NIS2-Registrierung: Das BSI setzt eine letzte Frist bis 31. Juli 2026

6 Min Lesezeit Serie: Compliance-Reihe #NIS2#BSI#Compliance#Meldepflicht#Cybersicherheit

Die erste Frist ist verstrichen, erst knapp 18.500 Einrichtungen sind registriert. Wer unter NIS2 fällt, was die Pflicht umfasst und welche Schritte jetzt zählen.

Inhalt dieses Beitrags
  1. Problem
  2. Kurze Antwort
  3. Wer ist betroffen
  4. Pflichten und Fristen
  5. Registrierung
  6. Risikomanagement
  7. Meldepflichten
  8. Abgelehnte Alternativen und Mythen
  9. Was Sie jetzt tun sollten
  10. Wie Dernium hier hilft
  11. Offene Punkte
  12. Häufige Fragen
  13. Gilt NIS2 auch für kleine und mittlere Unternehmen?
  14. Was passiert, wenn ich die Frist zum 31. Juli 2026 verpasse?
  15. Reicht es, sich nur zu registrieren?
  16. Ist NIS2 dasselbe wie der Cyber Resilience Act?

Problem

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die zentrale Cybersicherheitsbehörde des Bundes, hat eine deutliche Mahnung ausgesprochen. Tausende Unternehmen, die unter die europäische Sicherheitsregulierung NIS2 (zweite EU-Richtlinie zur Netz- und Informationssicherheit) fallen, haben sich bis heute nicht beim BSI registriert. Die Meldung bei heise online nennt eine ernüchternde Zahl: Bis Ende Mai 2026 waren erst knapp 18.500 Einrichtungen erfasst, nach Einschätzung der Behörde weniger als die Hälfte der Betroffenen.

Statt weiter abzuwarten, setzt das BSI nun eine klare neue Frist: den 31. Juli 2026. Wenn Ihr Unternehmen wichtige Dienste erbringt, etwa in Energie, Gesundheit, Transport, Wasser, Abfall, digitaler Infrastruktur, Lebensmitteln oder verarbeitendem Gewerbe, betrifft Sie das mit hoher Wahrscheinlichkeit direkt.

Kurze Antwort

NIS2 verpflichtet deutlich mehr Unternehmen als die alte Regelung zu Cybersicherheits-Mindeststandards und zur Anmeldung beim BSI. Die Registrierung ist dabei nur der erste Schritt.

  • Die novellierte Fassung des BSI-Gesetzes, also die deutsche Umsetzung von NIS2 (Richtlinie (EU) 2022/2555), gilt seit dem 6. Dezember 2025.
  • Die ursprüngliche Registrierungsfrist (6. März 2026) ist verstrichen. Das BSI setzt nun eine letzte Frist zum 31. Juli 2026, in Ausnahmefällen mit rund sechs Wochen Nachlauf nach Klärung offener Fragen.
  • Betroffen sind sogenannte wesentliche und wichtige Einrichtungen in 18 Sektoren, überwiegend ab mittlerer Unternehmensgröße.
  • Die Pflicht ist mehr als die Anmeldung: Risikomanagement, Meldung von Sicherheitsvorfällen und Nachweise gehören dazu.
  • Bei Verstößen drohen Bußgelder, laut BSI bis zu 500.000 Euro.

Wer ist betroffen

NIS2 unterscheidet zwei Klassen: wesentliche Einrichtungen (besonders kritische Sektoren) und wichtige Einrichtungen (weitere wichtige Sektoren). Insgesamt deckt die Richtlinie 18 Bereiche ab, von Energie und Trinkwasser über Gesundheit, Verkehr und digitale Dienste bis zu Post, Chemie und Teilen des verarbeitenden Gewerbes.

Als grobe Faustregel gilt eine Größenschwelle: Unternehmen ab etwa 50 Beschäftigten oder über 10 Millionen Euro Jahresumsatz können in den Anwendungsbereich fallen, in einzelnen Sektoren auch unabhängig von der Größe. Wichtig: Anders als beim älteren KRITIS-Begriff (Kritische Infrastrukturen, also einige wenige besonders große Versorger) trifft NIS2 einen viel breiteren Mittelstand. Genau das ist der Grund, warum so viele Betroffene die eigene Pflicht noch nicht erkannt haben.

