Heute, am Freitag, den 6. März 2026, endet die Frist für die Registrierung nach NIS2. Doch was bedeutet das für Unternehmen, die bislang noch nicht aktiv geworden sind? Drohen jetzt erste Bußgelder?
Registrierungspflicht: Viele Unternehmen noch nicht registriert
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zuständige Aufsichtsbehörde hat in den letzten Wochen mehrfach öffentlich betont, dass die Zahl der eingegangenen Registrierungen deutlich hinter den Erwartungen zurückbleibt. Offenbar ist vielen Unternehmen noch immer nicht bewusst, dass sie in den Anwendungsbereich der NIS2-Gesetzgebung fallen.
Was ist bisher passiert?
Das deutsche Gesetz zur Umsetzung der NIS2-Richtlinie (EU) 2022/2555 ist am 06. Dezember 2025 in Kraft getreten. Die neuen Regelungen, die betroffene Unternehmen zur Umsetzung umfangreicher Cybersicherheitsmaßnahmen verpflichten, finden sich nun vorrangig im novellierten Gesetz über das Bundesamt für Sicherheit in der Informationstechnik („BSIG“).
§ 33 BSIG sieht vor, dass sich betroffene Unternehmen, innerhalb von drei Monaten beim BSI registrieren müssen. Formal juristisch gesehen stellt eine verspätete Registrierung bereits den ersten bußgeldbewährten Verstoß dar (bis zu 500.000 €).
Das BSI-Portal zur NIS2-Registrierung
Seit dem 6. Januar 2026 steht auf der BSI-Webseite ein eigenes Portal für die NIS2-Registrierung bereit. Hierüber können und müssen betroffene Unternehmen die geforderten Angaben übermitteln. Das Portal führt Schritt für Schritt durch den Prozess – von den Stammdaten über die Kontaktstelle bis hin zu IP-Adressbereichen und dem relevanten Sektor. Eine ausführliche Anleitung zur Registrierung mittels Elster-Zertifikat und „Mein Unternehmenskonto“ (MUK) finden Sie ebenfalls auf der BSI-Webseite.
Drohen jetzt Bußgelder?
Die gute Nachricht: Das BSI hat mehrfach öffentlich erklärt, dass es bei verspäteten Registrierungen zunächst keine Sanktionen verhängen wird. Dies gilt insbesondere, da das Registrierungsportal erst einen Monat nach Inkrafttreten des Gesetzes online ging. In den nächsten Wochen ist daher nicht mit unmittelbaren Bußgeldern oder anderen Maßnahmen zu rechnen.
Dies ist jedoch keine Einladung zum Abwarten. Wie lange diese „letzte Schonfrist“ für NIS2-betroffene Unternehmen noch gilt, ist offen.
Warum sind so viele Unternehmen betroffen und wissen es nicht?
Ein Grund für die niedrige Registrierungsquote ist der deutlich erweiterte Anwendungsbereich des neuen BSIG. Die Gesetzesbegründung geht von rund 30.000 betroffenen Unternehmen in Deutschland aus – tatsächlich dürfte die Zahl deutlich höher liegen.
Betroffen sind nicht mehr nur klassische kritische Infrastrukturen (KRITIS), sondern ein breites Spektrum an Sektoren und Tätigkeiten. Neben einigen per-se betroffenen Diensteanbietern fallen Unternehmen aus den Anlagen 1 und 2 BSIG in den Anwendungsbereich – entweder als „wichtige Einrichtungen“ oder als „besonders wichtige Einrichtungen“.
Die maßgeblichen Schwellenwerte beziehen sich nicht nur auf einzelne Tätigkeiten, sondern auf das gesamte Unternehmen bzw. die Unternehmensgruppe: Bereits 50 Mitarbeitende oder alternativ über 10 Millionen Euro Jahresumsatz und Jahresbilanzsumme können genügen. Auch Werte verbundener Konzernunternehmen werden dabei mitgezählt!
