EN
Am 6. März 2026 lief die NIS2-Registrierungsfrist ab. Von geschätzten 29.850 pflichtigen Einrichtungen haben sich 11.500 rechtzeitig beim Bundesamt für Sicherheit in der Informationstechnik (BSI) angemeldet. 18.350 fehlen. Das BSI erwartet weitere Nachmeldungen und macht deutlich, dass die eigentlichen Konsequenzen jetzt erst beginnen.
Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) im Dezember 2025 begann eine dreimonatige Frist: Bis zum 6. März 2026 mussten sich alle als wichtig oder besonders wichtig eingestuften Einrichtungen beim BSI-Portal anmelden. Die Anforderung ist gesetzlich eindeutig. Die Realität am Stichtag war es nicht. Rund 11.500 Einrichtungen haben sich registriert. Die Schätzungen des BSI gehen von ca. 30.000 registrierungspflichtigen Organisationen aus. Das bedeutet: Über 60 % der betroffenen Unternehmen und Behörden haben die Frist eingehalten – nach einem letzten Anmeldeschub von rund 6.600 Unternehmen kurz vor Ablauf der Deadline. 18.350 Einrichtungen fehlen weiterhin. Das BSI erwartet weitere Nachmeldungen und zeigt sich bemerkenswert optimistisch: Die Behörde wertet den Anstieg in den letzten Tagen als Signal, dass viele Registrierungen noch folgen werden. Gleichzeitig räumt das BSI ein, dass die zweistufige Registrierung im Einzelfall aufwendig sei. Eine Aussage, die viel erklärt, und die Kernfrage nicht beantwortet: Wie viele Unternehmen wissen überhaupt, dass sie betroffen sind?
Unkenntnis statt Verweigerung: Warum die Registrierungsquote so niedrig blieb
Wer die Ursachen allein in mangelndem Verantwortungsbewusstsein sucht, missverstehe die Lage. Vier strukturelle Faktoren erklärten, warum die Registrierungsquote so niedrig geblieben ist:
- Unklarheit über Betroffenheit: Ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in einem der 18 regulierten Sektoren greift NIS2 – im Prinzip. In der Praxis ist die Selbsteinschätzung komplex, die Sektorabgrenzungen sind auslegungsbedürftig, und viele Mittelständler haben das Gesetz schlicht nicht auf dem Radar.
- Regulatorische Überlastung: NIS2 ist kein Einzelereignis. DORA, CRA, KRITIS-DachG, DSGVO – die regulatorische Dichte ist in den vergangenen Jahren erheblich gestiegen. In diesem Umfeld priorisieren Unternehmen zwangsläufig – und NIS2 fiel für viele durch das Raster.
- Umsetzungsverzögerung beim Gesetzgeber selbst: Das NIS2UmsuCG hat eine turbulente Entstehungsgeschichte hinter sich. Mehrfach verschoben, kontrovers diskutiert – die späte Verabschiedung signalisierte Unternehmen implizit: Es eilt nicht.
- Fehlende interne Ressourcen: IT-Sicherheit und regulatorische Compliance konkurrieren in den meisten Unternehmen um dieselben begrenzten Ressourcen. Wer kein dediziertes Compliance-Team hat, kaempft an mehreren Fronten gleichzeitig.
Was auf dem Spiel steht: Bußgelder, Haftung, Handlungsdruck
Das BSI hat angekündigt, in Kürze sektorspezifische Daten zur Registrierungsquote zu veröffentlichen. Parallel beginnt die Phase der aktiven Aufsicht. Was das in der Praxis bedeutet, ist im NIS2UmsuCG klar geregelt:
- Die Pflicht besteht fort. Der 6. März war eine Frist, kein Ablaufdatum. Wer nicht registriert ist, ist weiterhin im Verzug.
- Bußgelder von bis zu 10 Millionen Euro sind möglich – oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ausfällt. Für mittelständische Unternehmen können das existenzrelevante Summen sein.
- Das BSI prüft aktiv. Die Behörde hat klar signalisiert, dass sie nicht nur auf Selbstauskunft wartet, sondern die Umsetzung proaktiv beobachtet.
- Geschäftsführende haften persönlich. NIS2 verankert erstmals explizit die Managementverantwortung für Cybersicherheit im deutschen Recht. Das ist kein Randdetail – es verändert die Risikorechnung für Führungskräfte grundlegend.
Das Risiko wächst still: nicht mit einer Abmahnung, sondern im Moment eines Sicherheitsvorfalls, einer Prüfung oder einer Meldepflicht, die man nicht erfüllt hat – und von der man glaubte, sie gelte einem nicht.
