KI-generiertes Beitragsbild zum Artikel NIS-2: Registerlücke wird zur Chefsache
17.07.2026

NIS-2-Registrierung: Was die Chefetage jetzt tun muss

5 Min. Lesezeit

Die gesetzliche NIS-2-Registrierungsfrist beim BSI ist seit dem 6. März 2026 abgelaufen – und bis Anfang April war erst etwa die Hälfte der Pflichtigen im Register. Wer betroffen ist und noch fehlt, hat laut Fachberichten nur noch bis Ende Juli eine behördliche Duldung für Nachmeldungen. Die Verantwortung liegt bei der Geschäftsleitung.

Das Wichtigste in Kürze

  • Frist: Gesetzlich endete die Registrierung am 6. März 2026. Nachmeldungen werden laut Fachberichten bis 31. Juli 2026 geduldet – als behördliche Kulanz, ohne Änderung des Gesetzes.
  • Lücke: Rund 29.500 Einrichtungen gelten als pflichtig. Zum 2. April 2026 waren 15.477 im BSI-Portal registriert.
  • Haftung: Die Registrierung ist bußgeldbewehrt (bis 500.000 Euro). Die Geschäftsleitung muss Risikomanagement umsetzen und überwachen und haftet bei schuldhafter Pflichtverletzung gegenüber der eigenen Gesellschaft.
  • Diese Woche: Betroffenheit prüfen, ELSTER-/MUK-Zugang klären, Registrierung im BSI-Portal abschließen und den Vorgang dokumentieren.

Verwandt:Die KI-Aufsicht in Deutschland hat jetzt eine Adresse  /  Behördenstopp für ein KI-Modell: Die Lehre für den Mittelstand

Die Frist ist gelaufen, die Pflicht bleibt

Am 6. Dezember 2025 trat das NIS-2-Umsetzungsgesetz in Kraft. Die Registrierungspflicht für wichtige und besonders wichtige Einrichtungen läuft seither über das novellierte BSI-Gesetz (BSIG). Für Einrichtungen, die ab Inkrafttreten betroffen waren, endete die gesetzliche Drei-Monats-Frist am 6. März 2026.

Das BSI formuliert es klar: Die gesetzliche Registrierungsfrist ist abgelaufen. Wer betroffen und unregistriert ist, soll umgehend im BSI-Portal nachziehen. Eine gesetzliche Fristverlängerung fehlt. Fachberichte und ein von Heise Online ausgewertetes Verbändeschreiben beschreiben eine behördliche Duldung von Nachmeldungen bis zum 31. Juli 2026: Das BSI erwarte, dass ausstehende Registrierungen bis dahin abgeschlossen sind. Juristisch bleibt die Pflicht seit dem 6. März unberührt – die Kulanz ändert den Bußgeldtatbestand nicht.

Für Geschäftsführer im Mittelstand zählt der praktische Kalender: Bis Ende Juli 2026 sollte die Registrierung erledigt sein. Danach steigt das Risiko spürbarer Aufsicht. Die Akte steht schon jetzt auf „Pflicht verletzt“, sobald die Betroffenheit greift.

15.477
Registrierungen im BSI-Portal zum Stand 2. April 2026 – bei rund 29.500 erwarteten pflichtigen Einrichtungen
Quelle: BSI, „NIS-2 in Zahlen“, Auswertung zum 02.04.2026 (nächste Aktualisierung laut BSI voraussichtlich 31.07.2026)

Die Lücke ist greifbar. Von den rund 29.500 Einrichtungen, die das BSI als regulierten Kreis nennt, hatten sich zum 2. April 2026 nur 15.477 im Portal registriert – darunter 9.894 wichtige und 5.583 besonders wichtige Einrichtungen. Heise berichtete unter Berufung auf das BSI später von knapp 18.500 Registrierungen bis Ende Mai. Auch dann fehlt noch ein erheblicher Teil. Die nächste offizielle Statistik-Aktualisierung plant das BSI voraussichtlich zum 31. Juli 2026.