Überraschende Ergebnisse: Beispiele aus der Praxis
Viele Unternehmen wissen schlicht nicht, dass sie unter die NIS2-Pflichten fallen. Das liegt auch an den weit gefassten Definitionen der betroffenen Sektoren. Wir stellen einige Beispiele aus unserer Beratungspraxis vor:
- Konzern-IT: Sie stellen anderen Konzerngesellschaften IT-Anwendungen wie Confluence oder Microsoft bereit? Dann gelten Sie vermutlich als Anbieter von Managed Services (MSP) nach Anlage 1 BSIG. Bereits der konzerninterne Betrieb oder Support von IKT-Anwendungen nur für andere Gruppengesellschaften reicht aus. Mitarbeiter und Umsätze verbundener Unternehmen werden meist mitgezählt – die Schwellenwerte sind schnell erreicht.
- E-Commerce: Sie betreiben einen eigenen Online-Shop und ermöglichen auch Dritten, darüber Waren zu vertreiben – vielleicht sogar nur konzernverbunden Unternehmen? Dann gelten Sie wahrscheinlich als Betreiber eines Online-Marktplatzes im Sinne von NIS2 und müssen auch die Vorgaben der Durchführungsverordnung (EU) 2024/2690 beachten.
- Immobilienverwalter und Telekommunikationsdienste: Sie sind Wohnungsbaugesellschaft und bieten Ihren Mietern über die Mieterumlage Internet, TV oder Telefon an? Dann können Sie als Anbieter öffentlich zugänglicher Telekommunikationsdienste sogar unabhängig von Schwellenwerten NIS2 betroffen sein.
- Photovoltaik-Anlagen: Sie betreiben auf Ihrem Bürogebäude oder der Fabrikhalle Photovoltaik-Anlagen und speisen Strom ins öffentliche Netz ein oder verkaufen ihn an Mieter? Sofern diese Tätigkeit nicht ausnahmsweise „vernachlässigbar“ ist, können Sie als Energieerzeuger nach Anlage 1 BSIG betroffen sein.
- Verarbeitendes Gewerbe: Die NIS2-Richtlinie und das BSIG verweisen auf die statistische Sektorenliste „NACE Rev.2“. Diese Liste ist sehr weit gefasst. Auch Hersteller von scheinbar harmlosen Produkten wie Lampen oder Haushaltsgeräten und der gesamte Bereich Maschinenbau können ab 50 Mitarbeitenden oder 10 Mio. Euro Umsatz als „wichtige Einrichtung“ gelten.
Was sollten Sie jetzt tun?
Prüfen Sie sorgfältig, ob Ihr Unternehmen betroffen ist. Die Geschäftsführung trägt die Verantwortung für die Umsetzung und Überwachung der NIS2-Pflichten. Sie muss zudem speziell geschult werden. Bei Fahrlässigkeit haftet die Geschäftsführung persönlich gegenüber der Gesellschaft.
Sie sind unsicher, ob Ihr Unternehmen betroffen ist oder wie Sie die Pflichten umsetzen? Sprechen Sie uns gerne an – wir unterstützen Sie bei der Umsetzung der NIS2-Anforderungen. Gerne erläutern wir Ihnen in einem Einführungsworkshop kompakt und verständlich, welche NIS2-Anforderungen das Gesetz und die Aufsichtsbehörde konkret von Ihnen fordern und wie Sie diese Anforderung effizient umsetzen. Wir unterstützen Sie bei der NIS2 Implementierung, insbesondere mit der rechtlichen Begleitung bei Ihrer Gap Analyse und den Umsetzungsmaßnahmen, bei der Absicherung der Lieferkette durch faire Einkaufsbedingungen und den rechtlichen Teil der gesetzlich vorgeschriebenen Geschäftsleiterschulung.
Ein kostenloser Quick-Check über unser NIS2-Betroffenheitsanalyse-Tool bietet Ihnen eine erste Orientierung.
Unser SKW-Whitepaper zum Thema finden Sie hier.
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
