Seit dem 6. Dezember 2025 gilt in Deutschland das NIS2-Umsetzungsgesetz (NIS2UmsuCG) – ohne Übergangsfrist, ohne Schonfrist, ohne Aufschub. Rund 29.500 Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Umsatz in 18 Sektoren sind betroffen und sollten NIS2-konform aufgestellt sein, darunter Energie, Produktion, Logistik, Chemie und Abfall. Doch die Realität sieht anders aus: Zum Registrierungsstichtag am 6. März 2026 hatten sich lediglich rund 11.500 von geschätzten 29.850 betroffenen Unternehmen beim BSI-Portal registriert – das entspricht einer Quote von gerade einmal 38,5 Prozent. Zwei Wochen vor Fristablauf (06.03.2026) waren es sogar erst 4.856 Einrichtungen. Dieser Leitfaden erklärt, warum so viele Unternehmen noch immer nicht registriert sind, wer tatsächlich betroffen ist – und in welchen konkreten Schritten sich Unternehmen jetzt systematisch vorbereiten sollten.
Der alarmierende Stand der BSI-Registrierungen: Unwissenheit als größtes Risiko
Das Bild, das sich nach Ablauf der Registrierungsfrist ergibt, ist alarmierend. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den letzten Wochen mehrfach öffentlich betont, dass die Zahl der eingegangenen Registrierungen deutlich hinter den Erwartungen zurückbleibt.
Dafür gibt es mehrere Ursachen. Da nicht aktiv auf Unternehmen zugegangen wird, wissen viele schlicht nicht, dass sie betroffen sind. Die NIS-2-Richtlinie erfasst Organisationen ab 50 Beschäftigten oder mit mehr als 10 Millionen Euro Jahresumsatz in 18 verschiedenen Sektoren. Das BSI nimmt keine automatische Prüfung vor – jede Organisation muss selbst klären, ob sie dazugehört. Zweitens schrecken die weitreichenden Folgepflichten viele Unternehmen ab: Es geht nicht nur um eine einmalige Registrierung, sondern um laufende Meldepflichten und weitere Risikomanagement-Vorgaben. Das Bewusstsein für mögliche hohe Strafzahlungen und eben die persönliche Haftung der Geschäftsführung bei verpasster Unternehmensregistrierung scheint nicht vorhanden zu sein.
Ein weiterer Grund ist der massiv erweiterte Anwendungsbereich. Betroffen sind nicht mehr nur klassische kritische Infrastrukturen (KRITIS), sondern ein breites Spektrum an Sektoren und Tätigkeiten. Dadurch kommt man eventuell nicht auf die Idee, zur kritischen Infrastruktur zu gehören. Die Gesetzesbegründung geht von rund 30.000 betroffenen Unternehmen aus – tatsächlich dürfte die Zahl deutlich höher liegen.
Plötzlich betroffen: drohen unmittelbare Strafen?
Besonders tückisch: Die Betroffenheit ergibt sich oft nicht aus dem unmittelbaren Tätigkeitsfeld. Wer etwa anderen Konzerngesellschaften IT-Anwendungen wie Confluence oder Microsoft bereitstellt, gilt bereits als Anbieter von Managed Services. Wer einen eigenen Online-Shop betreibt und auch Dritten erlaubt, darüber Waren zu vertreiben, gilt als Betreiber eines Online-Marktplatzes im Sinne von NIS2. In beiden Fällen werden Mitarbeiter und Umsätze verbundener Unternehmen dabei für die NIS2-Betroffenheit in der Regel mitgezählt.
Dass das BSI nach Fristablauf nicht sofort mit Sanktionen vorgeht, ist zwar eine vorübergehend beruhigende Nachricht – sie ist jedoch keine Einladung zum Abwarten. Das BSI hat nach Ablauf der Registrierungsfrist angekündigt, nicht registrierte Unternehmen aktiv zu identifizieren. Die Behörde kann betroffene Einrichtungen zur Registrierung auffordern und bei Nichtbefolgung Bußgelder verhängen.
Nachfolgend wird in 4 Schritten dargestellt, wie eine NIS2-Betroffenheit identifiziert werden kann und was im Anschluss umzusetzen ist.
