Auch mehrere Monate nach Inkrafttreten der NIS-2-Richtlinie haben sich tausende von Unternehmen noch nicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert. Die Behörde erhöht nun den Druck – und weist auf hohe Bußgelder hin.
Nach jahrelanger Verzögerung ist am 06. Dezember 2025 das Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung in Kraft getreten. Mit Inkrafttreten wird der Anwendungsbereich des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI) deutlich erweitert: Unternehmen, die in bestimmten Sektoren tätig sind und dabei gesetzlich festgelegte Schwellenwerte mit Blick auf Mitarbeiter, Umsatz und Bilanz überschreiten, fallen künftig unter die neuen Kategorien »wichtige Einrichtungen« und »besonders wichtige Einrichtungen«. Diese müssen drei zentralen Pflichten nachkommen: Sie sind gesetzlich verpflichtet, sich als NIS-2-Unternehmen zu registrieren, dem Bundesamt für Sicherheit in der Informationstechnik erhebliche Sicherheitsvorfälle zu melden und Risikomanagementmaßnahmen zu implementieren sowie diese zu dokumentieren. Soweit die Theorie, denn die Praxis fällt ernüchternd aus: obwohl die Registrierungsfrist bereits am 06. März 2026 abgelaufen ist, hat sich von rund 29.500 erwarteten Unternehmen nicht einmal die Hälfte beim BSI gemeldet.
Wie die .de-Registry DENIC eG mitteilt, hat das BSI daher nun eine neue Frist bis Ende Juli 2026 gesetzt. Das deckt sich mit einem Bericht von heise.de, wonach das BSI davon ausgeht, dass alle noch ausstehenden Registrierungen bis spätestens 31. Juli 2026 abgeschlossen werden; nach Behördenangaben hätten sich bis Ende Mai knapp 18.500 Einrichtungen registriert. Gegen bis dahin nicht registrierte Unternehmen kann ein erhebliches Bußgeld von bis zu EUR 500.000,– verhängt werden. Der Meldeprozess sieht vor, dass sich betroffene Einrichtungen in einem zweistufigen Prozess registrieren. In einem ersten Schritt muss eine Registrierung beim digitalen Dienst »Mein Unternehmenskonto« des BSI vorgenommen werden. Für den sicheren Austausch von Cybersicherheitsinformationen hat das BSI zudem ein Portal eingerichtet, das unter anderem als Meldestelle für schwerwiegende Sicherheitsvorfälle dient; hier erfolgt in einem zweiten Schritt eine Registrierung. Wer sich unsicher ist, ob er von der gesetzlichen Neuregelung überhaupt betroffen ist, kann eine vom BSI bereitgestellte, unverbindliche Betroffenheitsprüfung durchführen; auf Grundlage eines Fragenkatalogs erhalten Einrichtungen eine Ersteinschätzung, ob sie voraussichtlich von der Regulierung betroffen sind und welche Pflichten sich daraus ergeben. Die Nutzung erfolgt anonym; es werden keine personenbezogenen Daten oder identifizierenden Unternehmensinformationen erhoben. Die Ersteinschätzung ist jedoch nicht rechtlich bindend und ersetzt keine rechtliche Beratung. Außerdem stellt das BSI eine Handreichung für Geschäftsleitungsschulungen zur Verfügung. Sie soll Schulungsanbietern, aber auch Geschäftsleitungen als Orientierung dienen und erläutert unter anderem, wer geschult werden muss, welche Inhalte abgedeckt sein sollten und wie sich die Schulungspflicht in den gesetzlichen Rahmen einfügt. Die Handreichung versteht sich als Auslegungshilfe und berücksichtigt Umfang und Anspruch der gesetzlichen Vorgaben. Weiter bietet das BSI eine FAQ-Seite zu NIS-2 allgemein und zu sektorspezifischen Fragen zu NIS-2.
Die Umsetzung der NIS-2 ist für das BSI mehr als eine (weitere) regulatorische Verpflichtung. Die Anforderungen sollen einen gemeinsamen europäischen Rahmen markieren, um die Cybersicherheit zu stärken und Verantwortung klar zuzuordnen. Unternehmen können so ihre Sicherheitsstrukturen überprüfen, Prozesse professionalisieren und Informationssicherheit dauerhaft in ihre Unternehmenssteuerung integrieren. Unternehmen – und nach erster vorsichtiger und unverbindlicher Einschätzung der DENIC zählen dazu auch Anbieter von DNS-Diensten für Dritte – sollten daher jetzt prüfen, ob sie in den Anwendungsbereich der NIS2-Regelungen fallen und ob die vorgesehenen Registrierungs- und Organisationsschritte bereits umgesetzt wurden.