Pflichten und Fristen

Die Registrierung beim BSI ist der sichtbarste, aber nicht der einzige Teil. Drei Blöcke gehören zusammen.

Registrierung

Betroffene Einrichtungen melden sich über das Meldeportal des BSI an und hinterlegen Stammdaten sowie Kontaktwege. Diese Anmeldung muss bis zum 31. Juli 2026 erfolgen.

Risikomanagement

NIS2 verlangt angemessene technische und organisatorische Maßnahmen. Artikel 21 der Richtlinie nennt unter anderem Risikoanalyse und Sicherheitsleitlinien, Vorfallsbehandlung, Datensicherung und Wiederanlauf (Backup und Notfallpläne), Sicherheit der Lieferkette, Verschlüsselung sowie Zugriffskontrolle samt Mehr-Faktor-Authentisierung (MFA, also Anmeldung mit mehr als nur einem Passwort). Die Leitung haftet hier persönlich für die Umsetzung.

Meldepflichten

Sicherheitsvorfälle mit erheblicher Auswirkung müssen gestaffelt gemeldet werden: eine erste Frühwarnung innerhalb von 24 Stunden, eine genauere Meldung binnen 72 Stunden und ein Abschlussbericht in der Regel nach einem Monat. Diese Stufen ergeben sich aus Artikel 23 der Richtlinie.

Bei Verstößen drohen Bußgelder. Die heise-Meldung nennt für das Versäumnis der Registrierung einen Rahmen von bis zu 500.000 Euro; für andere Pflichtverletzungen sieht NIS2 höhere Obergrenzen vor.

Abgelehnte Alternativen und Mythen

"NIS2 ist dasselbe wie der Cyber Resilience Act (CRA)." Nein. NIS2 regelt die Cybersicherheit von Organisationen, die Dienste betreiben. Der Cyber Resilience Act (CRA) regelt die Sicherheit von Produkten mit digitalen Elementen, also was ein Hersteller in seine Geräte und Software einbaut. Beide Gesetze können ein Unternehmen gleichzeitig treffen, sie ersetzen sich aber nicht.

"Das gilt nur für KRITIS und Großkonzerne." Das war die alte Welt. NIS2 senkt die Schwelle bewusst und zieht den breiten Mittelstand hinein. Wer mit der alten KRITIS-Logik plant, unterschätzt seine Lage - das kann teuer werden.

"Registrieren reicht." Die Anmeldung ist die Eintrittskarte, nicht das Ziel. Ohne belegbares Risikomanagement und funktionierende Meldewege ist die Pflicht nicht erfüllt. Wie das intern konkret umgesetzt werden könnte, behandelt unser Beitrag NIS2 operativ umgesetzt.

"Es passiert eh nichts." Die neue Frist ist ausdrücklich als "letzte" angesetzt. Fachleute fordern vom BSI ein konsequenteres Vorgehen statt weiterer Kooperation. Auf eine erneute Verlängerung zu setzen, ist riskant.

Was Sie jetzt tun sollten

  1. Prüfen Sie die Betroffenheit: Sektor und Unternehmensgröße gegen die NIS2-Kriterien abgleichen. Im Zweifel von Betroffenheit ausgehen und dokumentieren, wie Sie zu Ihrem Ergebnis kommen.
  2. Registrieren Sie sich rechtzeitig beim BSI, deutlich vor dem 31. Juli 2026, nicht am letzten Tag.
  3. Bestimmen Sie eine verantwortliche Person und eine Vertretung für Cybersicherheit und Meldewege.
  4. Schließen Sie die offensichtlichen Lücken zuerst: Mehr-Faktor-Authentisierung, getestete Backups, ein einfacher Notfall- und Meldeplan.
  5. Richten Sie eine laufende Überwachung ein, damit ein Vorfall überhaupt rechtzeitig auffällt, sonst sind die 24- und 72-Stunden-Fristen kaum zu halten.

