NIS2 Registrierungsfrist abgelaufen – was ab jetzt gilt
Die Frist zur Registrierung beim BSI ist seit dem 6. März 2026 abgelaufen. Rund 29.000 Unternehmen in Deutschland hätten sich bis dahin beim Bundesamt für Sicherheit in der Informationstechnik registrieren müssen. Wer das versäumt hat, steht jetzt unter Druck. Wer registriert ist, steht erst am Anfang.
Das Wichtigste auf einen Blick
- Die Registrierungspflicht gilt seit dem 6. Dezember 2025 und betrifft Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in Sektoren wie Energie, Gesundheit, Transport und digitale Infrastruktur – das BSI kann bei Versäumnis Bußgelder verhängen, ohne dass ein Sicherheitsvorfall eingetreten sein muss.
- Die Registrierung ist der formale Einstieg, keine abgeschlossene Compliance Maßnahme: Risikomanagementpflichten, Meldewege für Sicherheitsvorfälle und Anforderungen an die Absicherung der Lieferkette gelten unabhängig davon.
- Für Unternehmen im Finanzbereich gilt eine Sonderregel: Wer als Finanzunternehmen bereits Vorfälle nach der europäischen Finanzstabilitätsverordnung DORA an die BaFin meldet, ist von der parallelen Meldung nach NIS2 an das BSI befreit.
Der Hintergrund
Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2UmsuCG, ist am 6. Dezember 2025 in Kraft getreten. Es setzt die europäische NIS2-Richtlinie in deutsches Recht um, die die Anforderungen an Cybersicherheit für Unternehmen in kritischen und wichtigen Sektoren europaweit anheben soll. Mit dem Gesetz ist der Kreis der betroffenen Unternehmen deutlich gewachsen: Erfasst sind nun alle Einrichtungen in bestimmten Sektoren, die mindestens 50 Personen beschäftigen oder mehr als 10 Millionen Euro Jahresumsatz erzielen. Das BSI, das Bundesamt für Sicherheit in der Informationstechnik, hat seit dem 6. Januar 2026 ein neues Melde- und Informationsportal betrieben, über das die Registrierung abgewickelt wird.
Die dreimonatige Frist zur Erstregistrierung endete am 6. März 2026. Für besonders wichtige Einrichtungen können Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes anfallen, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent. Entscheidend: Das BSI muss keinen konkreten Sicherheitsvorfall abwarten, bevor es handelt.
Zeitgleich hat das Institut der Wirtschaftsprüfer seinen Prüfungsstandard IDW PS 983 in einer Neufassung veröffentlicht, der interne Revisoren zu einer deutlich engeren Kontrolle von Auslagerungsrisiken verpflichtet. Vorgelegte Zertifikate von Dienstleistern reichen danach nicht mehr aus; es braucht belastbare Auditrechte und eine lückenlose Dokumentation. Das hat direkte Auswirkungen auf die Vertragsgestaltung gegenüber IT Dienstleistern.
Was bedeutet das konkret?
Wir sind noch nicht registriert. Was tun wir jetzt? Die Nachregistrierung ist trotz Fristablauf möglich und sollte sofort angegangen werden. Dabei empfiehlt sich eine rechtliche Prüfung, welche Konsequenzen das Fristversäumnis im konkreten Fall hat, bevor man ohne Dokumentation auf das BSI zugeht.
Wir sind registriert. Sind wir damit NIS2-konform? Nein. Die Registrierung erfüllt eine Meldepflicht, ersetzt aber keine inhaltliche Compliance. Risikomanagement nach § 30 NIS2UmsuCG, Incident-Response-Strukturen, Anforderungen an Lieferanten und die persönliche Haftung der Geschäftsleitung bleiben davon unberührt.
Wir sind ein IT-Dienstleister für regulierte Unternehmen. Betrifft uns das auch direkt? Möglicherweise ja. IT-Dienstleister können als wichtige Einrichtungen im Sektor digitale Infrastruktur selbst in den Anwendungsbereich fallen. Außerdem verlangen Ihre Kunden zunehmend Audit-Rechte und Nachweise über technische Sicherheitsmaßnahmen, die über bisherige Vertragspraxis hinausgehen.
Wo Bitkom Consult ansetzt
Die Umsetzung von NIS2 ist operativ anspruchsvoll, weil sie Cybersicherheit, Compliance und Geschäftsleiterverantwortung zusammenbringt. Bitkom Consult begleitet Unternehmen bei der Betroffenheitsanalyse, der Aufstellung eines risikobasierten Sicherheitsmanagements und der Vertragsgestaltung gegenüber Dienstleistern. Als Teil des Bitkom Verbands verfolgen wir die Prüfpraxis des BSI aus nächster Nähe und wissen, worauf Behörden tatsächlich achten. Ob als einmaliges Projekt oder als laufende Begleitung: wir besprechen, was in Ihrer Situation passt.
Wir klären, ob Ihr Unternehmen betroffen ist, welche Schritte jetzt prioritär sind und wie Sie die Anforderungen strukturiert angehen können.
