NIS2 in Deutschland: Wer die Registrierungsfrist verpasst hat, muss jetzt handeln
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft – ohne jede Übergangsfrist. Die anschließende dreimonatige Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI) endete bereits am 6. März 2026. Wer bis heute nicht registriert ist, hat damit bereits einen eigenständigen Bußgeldtatbestand erfüllt – unabhängig davon, ob darüber hinaus weitere Pflichten erfüllt wurden. Für rund 29.500 betroffene Unternehmen in Deutschland ist das kein theoretisches Risiko mehr, sondern eine akute Frage: Wie lässt sich eine verpasste Frist jetzt noch sauber nachholen?
Die Zeitleiste im Überblick
Wer betroffen ist
Das Gesetz unterscheidet zwischen "besonders wichtigen Einrichtungen" – etwa im Energie-, Gesundheits- oder Telekommunikationssektor – und "wichtigen Einrichtungen", zu denen unter anderem Post, Lebensmittelproduktion, Maschinenbau und Forschungseinrichtungen zählen. Für viele mittelständische Unternehmen ist NIS2 die erste verbindliche gesetzliche Cybersicherheitspflicht überhaupt, mit der sie konfrontiert sind.
Die zentralen Pflichten im Überblick
- § 28 BSIG – Betroffenheitsprüfung: Unternehmen müssen selbst feststellen, ob sie in den Anwendungsbereich fallen.
- § 30 BSIG – Risikomanagement: Verpflichtende technische und organisatorische Maßnahmen, einschließlich eines Risikomanagements für die eigene Lieferkette.
- § 32 BSIG – Meldepflichten: Erhebliche Sicherheitsvorfälle müssen innerhalb enger Fristen an das BSI gemeldet werden.
- § 38 BSIG – Pflichten der Geschäftsleitung: Die Unternehmensleitung muss Risikomanagementmaßnahmen persönlich billigen und deren Umsetzung überwachen – mit potenzieller persönlicher Haftung.
- § 65 BSIG – Bußgelder: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Was tun, wenn die Registrierungsfrist bereits verpasst wurde?
Die Registrierung über das Melde- und Unterrichtungskanal-Portal (MUK) unter muk.bsi.bund.de ist auch nach Ablauf der Frist weiterhin möglich – und ausdrücklich ratsam. Eine verspätete, aber eigenständig nachgeholte Registrierung signalisiert dem BSI aktive Bemühung um Compliance, während eine fortgesetzte Nichtregistrierung das Risiko einer behördlichen Beanstandung zusätzlich erhöht. Für die Registrierung wird ein ELSTER-Organisationszertifikat benötigt; wer dieses noch nicht besitzt, sollte es umgehend bei der Finanzverwaltung beantragen, da die Ausstellung mehrere Werktage in Anspruch nehmen kann.
Wichtig: Die Europäische Kommission hat wegen der verspäteten deutschen Umsetzung der NIS2-Richtlinie bereits ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet. Das ändert nichts an der Gültigkeit der nationalen Pflichten – betroffene Unternehmen können sich also nicht auf die verspätete Umsetzung berufen, um eigene Verzögerungen zu rechtfertigen.
Die Lieferketten-Pflicht: Warum das auch Software-Anbieter betrifft
Ein oft unterschätzter Aspekt von § 30 BSIG ist die Pflicht zum Risikomanagement in der eigenen Lieferkette. Betroffene Unternehmen müssen nicht nur ihre eigene IT-Sicherheit bewerten, sondern auch die ihrer wesentlichen Dienstleister und Software-Anbieter – darunter auch Cloud- und SaaS-Anbieter, über die geschäftskritische Prozesse wie die Abrechnung laufen. Wer als NIS2-betroffenes Unternehmen seine Software-Lieferanten bewertet, sollte deshalb gezielt nach Zertifizierungen, Sicherheitskonzepten und Ansprechpartnern für Sicherheitsvorfälle fragen, statt diese Prüfung erst bei der nächsten Betriebsprüfung nachzuholen.