Wie Dernium hier hilft

Eines vorweg, ehrlich gesagt: Die Registrierung beim BSI nimmt Ihnen niemand ab. Was Dernium leisten kann, sind die technischen Maßnahmen, die NIS2 hinter der Anmeldung verlangt:

Dernium Watch überwacht Erreichbarkeit, Zertifikate und DNS-Konfiguration kontinuierlich und schlägt an, wenn etwas ausfällt, eine praktische Grundlage, um Vorfälle überhaupt innerhalb der Meldefristen zu bemerken. Dernium Mailcheck prüft die E-Mail-Sicherheitslage (SPF, DKIM, DMARC). Relevant wird dies dadurch, dass E-Mail weiterhin einer der wichtigsten Einfallswege sind und die Prüfungen von Mailcheck die Abwehrmaßnahmen Ihrer Mailserver-Konfiguration fortlaufend prüfen und messen ob Unbefugte versuchen in Ihrem Namen Mails zu verschicken. Dernium Desk stellt isolierte, gehärtete Arbeitsumgebungen bereit, die Ihre Zugriffs- und Endpunktkontrolle unterstützen ohne auf nahtlosen Komfort beim Wechseln zwischen mobilen und festen Arbeitspätzen verzichten zu müssen. Für den schnellen Einstieg ohne Anmeldung gibt es die kostenlosen Dernium Webtools, mit denen Sie Sicherheits-Standards direkt im Browser erzeugen können.

Wenn Sie zugleich Produkte mit digitalen Elementen herstellen, ist Dernium CRA das passende Werkzeug, aber das deckt den Cyber Resilience Act ab, nicht NIS2. Die Trennung ist Absicht: Wir bilden ab, was die jeweilige Pflicht wirklich verlangt.

Offene Punkte

Die deutsche Umsetzung hat sich verzögert, und einzelne Auslegungsfragen, etwa zu Grenzfällen bei der Unternehmensgröße und zur konzernweiten Zurechnung, sind in der Praxis noch nicht vollständig geklärt. Dieser Beitrag ordnet die Lage ein und ersetzt keine Rechtsberatung. Verbindliche Auskunft zur eigenen Betroffenheit geben das BSI und qualifizierte Beratung. Die in der heise-Meldung genannte Sechs-Wochen-Nachfrist gilt nur in Ausnahmefällen und nicht als zweite reguläre Frist.

Häufige Fragen

Gilt NIS2 auch für kleine und mittlere Unternehmen?

Ja, sofern Sie in einem der erfassten Sektoren tätig sind und die Größenschwelle erreichen, in der Regel ab etwa 50 Beschäftigten oder über 10 Millionen Euro Umsatz. In einzelnen Sektoren gilt die Pflicht auch unabhängig von der Größe. Der Anwendungsbereich ist deutlich breiter als beim alten KRITIS-Begriff.

Was passiert, wenn ich die Frist zum 31. Juli 2026 verpasse?

Sie verstoßen dann gegen die Registrierungspflicht. Das BSI kann Bußgelder verhängen, laut Berichterstattung bis zu 500.000 Euro für das Versäumnis. Die neue Frist ist ausdrücklich als letzte angekündigt, mit einer Nachfrist nur in Ausnahmefällen.

Reicht es, sich nur zu registrieren?

Nein. Die Anmeldung ist Pflicht, aber NIS2 verlangt zusätzlich Risikomanagement, Meldewege für Sicherheitsvorfälle und Nachweise. Die Unternehmensleitung ist für die Umsetzung verantwortlich.

Ist NIS2 dasselbe wie der Cyber Resilience Act?

Nein. NIS2 betrifft die Cybersicherheit von Organisationen und ihren Diensten, der Cyber Resilience Act die Sicherheit hergestellter Produkte mit digitalen Elementen. Viele Unternehmen müssen sich mit beidem befassen, die Pflichten sind aber getrennt.