Betrifft mich das? Die Prüfung dauert Minuten

Was ist NIS-2? NIS-2 ist eine EU-Richtlinie für Cybersicherheit, die Deutschland mit dem NIS-2-Umsetzungsgesetz in nationales Recht überführt hat. Sie verpflichtet Unternehmen bestimmter Sektoren ab einer festgelegten Größe dazu, sich beim BSI zu registrieren, Risikomanagement zu betreiben und erhebliche Sicherheitsvorfälle zu melden. Die Verantwortung dafür liegt ausdrücklich bei der Geschäftsleitung.

Wer wartet, bis das BSI von selbst anruft, verkennt das System: Die Betroffenheit prüft das Unternehmen selbst. Das BSIG erfasst wichtige und besonders wichtige Einrichtungen in den Sektoren der Anlagen 1 und 2 – von Energie und Transport über Gesundheit und digitale Dienste bis zu verarbeitendem Gewerbe. Entscheidend sind oft Größe und Sektor zugleich. Besonders wichtige Einrichtungen sind unter anderem Betreiber kritischer Anlagen sowie größere Unternehmen in den Hochrisikosektoren. Domänen- und DNS-Dienste können unabhängig von der Unternehmensgröße betroffen sein.

Frage Was Sie prüfen Nächster Schritt
Sektor Tätigkeit in Anlage 1 oder 2 BSIG? BSI-Betroffenheitsprüfung starten
Größe Besonders wichtig: ab 250 Mitarbeitern oder über 50 Mio. Euro Umsatz und über 43 Mio. Euro Bilanzsumme (nur Anlage 1).
Wichtig: ab 50 Mitarbeitern oder Umsatz und Bilanzsumme jeweils über 10 Mio. Euro (Anlagen 1 und 2).
Zahlen aus letztem Abschluss heranziehen
Sonderfälle KRITIS, DNS, Domain-Registry, digitale Dienste Fachprüfung oder Rechtsberatung
Ergebnis „ja“ Registrierungspflicht nach § 33 BSIG MUK + BSI-Portal diese Woche

Quelle: Größenschwellen nach § 28 Abs. 1 Nr. 4 und Abs. 2 Nr. 3 BSIG; Registrierungspflicht nach § 33 BSIG. Für KRITIS-Betreiber, Vertrauensdienste, TLD-Registries und DNS-Anbieter gelten die Schwellen nicht – sie sind größenunabhängig erfasst (§ 28 Abs. 1 Nr. 1 und 2). Die Online-Betroffenheitsprüfung des BSI ist unverbindlich – die rechtliche Einordnung bleibt beim Unternehmen.

Praktisch reicht oft die kostenlose Online-Betroffenheitsprüfung des BSI als Einstieg. Sie ist unverbindlich, gibt aber in wenigen Minuten eine belastbare Richtung. Wer „ja“ oder „unklar“ herausbekommt, sollte die Registrierung vorbereiten und bei Unsicherheit Steuerberater oder spezialisierte Rechtsberatung einbeziehen – bevor die Duldungsfrist endet.

Registrierung in zwei Schritten – und was sie kostet

Das Verfahren ist zweistufig und digital. Schritt eins: Zugang über „Mein Unternehmenskonto“ (MUK) mit ELSTER-Organisationszertifikat. Viele Mittelständler haben das Zertifikat bereits für die Finanzverwaltung. Fehlt es, ist die Beantragung der Flaschenhals – und der Grund, warum Registrierungen oft hängen bleiben.

Schritt zwei: Registrierung im BSI-Portal unter portal.bsi.bund.de. Anzugeben sind unter anderem Name und Rechtsform, Kontaktdaten inklusive öffentlicher IP-Bereiche, Sektor bzw. Branche, EU-Mitgliedstaaten mit Dienstleistung und zuständige Aufsichtsbehörden. Das Portal dient danach auch als Meldestelle für erhebliche Sicherheitsvorfälle.