Checkliste für betroffene Unternehmen
- 01Betroffenheit klären – Sektor, Mitarbeiterzahl und Umsatz gegen die gesetzlichen Schwellenwerte prüfen.
- 02Registrierung nachholen – auch nach Fristablauf über das BSI-Portal MUK, inklusive ELSTER-Organisationszertifikat.
- 03Risikomanagement dokumentieren – technische und organisatorische Maßnahmen nach § 30 BSIG nachvollziehbar festhalten.
- 04Lieferkette einbeziehen – auch Software- und Cloud-Anbieter auf ihre Sicherheitsmaßnahmen hin bewerten.
- 05Geschäftsleitung einbinden – Billigung und Überwachung der Maßnahmen nach § 38 BSIG dokumentieren, wegen persönlicher Haftungsrisiken.
Sicherheit als Teil der Anbieterwahl
Für Unternehmen, die im Rahmen ihrer NIS2-Lieferkettenpflicht auch ihre Software-Anbieter bewerten müssen, ist der Betrieb auf Servern in einem TÜV-zertifizierten Rechenzentrum in Nürnberg ein nachvollziehbarer Ausgangspunkt für die eigene Dokumentation. Das ersetzt keine individuelle Risikobewertung des eigenen NIS2-Beraters, kann aber ein Baustein in der Lieferketten-Prüfung sein.
Beratungsgespräch vereinbarenFazit
Die Registrierungsfrist beim BSI ist für viele betroffene Unternehmen bereits verstrichen, ohne dass daraus automatisch die schlimmsten Konsequenzen folgen müssen – vorausgesetzt, es wird jetzt nachgeholt statt weiter ausgesessen. Wer die eigene Betroffenheit noch nicht geprüft hat, sollte das kurzfristig nachholen, da die fehlende Registrierung selbst ein eigenständiger Bußgeldtatbestand ist, unabhängig von den materiellen Sicherheitspflichten. Für alle anderen gilt: Die Lieferkettenpflicht nach § 30 BSIG macht NIS2 auch für Unternehmen relevant, die selbst nicht direkt in den Anwendungsbereich fallen, aber als Zulieferer oder Dienstleister für ein betroffenes Unternehmen tätig sind.
Häufige Fragen zu NIS2 in Deutschland
Was passiert, wenn die Registrierungsfrist beim BSI verpasst wurde?
Die fehlende Registrierung ist ein eigenständiger Bußgeldtatbestand. Eine Registrierung ist aber auch nach Fristablauf weiterhin möglich und ausdrücklich ratsam, da sie dem BSI aktive Bemühung um Compliance signalisiert.
Welche Unternehmen sind von NIS2 in Deutschland betroffen?
Grundsätzlich Unternehmen ab 50 Mitarbeitenden und 10 Millionen Euro Umsatz oder Bilanzsumme in einem der 18 erfassten Sektoren, darunter Energie, Gesundheit, Telekommunikation, Maschinenbau und Lebensmittelproduktion.
Wie hoch können Bußgelder bei Verstößen gegen NIS2 ausfallen?
Nach § 65 BSIG drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Die konkrete Höhe richtet sich nach Art und Schwere des jeweiligen Verstoßes.
Betrifft NIS2 auch Unternehmen, die nicht direkt in den Anwendungsbereich fallen?
Indirekt ja. Betroffene Unternehmen müssen nach § 30 BSIG auch das Risiko in ihrer Lieferkette bewerten, wozu Software- und Cloud-Anbieter gehören können. Wer als Zulieferer für ein NIS2-betroffenes Unternehmen tätig ist, wird deshalb häufig mit entsprechenden Sicherheitsanfragen konfrontiert.
Dieser Beitrag dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Für eine verbindliche Einschätzung zur eigenen Betroffenheit und den daraus folgenden Pflichten empfiehlt sich die Rücksprache mit einer auf IT-Sicherheitsrecht spezialisierten Kanzlei.
