Nur noch ein Monat bleibt zur NIS-2-Registrierung – Tausende Unternehmen noch nicht compliant

5. Februar 2026 – Am 6. März 2026 endet die gesetzliche Dreimonatsfrist zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) für Unternehmen, die unter das NIS-2-Umsetzungsgesetz fallen. Besonders wichtige und wichtige Einrichtungen sind verpflichtet, sich spätestens drei Monate nacherstmaliger Einstufung beim BSI zu registrieren (§ 33 Abs. 1 BSIG). Erst ein Bruchteil der betroffenen Unternehmen haben ihre Pflichten erfüllt. Experten warnen vor einem bösen Erwachen.

NIS-2: Was steckt dahinter?
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz ist am 6. Dezember 2025 in Kraft getreten und setzt die europäische NIS-2-Richtlinie in deutsches Recht um. Ziel ist ein einheitlich hohes Niveau an Cybersicherheit in der gesamten EU. Das Gesetz verpflichtet Unternehmen in kritischen und wichtigen Sektoren zu umfassenden IT-Sicherheitsmaßnahmen, strengen Meldepflichten bei Cyberangriffen und macht Cybersecurity zur Chefsache mit persönlicher Geschäftsleitungshaftung.

Etwa 30.000 Unternehmen betroffen: Der Mittelstand im Visier
Während bisher nur KRITIS-Betreiber reguliert waren, erfasst NIS-2 nun rund 30.000 Einrichtungen. Die Erweiterung trifft vor allem den Mittelstand hart. Betroffen sind erstmals auch:
• IT-Dienstleister: Cloud-Anbieter, Rechenzentrumsbetreiber, Managed Service Provider
• Maschinenbau: Hersteller von Maschinen und Anlagen
• Automobilzulieferer: Hersteller von Fahrzeugen und Fahrzeugteilen
• Lebensmittelproduktion: Industrielle Produzenten und Großhändler
• Chemieunternehmen: Hersteller und Importeure chemischer Stoffe
• Elektrotechnik: Hersteller elektrischer Ausrüstungen
• Logistik: Post- und Kurierdienste
• Digital Economy: Online-Marktplätze, Suchmaschinen, soziale Netzwerke
\“Viele Geschäftsführer im Mittelstand wissen noch gar nicht, dass sie betroffen sind\“, warnt Tobias Stephan, Rechtsanwalt und Experte für Cybersecurity-Recht bei der auf Digitalrecht spezialisierten Kanzlei MAINLY.\“Die Betroffenheitsprüfung ist komplex, besonders für Unternehmen mit gemischten Geschäftstätigkeiten oder Konzernstrukturen. Wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern auch die persönliche Haftung der Geschäftsleitung.\“
Denn neben der teilweise komplexen Bestimmung der Handlungsfelder sind auch die Untergrenzen bei Mitarbeiteranzahl und Finanzkennzahlen nicht immer gleich. Teilweise – etwa bei Top Level Domain Registries – gelten gar keine solchen Mindestgrößen. In Konzernen oder bei Joint-Ventures werden die Unternehmenskennzahlen wiederum häufig addiert.

Drastische Konsequenzen bei Nicht-Compliance
Bei Verstößen drohen Bußgelder. Hinzu kommt: Die Geschäftsleitung haftet persönlich für Pflichtverletzungen nach den Regeln des Gesellschaftsrechts (§ 38 Abs. 2 BSIG i.V.m. §§ 43 GmbHG, 93 AktG).
Bei hartnäckiger Nichtbefolgung von BSI-Anordnungen kann die zuständige Fachaufsicht als letztes Mittel die Betriebsgenehmigung aussetzen oder der Geschäftsleitung die Tätigkeit vorübergehend untersagen (§ 61 Abs. 9 BSIG).

Was jetzt zu tun ist
1. Betroffenheit prüfen: Das BSI stellt ein Online-Tool zur Betroffenheitsprüfung bereit, das einen ersten Anhaltspunkt geben kann.\“Auch wenn Sie nicht betroffen sind, sollten Sie die Prüfung dokumentieren\“, rät Herr Stephan.\“Das BSI kann später Nachweise verlangen.\“
2. Mein Unternehmenskonto (MUK) einrichten: Die Registrierung erfolgt zweistufig. Ohne MUK-Konto ist keine BSI-Registrierung möglich.
3. BSI-Registrierung bis 6. März 2026 abschließen: Die Registrierung muss über das BSI-Portal erfolgen, das seit dem Januar 2026 verfügbar ist. Erforderlich sind detaillierte Unternehmensangaben, Sektor-Zuordnung und Benennung einer Kontaktstelle.
4. Sofort-Maßnahmen starten: Multi-Faktor-Authentifizierung einführen, Meldeprozesse für Sicherheitsvorfälle definieren, erste Risikoanalyse durchführen und die Geschäftsleitung formal einbinden.

Branchenverbände schlagen Alarm
Mehrere Wirtschaftsverbände haben bereits auf die Umsetzungsprobleme hingewiesen. Viele der NIS-2-Anforderungen decken sich mit verbreiteten Zertifikaten, wie etwa ISO 27001, doch die spezifischen gesetzlichen Pflichten wie Registrierung, Meldeprozesse und Geschäftsleitungsverantwortung gehen darüber hinaus.

Unterstützung für betroffene Unternehmen
Die Kanzlei MAINLY, spezialisiert auf Digitalrecht, KI, DSGVO und Cybersecurity, bietet betroffenen Unternehmen Unterstützung bei der Betroffenheitsprüfung, der BSI-Registrierung und dem Aufbau compliance-konformer ISMS-Strukturen an.\“Wir sehen täglich Unternehmen, die zwischen Panik und Verdrängung schwanken\“, berichtet Herr Stephan.\“Dabei ist NIS-2 mit strukturiertem Vorgehen in wenigen Wochen umsetzbar – wenn man jetzt startet.\“
Weitere Informationen zu den Services von MAINLY finden Sie unter: https://www.mainly-law.com/.

Über NIS-2
Die NIS-2-Richtlinie (EU) 2022/2555 ist das aktualisierte EU-Rahmenwerk für Cybersicherheit. Sie ersetzt die NIS-1-Richtlinie von 2016 und erweitert den Anwendungsbereich erheblich. Das deutsche NIS-2-Umsetzungsgesetz novelliert unter anderem das BSI-Gesetz und schafft die Kategorien\“besonders wichtige Einrichtungen\“und\“wichtige Einrichtungen\“mit gestaffelten Anforderungen.

Posted by on 4. Februar 2026.

Tags: bsi-registrierung, bu-gelder, cloud, compliance, cybersecurity, digitalrecht, gesch-ftsleitungshaftung, isms, it-dienstleister, it-sicherheit, maschinenbau, mittelstand, neuer-ffnung, nis-2, weihnachten

Categories: Allgemein

No Responses Yet

You must be logged in to post a comment.