Abbildung 1: NIS2 konform in 4 Schritten
Schritt 1: Betroffenheit prüfen und intern klären
Der erste und wichtigste Schritt für jedes Unternehmen ist die Beantwortung der Frage: „Fallen wir unter das Gesetz?” Diese Selbstprüfung ist keine Kür, sondern gesetzliche Pflicht – und sie muss gründlich erfolgen.
NIS2 gilt für Unternehmen ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz in 11 wesentlichen Sektoren sowie ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in 7 weiteren wichtigen Sektoren. Die 18 Sektoren und Schwellenwerte sind komplex, und die Abgrenzung zwischen wichtigen und besonders wichtigen Einrichtungen ist nicht trivial. Deshalb empfiehlt es sich, die Betroffenheitsprüfung auf der BSI-Website zu nutzen und im Zweifel rechtliche Beratung hinzuzuziehen.
Besondere Aufmerksamkeit verdient die sogenannte mittelbare Betroffenheit: Auch Dienstleister und Zulieferer kritischer Infrastrukturen können als NIS2-reguliert eingestuft werden, selbst wenn sie nicht unmittelbar in einem KRITIS-Sektor tätig sind. Unternehmen sollten daher auch prüfen, ob ihre Kunden oder Auftraggeber selbst NIS2-pflichtig sind und entsprechende Anforderungen an sie weitergeben.
Für die interne Klärung empfiehlt sich ein strukturierter Workshop auf Leitungsebene, bei dem Sektor, Unternehmensgröße und Rolle in der Lieferkette gemeinsam bewertet werden. Ein solcher Workshop sollte durch die zuständige Stelle im Unternehmen angestoßen werden, wie etwa der Compliance Abteilung. Das Ergebnis sollte schriftlich dokumentiert werden – denn im Falle einer späteren BSI-Prüfung muss diese Selbsteinschätzung lückenlos nachvollzogen werden können.
Schritt 2: BSI-Registrierung durchführen – der Einstieg in die Compliance
Wer festgestellt hat, dass sein Unternehmen unter NIS2 fällt, muss sich unverzüglich beim BSI registrieren. Das BSI stellt seit dem 6. Januar 2026 ein neu entwickeltes Portal bereit, das unter anderem auch als zentrale Meldestelle für erhebliche Sicherheitsvorfälle dient. Die Registrierung für NIS-2-Meldungen erfolgt zweistufig.
Technisch läuft die NIS2-Registrierung über ein ELSTER-Organisationszertifikat ab, mit dem man sich gegenüber „Mein Unternehmenskonto” (MUK) authentifiziert. Dieses Zertifikat dient als digitaler Identitätsnachweis des Unternehmens, die damit verknüpften Stammdaten werden später ins BSI-Portal übernommen. Viele Unternehmen besitzen bereits ein ELSTER-Organisationszertifikat aus Steuer- oder Verwaltungsprozessen – in diesen Fällen ist kein neues Zertifikat erforderlich.
Für die Registrierung im BSI-Portal werden unter anderem Unternehmensgröße und Rechtsform, eine NIS2-Kontaktstelle sowie die Zuordnung zu Sektor und zuständiger Bundesbehörde abgefragt. Alle Angaben sind aktuell zu halten und spätestens zwei Wochen nach Änderungen im Portal zu aktualisieren.
Wichtig: Die Registrierung ist kein Abschluss, sondern ein Anfang. Sie ist die Grundlage dafür, dass das BSI das Unternehmen als NIS2-regulierte Einrichtung führt und dass Vorfälle gemeldet werden können. Danach kann den weiteren Pflichten aus dem BSI-Gesetz (BSIG) nachgekommen werden.
Schritt 3: Technische und organisatorische Maßnahmen umsetzen
Nach der Registrierung beginnt die eigentliche inhaltliche Arbeit: die Umsetzung der gesetzlich vorgeschriebenen Sicherheitsmaßnahmen. Da das Gesetz keine Übergangsfristen für die technischen und organisatorischen Maßnahmen nach § 30 BSIG vorsieht, müssen diese bereits seit dem 6. Dezember 2025 implementiert sein. Diese Maßnahmen gleichen denen aus Artikel 21 der NIS2-Richtlinie. Ein zu langes Abwarten kann bereits als Organisationsverschulden gewertet und mit Strafgebühren sanktioniert werden.