Erste Schritte: Was jetzt zu tun ist
Der Rückstand ist aufholbar. Wer jetzt mit Struktur vorgeht, kann sich in einem überschaubaren Zeitrahmen in eine vertretbare Compliance-Position bringen. Fünf Maßnahmen mit unmittelbarer Wirkung:
- Betroffenheit klären: Das BSI räumt selbst ein, dass die Betroffenheitsprüfung komplex ist. Wer seine Einstufung noch nicht vorgenommen hat, sollte dies als erste und dringlichste Maßnahme angehen. Spezialisierte Tools wie nis2compliant.app führen strukturiert durch diesen Prozess.
- Registrierung nachholen: Das BSI-Portal bleibt zugänglich und erwartet explizit weitere Nachmeldungen. Eine verspätete Registrierung ist rechtlich nicht folgenlos – aber deutlich besser als eine ausbleibende.
- Risikobewertung durchführen: NIS2 setzt ein funktionierendes Risikomanagement voraus. Unternehmen ohne strukturierte ISMS-Grundlage sollten diesen Aufbau nicht länger zurückstellen.
- Meldeprozesse etablieren: NIS2 schreibt eine Erstmeldung innerhalb von 24 Stunden vor. Wer dafür keine etablierten Prozesse hat, ist im Ernstfall nicht handlungsfähig – unabhängig davon, wie gut die technische Sicherheitslage ist.
- Lieferkette überprüfen: NIS2 entfaltet Wirkung in der gesamten Lieferkette. Dienstleister und Zulieferer wichtiger Einrichtungen können indirekt erfasst werden – ein Punkt, der in vielen Unternehmen noch nicht angekommen ist.
Kein Papiertiger: Warum NIS2 mehr ist als eine weitere Compliance-Pflicht
Cyberangriffe auf kritische Infrastrukturen haben in Europa in den vergangenen Jahren erheblich zugenommen. NIS2 ist keine Antwort auf eine theoretische Bedrohung – sie ist eine regulatorische Reaktion auf eine bereits eingetretene Realität.
Was das Gesetz im Kern fordert – ein Verständnis der eigenen kritischen Systeme, funktionsfähige Incident-Response-Prozesse, prüffähige Dokumentation –, das sind keine neuen Erfindungen der Bürokratie. Es sind Grundfragen der unternehmerischen Resilienz, die viele Unternehmen zu lange vertagt haben.
Unternehmen, die NIS2 als Anlass nehmen, ihre Sicherheitsarchitektur grundlegend zu überprüfen, investieren nicht in Compliance – sie investieren in Widerstandsfähigkeit. Der Aufwand dafür ist kalkulierbar. Der Schaden eines ungeregelten Vorfalls nicht.
NIS2-Compliance strukturiert umsetzen: Der Ansatz von Swiss GRC
Wer NIS2 ernstnimmt, braucht mehr als eine ausgefüllte Selbstauskunft. Das Gesetz verlangt dauerhaft funktionierende Prozesse, prüffähige Dokumentation und die Fähigkeit, Compliance gegenüber Aufsichtsbehörden jederzeit nachweisen zu können. Die NIS2-Lösung von Swiss GRC wurde für genau diesen Zweck entwickelt: Risiken bewerten, Maßnahmen steuern, Compliance zentral dokumentieren – strukturiert nach den Leitlinien des BSI, in einer einzigen Plattform.
- NIS2-Anforderungen strukturiert abbilden: Anforderungen werden in operative Kontrollen und Workflows übersetzt, unmittelbar orientiert an den BSI-Standards und Orientierungshilfen – keine generischen Frameworks, sondern regulatorisch präzise Umsetzung.
- Compliance-Lücken erkennen und schließen: Lückenanalysen, Maßnahmenpriorisierung und Fortschritts-Tracking geben Führungskräften und IT-Verantwortlichen jederzeit Klarheit über den Compliance-Stand – und worauf es als nächstes ankommt.
- Auditfähige Dokumentation auf Knopfdruck: Prüffähige Reports für Management, interne Revision und Aufsichtsbehörden sind jederzeit abrufbar – strukturiert, nachvollziehbar, behördentauglich.
- DSGVO-konform und EU-gehostet: DSGVO-konforme Datenhaltung mit EU-Hosting, hohe Benutzerakzeptanz und ein schlanker Implementierungspfad minimieren den operativen Aufwand für IT und Administration.
NIS2 Readiness Check: In wenigen Minuten Klarheit schaffen
Wo steht Ihr Unternehmen heute? Der NIS2 Readiness Check von Swiss GRC liefert in wenigen Minuten eine strukturierte Standortbestimmung: aktueller Compliance-Status, kritische Lücken, konkrete nächste Schritte.
Die Frist ist verstrichen. Die Aufsicht ist wach. Wer jetzt Klarheit schafft, ist besser aufgestellt als jene, die weiter abwarten – und deutlich besser als jene, die erst nach einem Vorfall reagieren.