Die Registrierung selbst ist gebührenfrei. Kosten entstehen intern: Zeit der IT und der Geschäftsleitung, Klärung von Sektor und Schwellen, ggf. externe Prüfung. Steht MUK und ist die Betroffenheit geklärt, dauert die reine Portal-Meldung oft nur wenige Stunden. Technische Schutzmaßnahmen gehören zum Gesamtpaket – für die Registrierung reichen korrekte Stammdaten und der Zugang.

Bußgeld, Haftung, Chefpflicht: Was wirklich greift

Unterlassene oder unrichtige Registrierung ist eine Ordnungswidrigkeit. Nach § 65 Abs. 2 Nr. 6 in Verbindung mit Abs. 5 Nr. 5 BSIG kann das Bußgeld bis zu 500.000 Euro betragen. Die höheren Rahmen von bis zu 10 Millionen Euro (besonders wichtige Einrichtungen) bzw. 7 Millionen Euro (wichtige Einrichtungen) greifen vor allem bei Verstößen gegen Risikomanagement und Meldepflichten. Ab einem Gesamtumsatz von über 500 Millionen Euro tritt eine umsatzbezogene Obergrenze daneben.

Persönliche Haftung meint im BSIG vor allem die Binnenhaftung der Geschäftsleitung: Nach § 38 müssen Geschäftsleitungen die Risikomanagementmaßnahmen nach § 30 umsetzen und überwachen. Verletzen sie diese Pflichten schuldhaft, haften sie der eigenen Einrichtung nach den gesellschaftsrechtlichen Regeln der jeweiligen Rechtsform. Zusätzlich schreibt § 38 Abs. 3 BSIG regelmäßige Schulungen der Geschäftsleitung zu Cyberrisiken vor. Die Pflichtenkette endet damit im Chefbüro und muss dort dokumentiert sein.

Für den Geschäftsführer ohne Rechtsabteilung heißt das: Registrierung und Betroffenheitsentscheidung gehören in die Akten der Leitung. Ohne nachvollziehbare Prüfung fehlt der Entlastungsnachweis. Fehlt die Registrierung, kann das BSI nach § 33 Abs. 3 die Einrichtung im Einvernehmen mit anderen Aufsichtsbehörden auch selbst registrieren – die Aufsicht startet dann von außen.

Was die Geschäftsführung diese Woche erledigt

Der Nachrichtenanlass ist eng: Bis 31. Juli 2026 läuft die in Fachkreisen beschriebene Duldungsphase aus. Ein realistischer Wochenplan für den Mittelstand sieht so aus:

  • Tag 1: Online-Betroffenheitsprüfung des BSI durchlaufen. Ergebnis und herangezogene Kennzahlen protokollieren (Mitarbeiter, Umsatz, Bilanz, Sektor).
  • Tag 1 bis 2: ELSTER-Organisationszertifikat und MUK-Zugang prüfen. Fehlt der Zugang, sofort beantragen – das ist der kritische Pfad.
  • Tag 2 bis 3: Verantwortliche Kontaktstelle und Kontaktperson benennen. IP-Bereiche und Sektorangaben mit IT und Controlling abstimmen.
  • Tag 3 bis 4: Registrierung im BSI-Portal abschließen. Bestätigung speichern. Geschäftsleitung über Ergebnis und offene NIS-2-Pflichten (Meldung, Risikomanagement, Schulung) informieren.
  • Tag 5: Interne To-do-Liste für die nächsten 90 Tage: Vorfallsmeldung, Risikoanalyse, Schulungstermin der Geschäftsleitung. Technische Maßnahmen priorisieren, parallel zur Registrierung.

