab. Die restlichen 20 bis 30 % sind NIS2-spezifisch: BSI-Registrierung, das gestufte Meldeverfahren nach §32 BSIG und die persönlichen Geschäftsleitungspflichten nach §38 BSIG. 

„Das BSI straft gerade nicht, wir warten ab.“  

Wer wartet, erhöht das Bußgeldrisiko und gibt den Vorteil der Freiwilligkeit auf. Trifft gleichzeitig ein Sicherheitsvorfall ein, ist die Ausgangslage dramatisch schlechter. 

„Die Registrierung ist das Einzige, was zählt.“  

Die Registrierung beendet den Rechtsverstoß gegen §33 BSIG. Die fehlenden Risikomanagementmaßnahmen nach §30 BSIG, verbindlich seit dem 6. Dezember 2025, behebt sie nicht. Wer nur einen Haken setzt, ist weiterhin non-compliant. 

„Unsere IT-Abteilung kümmert sich darum.“  

  • 38 BSIG adressiert die Geschäftsleitung, nicht den IT-Leiter. Operative Aufgaben können delegiert werden, die Überwachungspflicht bleibt oben.

 

Fazit: Verspätet, aber nicht zu spät 

Wer die Frist verpasst hat, hat formal eine Ordnungswidrigkeit begangen. Das BSI hat noch keine Massenverfahren eingeleitet. Wer jetzt handelt, kann das Bußgeldrisiko reduzieren und gleichzeitig eine belastbare Compliance-Grundlage schaffen. 

Die Registrierung nachholen ist Sofortmaßnahme, aber es ist nicht genug. Parallel müssen die Maßnahmen nach §30 BSIG aufgebaut, die Geschäftsführung eingebunden und Meldewege definiert werden. Das geht nicht von heute auf morgen, aber es lässt sich priorisieren. 

Wo stehen Sie wirklich? In einem kostenlosen 30-Minuten-Gespräch klären wir Betroffenheit, Registrierungsstatus und die größten Lücken, ohne Verkaufspitch. [PLATZHALTER: Link zu Kontaktseite / Terminbuchung] 

 

FAQ 

Was passiert, wenn ich die NIS2-Registrierung beim BSI verpasst habe? 

Die fehlende BSI-Registrierung ist ein eigenständiger Bußgeldtatbestand nach §65 BSIG. Bußgelder können bis zu 10 Millionen Euro betragen. Das BSI hat signalisiert, zunächst keine Massenverfahren einzuleiten; eine freiwillige Nachregistrierung kann mildernd wirken. Wer nicht registriert ist, sollte das unverzüglich nachholen. 

Kann ich mich nach dem 6. März 2026 noch beim BSI registrieren? 

Ja. Eine Nachregistrierung über das MUK-Portal unter muk.bsi.bund.de ist möglich und sinnvoll. Sie beendet den laufenden Rechtsverstoß und zeigt dem BSI, dass das Unternehmen reagiert hat. Vor Sanktionen wegen der verspäteten Erstregistrierung schützt sie nicht vollständig. 

Welche Bußgelder drohen bei NIS2-Verstößen 2026? 

Besonders wichtige Einrichtungen riskieren bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt die Grenze bei 7 Millionen Euro oder 1,4 % des Umsatzes. Nichtregistrierung, fehlende Risikomanagementmaßnahmen und verpasste Meldepflichten sind jeweils separate Tatbestände; Bußgelder können kumuliert werden. 

Haftet der Geschäftsführer persönlich für NIS2-Verstöße? 

Ja. §38 BSIG verpflichtet die Geschäftsleitung, Sicherheitsmaßnahmen zu genehmigen und deren Umsetzung zu überwachen. Bei schuldhafter Pflichtverletzung haften Geschäftsführer gegenüber ihrer eigenen Gesellschaft mit dem Privatvermögen. Ein vertraglicher Haftungsausschluss ist gesetzlich verboten. Die Pflicht gilt für alle Mitglieder der Geschäftsleitung. 

Bin ich als KMU wirklich von NIS2 betroffen? 

NIS2 gilt ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in einem der 18 regulierten Sektoren: Energie, Transport, Gesundheit, Lebensmittel, Chemie, IT und weitere. In bestimmten kritischen Sektoren kann die Pflicht auch kleinere Unternehmen treffen. Die BSI-Betroffenheitsprüfung unter betroffenheitspruefung-nis-2.bsi.de gibt in wenigen Minuten Klarheit.

Stand: Juni 2026. Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Paragrafenverweise beziehen sich auf das NIS2UmsuCG vom 6. Dezember 2025 und das novellierte BSIG. Bei konkreten Fragen zur Betroffenheit oder Haftung empfehlen wir einen auf IT-Recht spezialisierten Anwalt. 

 

Lassen Sie uns ins Gespräch kommen.

Gemeinsam die richtigen Lösungen finden.

Jetzt Termin vereinbaren

Demo-Termin

Vereinbaren Sie jetzt einen kostenlosen und unverbindlichen Demo-Termin. Gerne zeigen wir Ihnen unsere Lösungen. Wählen Sie einfach das gewünschte Thema aus. Wir freuen uns auf Sie.

DSGVO Cookie Consent mit Real Cookie Banner