NIS2 fordert im Kern ein Informationssicherheitsmanagementsystem (ISMS). Wer ISO 27001 bereits umsetzt, deckt erfahrungsgemäß 70 bis 80 Prozent der Anforderungen ab. Wer noch kein ISMS hat, sollte jetzt unverzüglich mit dem Aufbau beginnen.
Besonderes Augenmerk verdient die Lieferkettensicherheit: Unternehmen müssen die Cybersicherheit ihrer Zulieferer und Dienstleister aktiv managen und vertraglich absichern. Das betrifft auch Unternehmen, die selbst nicht unter NIS2 fallen, aber als Zulieferer regulierter Einrichtungen arbeiten – ein indirekter Betroffenenkreis, der die 29.500 Einrichtungen noch deutlich übersteigt.
Schritt 4: Meldeprozesse und Governance etablieren
Ein oft unterschätzter Baustein der NIS2-Compliance sind die Meldepflichten und die Governance-Anforderungen. Die Pflicht, erhebliche Sicherheitsvorfälle unverzüglich zu melden, gilt seit dem 6. Dezember 2025 – unabhängig vom Stand der Registrierung. Unternehmen dürfen nicht abwarten, bis das BSI-Portal verfügbar oder die Registrierung abgeschlossen ist.
Der Meldeprozess folgt einem festen Dreistufenmodell: Eine Frühwarnung innerhalb von 24 Stunden, eine Detailmeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats – diese Maximalfristen sind verbindlich einzuhalten. Wer keinen dokumentierten Incident-Response-Plan hat, wird diese Fristen im Ernstfall nicht einhalten können. Hier empfiehlt sich auch die Etablierung eines Security Event & Incident Management Systems (SIEM).
Auf Leitungsebene gelten besondere Pflichten: Leitungsorgane müssen NIS2-spezifische Schulungen absolvieren, die selbstverständlich über ein Schulungskonzept erst erarbeitet werden müssen. Zusätzlich sind Schulungsangebote für alle Mitarbeitenden Pflicht – nicht als einmalige Veranstaltung, sondern als kontinuierliches Programm, welches natürlich auch dokumentiert werden muss. Die Pflicht zur Teilnahme an Schulungen und die persönliche Haftung für die Überwachung der Risikomanagementmaßnahmen nach § 38 BSIG gilt seit dem 6. Dezember 2025.
Fazit
Die niedrige Registrierungsquote von gerade einmal 38,5 Prozent zum Stichtag ist ein deutliches Warnsignal: Ein Großteil der betroffenen Unternehmen in Deutschland hat NIS2 entweder falsch eingeschätzt oder schlicht nicht auf dem Radar. Die Unwissenheit schützt dabei nicht vor Konsequenzen.
Viele Geschäftsführer wissen bis heute nicht, ob ihr Unternehmen betroffen ist – und riskieren damit nicht nur Bußgelder, sondern auch die persönliche Haftung nach § 38 BSIG. Wer die Registrierungsfrist verpasst hat, sollte diese sofort nachholen – das BSI-Portal ist weiterhin geöffnet, und eine verspätete Registrierung zeigt zumindest guten Willen.
Die eigentliche Botschaft von NIS2 ist jedoch eine grundlegendere: Cybersicherheit ist kein IT-Thema, sondern Chefsache. Unternehmen, die jetzt strukturiert vorgehen – Betroffenheit prüfen, sich registrieren, ein ISMS aufbauen, Meldeprozesse etablieren, Resilienz aufbauen – schützen nicht nur sich selbst vor Bußgeldern und Haftungsrisiken, sondern auch ihre Geschäftsbeziehungen und ihre Reputation. Denn der Druck zur Compliance kommt nicht nur vom BSI, sondern zunehmend auch aus der Lieferkette selbst: Wer keine NIS2-Konformität nachweisen kann, riskiert den Verlust wichtiger Geschäftspartner.