Wer die Duldung verstreichen lässt, bleibt in der Pflicht und im Bußgeldrisiko. Wer jetzt registriert, verschafft der Organisation die Grundlage für Melde- und Aufsichtsprozesse. Für den Mittelstand ohne CISO ist das der pragmatische Einstieg: erst im Register stehen, dann die Substanz nachziehen – dokumentiert und von der Geschäftsleitung getragen.

Häufige Fragen

Ist die Frist bis 31. Juli 2026 gesetzlich verlängert worden?

Die gesetzliche Registrierungsfrist endete am 6. März 2026 und wurde im Gesetzestext nicht verlängert. Fachberichte beschreiben eine behördliche Duldung von Nachmeldungen bis 31. Juli 2026. Das BSI fordert auf seinen Seiten die umgehende Registrierung. Die Pflicht aus § 33 BSIG besteht unverändert.

Wie hoch ist das Bußgeld nur für die fehlende Registrierung?

Für Verstöße gegen die Registrierungspflicht sieht § 65 BSIG unter anderem Geldbußen bis 500.000 Euro vor. Die höheren Höchstbeträge (bis 10 Mio. Euro bzw. 7 Mio. Euro) betreffen vor allem andere Pflichten wie Risikomanagement und Meldungen. Ob und wann das BSI bußgeldert, liegt im Vollzug – die Rechtsgrundlage steht.

Haftet der Geschäftsführer persönlich, wenn die Registrierung fehlt?

§ 38 BSIG knüpft die persönliche Binnenhaftung vor allem an die Pflicht, Risikomanagementmaßnahmen umzusetzen und zu überwachen. Die Registrierung ist eine Pflicht der Einrichtung und bußgeldbewehrt. Fehlt sie, dokumentiert das oft Organisationsversagen – und die Geschäftsleitung muss die Gesamtumsetzung steuern und nachweisen können.

Was kostet die Registrierung beim BSI?

Das BSI-Portal erhebt für die NIS-2-Registrierung keine Gebühr. Aufwand entsteht intern (MUK/ELSTER, Datenklärung, ggf. externe Prüfung). Wer die Betroffenheit unklar lässt, riskiert teurere Nacharbeit und Bußgeldrisiko – die Portalgebühr ist dabei der kleinste Posten.

Reicht die BSI-Betroffenheitsprüfung als Nachweis?

Sie ist ein unverbindliches Hilfsmittel und ein guter Start. Die rechtliche Einordnung und die Registrierungsentscheidung bleiben beim Unternehmen. Speichern Sie Ergebnis, Datum und verwendete Unternehmensdaten – das hilft bei interner Dokumentation und gegenüber Beratern.

Weiterlesen auf MyBusinessFuture

MyBusinessFutureData-Act-Durchführungsgesetz: Was deutsche IoT-Hersteller bis September 2026 erledigen müssenMyBusinessFutureE-Rechnungs-Pflicht 2028: 18 Monate für die Mittelstand-BuchhaltungMyBusinessFutureEU AI Act: Was der Mittelstand kennzeichnen muss

Mehr aus dem MBF Media Netzwerk

cloudmagazinNIS2 und DORA sauber trennen: Compliance-Cluster in KubernetesDigital ChiefsPersönliche Haftung: CIOs vor NIS2 und DORA schützenSecurityTodayWas ist NIS2? Definition, Pflichten und Haftung

Bildquelle: KI-generiert (Juli 2026)

MBF Media Newsletter

Das monatliche Briefing für Entscheider

Einmal im Monat bündelt der MBF Media Newsletter das Wichtigste aus cloudmagazin, MyBusinessFuture, Digital Chiefs und SecurityToday, kuratiert von der Redaktion.

25.000 IT- und Business-Entscheider lesen diesen Newsletter. Lesen Sie mit.

Kostenfrei abonnieren
MBF Media Newsletter, aktuelle Ausgabe auf dem iPhone
Ein Magazin der evernine media GmbH
Das Entscheider-Magazin für den DACH-Mittelstand