Wenn Sie diesen Beitrag lesen, haben Sie vermutlich eine konkrete Sorge: Ihr Unternehmen könnte unter NIS2 fallen, und der formale Stichtag ist bereits vorbei. Die gute Nachricht vorweg: Die verpasste Frist ist kein Punkt, ab dem nichts mehr zu retten wäre. Die schlechte: Abwarten ist die teuerste aller Optionen, weil sich die Versäumnisse mit jedem Monat in der Haftungslage der Geschäftsführung niederschlagen.
Wir ordnen im Folgenden ein, was seit dem Inkrafttreten gilt, wer betroffen ist, was die verpasste Registrierung konkret bedeutet – und welche Sofortmaßnahmen in den ersten 30 Tagen tatsächlich zählen. Hinweis: Dieser Beitrag ist eine fachliche Einordnung aus Sicht eines IT-Dienstleisters und ersetzt keine Rechtsberatung. Für die individuelle Einstufung sollten Sie im Zweifel einen Fachanwalt für IT-Recht hinzuziehen.
Der Stand am 26. Juni 2026 — NIS2 ist geltendes Recht
NIS2 ist kein Zukunftsthema mehr, das „irgendwann 2024 oder 2025" kommt. Genau dieser Eindruck hält sich in vielen Unternehmen hartnäckig, weil das deutsche Umsetzungsgesetz lange im Gesetzgebungsverfahren feststeckte. Das ist vorbei.
NIS2UmsuCG seit 06.12.2025 in Kraft
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG), das die EU-Richtlinie (EU) 2022/2555 in deutsches Recht überführt und das BSI-Gesetz umfassend novelliert, ist seit dem 06.12.2025 in Kraft (Quelle: BMI/BSI). Damit gelten die Pflichten zu Registrierung, Risikomanagement und Meldewesen unmittelbar. Der Kreis der betroffenen Einrichtungen ist dabei drastisch gewachsen: von rund 4.500 Einrichtungen unter der alten Regelung auf etwa 29.500 (Quelle: Gesetzesbegründung/BSI). Die meisten dieser zusätzlich betroffenen Unternehmen sind mittelständisch – und vielen ist die Betroffenheit bis heute nicht bewusst.
Warum es keine Übergangsfrist gibt
Anders als bei vielen anderen Regulierungen gibt es bei NIS2 keine pauschale Schon- oder Übergangsfrist, in der Versäumnisse folgenlos blieben. Die Registrierungspflicht beim BSI war mit Frist bis zum 06.03.2026 zu erfüllen. Wer diesen Termin verpasst hat, ist nicht „aus dem Schneider", sondern weiterhin verpflichtet – nur eben verspätet und mit erhöhtem Begründungsdruck.
Kurz gesagt: NIS2 ist seit Dezember 2025 geltendes Recht. Die Pflichten bestehen unabhängig davon, ob Sie sich registriert haben. Die verpasste Frist beseitigt keine Pflicht – sie verschärft die Ausgangslage.
Bin ich überhaupt betroffen? Schwellenwerte und Sektoren
Bevor Sie in Aktionismus verfallen, sollten Sie die Betroffenheit sauber klären. NIS2 kennt zwei zentrale Kategorien regulierter Einrichtungen, dazu die separate Kategorie der Betreiber kritischer Anlagen (vormals KRITIS).
Besonders wichtige vs. wichtige Einrichtungen
Das Gesetz unterscheidet zwischen „besonders wichtigen Einrichtungen" und „wichtigen Einrichtungen". Die Einordnung hängt von Sektor, Mitarbeiterzahl und Umsatz bzw. Bilanzsumme ab. Wichtig: Beide Kategorien unterliegen im Kern denselben Risikomanagement- und Meldepflichten – der Unterschied liegt vor allem in der Intensität der Aufsicht und der Höhe der Bußgeldobergrenze.
| Kategorie | Mitarbeiter | Umsatz / Bilanz | Bußgeldobergrenze |
|---|---|---|---|
| Besonders wichtige Einrichtung | ≥ 250 | > 50 Mio. € Umsatz und > 43 Mio. € Bilanz | bis 10 Mio. € / 2 % Weltumsatz |
| Wichtige Einrichtung | ≥ 50 | > 10 Mio. € Umsatz und > 10 Mio. € Bilanz | bis 7 Mio. € / 1,4 % Weltumsatz |
| Betreiber kritischer Anlagen | anlagenbezogen | Schwellenwerte nach Anlagentyp | zusätzlich erweiterte Pflichten |
Die Schwellenwerte greifen nur, wenn Ihr Unternehmen einem der von NIS2 erfassten Sektoren angehört – etwa Energie, Transport, Gesundheit, Trinkwasser, digitale Infrastruktur, verarbeitendes Gewerbe (u. a. Maschinenbau, Automotive), Lebensmittel, Abfallwirtschaft oder ICT-Dienstleistungsmanagement. Die genaue Sektorenliste ergibt sich aus den Anlagen zum BSIG.
Die Selbsteinstufungspflicht
Eine zentrale, oft übersehene Neuerung: NIS2 setzt auf Selbsteinstufung. Es gibt keinen Bescheid, der Ihnen mitteilt, dass Sie betroffen sind. Jedes Unternehmen muss eigenständig prüfen, ob es unter die Regelung fällt, und sich gegebenenfalls registrieren. Wer fälschlich annimmt, „zu klein" oder „nicht gemeint" zu sein, trägt das Risiko dieser Fehleinschätzung selbst.
Praxis: Ein Maschinenbauer mit 70 Mitarbeitern und 14 Mio. € Umsatz ging davon aus, „zu klein" zu sein. Tatsächlich fällt er als wichtige Einrichtung unter NIS2, weil er die 50-Mitarbeiter-Schwelle in einem erfassten Sektor überschreitet. Die Annahme, klein genug zu sein, ist einer der häufigsten und teuersten Irrtümer.
Was die verpasste Registrierungsfrist konkret bedeutet
Die Registrierung beim BSI ist eine formale Pflicht – sie macht das Unternehmen für die Aufsichtsbehörde als reguliert sichtbar. Wer die Frist zum 06.03.2026 verpasst hat, hat damit nicht etwa eine Pflicht „verwirkt", sondern befindet sich in einem fortdauernden Pflichtverstoß. Die Registrierungspflicht besteht weiter; sie ist unverzüglich nachzuholen.
Branchenschätzungen zeichneten zur Frist ein ernüchterndes Bild: Nur rund 39 % der betroffenen Einrichtungen sollen fristgerecht registriert gewesen sein (Schätzung, u. a. BDO – keine amtliche Zahl). Das bedeutet zweierlei: Erstens sind Sie mit einem Versäumnis nicht allein. Zweitens darf man nicht darauf bauen, dass die Aufsicht angesichts der Masse dauerhaft wegsieht – im Schadens- oder Meldefall ist die fehlende Registrierung ein belastender Umstand.
Entscheidend ist die Reihenfolge der Sorgen: Die verspätete Registrierung selbst lässt sich in Stunden nachholen. Das eigentliche Problem ist das, was hinter der Registrierung steht – ein nachweisbares Risikomanagement, das nicht über Nacht entsteht.
Persönliche Haftung der Geschäftsführung (§ 38 BSIG)
Der Punkt, der NIS2 von früheren IT-Sicherheitsregeln unterscheidet, ist die persönliche Verantwortung der Leitungsebene. § 38 BSIG verpflichtet die Geschäftsleitung, die Risikomanagementmaßnahmen zu billigen, ihre Umsetzung zu überwachen – und sich regelmäßig schulen zu lassen.
Das Entscheidende: Diese Pflicht ist nicht delegierbar. Sie können die operative Umsetzung an die IT-Abteilung oder einen Dienstleister übergeben – die Verantwortung für Billigung und Überwachung bleibt bei der Geschäftsleitung. Wer NIS2 als „IT-Thema" an die Technik abgeschoben hat und selbst nicht im Bilde ist, erfüllt genau diese Kernpflicht nicht.
Praxis: Ein Automotive-Zulieferer mit 280 Mitarbeitern – als besonders wichtige Einrichtung klar betroffen – hatte NIS2 vollständig an die interne IT delegiert. Die Geschäftsführung war zum Inhalt der Pflichten nicht auskunftsfähig. Genau das adressiert § 38 BSIG: Die Leitung muss die Maßnahmen kennen, billigen und überwachen – das lässt sich nicht nach unten weiterreichen.
Bußgelder — Höhe, Logik, Realität
Die Bußgeldrahmen orientieren sich an der DSGVO-Logik und sind umsatzabhängig gestaffelt. Für besonders wichtige Einrichtungen liegt die Obergrenze bei bis zu 10 Mio. € bzw. 2 % des weltweiten Jahresumsatzes (es gilt der höhere Wert), für wichtige Einrichtungen bei bis zu 7 Mio. € bzw. 1,4 % (Quelle: BSIG).
In der Realität ist nicht das theoretische Maximum die wahrscheinlichste Sanktion, sondern die abgestufte Reaktion der Aufsicht: Anordnungen, Nachweisverlangen, im Wiederholungs- oder Vorsatzfall empfindliche Bußgelder. Der gefährlichere Hebel ist häufig indirekt – ein Sicherheitsvorfall, bei dem auffällt, dass weder Registrierung noch Risikomanagement vorlagen. Dann addieren sich aufsichtsrechtliche Folgen, mögliche Leistungskürzungen der Cyberversicherung und Reputationsschaden.
Sofortmaßnahmen in den ersten 30 Tagen
Statt sich in der Frage zu verlieren, was alles versäumt wurde, sollten Sie die ersten 30 Tage strukturiert nutzen. Die folgende Reihenfolge ist nach Haftungsrelevanz priorisiert.
Registrierung nachholen
- Tag 1–3: Betroffenheit final klären. Sektor, Mitarbeiterzahl, Umsatz und Bilanzsumme gegen die Schwellenwerte abgleichen, Einstufung dokumentieren (auch ein begründetes „nicht betroffen" ist ein wertvoller Nachweis).
- Tag 3–7: Beim BSI registrieren. Verspätet, aber unverzüglich – das beendet den fortdauernden Verstoß und ist nach außen das sichtbarste Signal von Handlungswillen.
- Tag 5–10: Geschäftsführung einbinden. Schulung der Leitungsebene terminieren und dokumentieren (§ 38 BSIG), Verantwortlichkeiten schriftlich festlegen.
Risikomanagement und Meldewege dokumentieren
- Tag 7–20: Ist-Aufnahme Risikomanagement. Vorhandene Maßnahmen (Backup, Zugriffskontrolle, Patch-Management, MFA) erfassen und Lücken gegen die NIS2-Mindestanforderungen sichtbar machen.
- Tag 10–20: Meldewege festlegen. Wer meldet im Vorfall innerhalb von 24 Stunden an das BSI, über welchen Kanal, mit welchem Eskalationspfad? Diese Prozesse müssen vor dem ersten Vorfall stehen.
- Tag 15–30: Backup- und Wiederherstellungskonzept prüfen. Getestete, idealerweise unveränderbare Backups sind das Herzstück eines belegbaren Risikomanagements – siehe unsere Backup- und Disaster-Recovery-Lösung.
- Tag 20–30: Lieferkette adressieren. Sicherheitsanforderungen an wesentliche Dienstleister erfassen und vertraglich nachziehen.
Die Meldepflichten selbst sind eng getaktet und sollten als Prozess hinterlegt sein, bevor ein Vorfall eintritt:
| Stufe | Frist ab Kenntnis | Inhalt |
|---|---|---|
| Erstmeldung | 24 Stunden | Frühwarnung: Vorfall bekannt, erster Verdacht |
| Bestätigungsmeldung | 72 Stunden | Bewertung, Schweregrad, Indikatoren |
| Abschlussbericht | 1 Monat | Ursachen, Auswirkungen, Gegenmaßnahmen |
Die Pflichten dahinter — Registrierung ist nur der Anfang
Es lohnt sich, einen verbreiteten Irrtum auszuräumen: Die Registrierung ist nicht das Ziel, sondern die Eintrittskarte. Die eigentliche Substanz von NIS2 liegt in den Risikomanagementpflichten nach §§ 30 f. BSIG. Dazu gehören unter anderem:
- Konzepte für Risikoanalyse und Informationssicherheit
- Bewältigung von Sicherheitsvorfällen inkl. funktionierender Meldewege
- Backup-Management, Notfallwiederherstellung und Krisenmanagement
- Sicherheit der Lieferkette (§ 30 BSIG) – inklusive Anforderungen an Dienstleister
- Zugriffskontrolle, Multi-Faktor-Authentifizierung und Kryptographie-Konzepte
- Maßnahmen zur Cyberhygiene und regelmäßige Schulungen
Diese Anforderungen sind kein Papiertiger. Im Aufsichts- oder Schadensfall wird belegt verlangt, dass sie nicht nur dokumentiert, sondern gelebt werden. Eine vertiefte Einordnung für den Mittelstand bietet unser Beitrag NIS2-Compliance im Mittelstand. Die strukturelle Nähe zu ISO 27001 ist dabei kein Zufall – ein etabliertes ISMS deckt einen Großteil der NIS2-Anforderungen ab.
Wie ein externer Dienstleister den Rückstand aufholt
Der Reflex, jetzt eigenes Personal aufzubauen, scheitert in der Praxis meist an Zeit und Fachkräftemangel. Ein erfahrener Managed-Service-Provider verkürzt den Weg deutlich – vorausgesetzt, er setzt die Maßnahmen nicht nur beratend auf dem Papier auf, sondern betreibt sie auch.
Ehrlich: Die Registrierung ist der kleinste Teil. Entscheidend sind belegbares Risikomanagement, getestete Backups und funktionierende Meldewege. Wir empfehlen, jetzt nicht in Aktionismus zu verfallen, sondern in 30 Tagen die haftungsrelevanten Grundlagen sauber aufzusetzen. Als ISO/IEC 27001:2022 zertifizierter MSP (Zertifikat Nr. 202787) setzen wir die geforderten Maßnahmen nicht nur als Berater auf, sondern betreiben Monitoring, Detektion und Reaktion über ein Managed SOC sowie die Datensicherung im laufenden Betrieb. Das ist der Unterschied zwischen einem Compliance-Ordner im Regal und einer Sicherheit, die im Ernstfall trägt.
Fazit — Handeln schlägt Abwarten
NIS2 ist geltendes Recht, die Frist ist verstrichen, und die Geschäftsführung haftet persönlich. Das klingt unangenehm, ist aber beherrschbar – wenn Sie jetzt strukturiert handeln statt zu verdrängen. Die ersten 30 Tage entscheiden, ob Sie aus einem fortdauernden Verstoß einen dokumentierten Aufholpfad machen.
Verfallen Sie nicht in Panik, aber auch nicht in die bequeme Annahme, „zu klein" oder „nicht gemeint" zu sein. Klären Sie zuerst nüchtern Ihre Betroffenheit, holen Sie die Registrierung nach und bauen Sie das Risikomanagement auf, das Versicherer und Aufsicht im Ernstfall sehen wollen. Wer das in geordneter Reihenfolge angeht, reduziert seine Haftungsrisiken spürbar – und gewinnt nebenbei echte Resilienz gegen Cyberangriffe.
Häufige Fragen
Ist NIS2 in Deutschland bereits geltendes Recht?
Ja. Das NIS2UmsuCG ist seit dem 06.12.2025 in Kraft, die Pflichten gelten unmittelbar, es gibt keine pauschale Übergangsfrist.
Was passiert, wenn ich die BSI-Registrierungsfrist vom 06.03.2026 verpasst habe?
Die Registrierungspflicht besteht weiter; Sie sollten unverzüglich nachregistrieren. Versäumnisse können bußgeldbewehrt sein und verschärfen die Haftungslage der Geschäftsführung.
Hafte ich als Geschäftsführer persönlich?
Ja, § 38 BSIG verpflichtet die Geschäftsleitung persönlich zur Umsetzung und Überwachung des Risikomanagements; diese Pflicht ist nicht auf Dritte delegierbar.
Wie hoch können die Bußgelder ausfallen?
Bis zu 10 Mio. € bzw. 2 % des weltweiten Jahresumsatzes bei besonders wichtigen Einrichtungen, bis zu 7 Mio. € bzw. 1,4 % bei wichtigen Einrichtungen.
Ist mein Unternehmen mit 60 Mitarbeitern betroffen?
Wahrscheinlich ja, wenn Sie in einem der NIS2-Sektoren tätig sind: Ab 50 Mitarbeitern oder 10 Mio. € Umsatz gelten Sie regelmäßig als „wichtige Einrichtung".