Deutschlands NIS2-Frist ist abgelaufen — und 18.000 Unternehmen haben sie verpasst

Ein Schreiben vom BSI — dem Bundesamt für Sicherheit in der Informationstechnik — liegt auf dem Tisch. Ihr Unternehmen war verpflichtet, sich bis zum 6. März 2026 zu registrieren. Sie haben es nicht getan. Das BSI verfügt nun über die gesetzliche Befugnis, Ihre Organisation zu prüfen, verbindliche Anordnungen zu erteilen und Bußgelder von bis zu 10 Millionen Euro oder 2 % Ihres weltweiten Jahresumsatzes zu verhängen. Und nach §38 des neuen BSIG können Ihre Geschäftsführer für das Versäumnis persönlich haftbar gemacht werden.

Dies ist kein hypothetisches Szenario. Es geschieht gerade jetzt in Deutschland — und es ist ein Vorgeschmack auf das, was im Rest der Europäischen Union folgen wird.

Was am 6. März 2026 geschah

Das deutsche NIS2-Umsetzungsgesetz — das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) — trat am 6. Dezember 2025 in Kraft. Es gab den betroffenen Organisationen genau drei Monate Zeit, sich über das dedizierte BSI-Portal zu registrieren.

Diese Frist war der 6. März 2026.

Von den rund 29.500 Unternehmen, die das BSI als gesetzlich verpflichtet einschätzt, haben nur etwa 11.500 ihre Registrierung rechtzeitig abgeschlossen. Das bedeutet: Rund 18.000 Organisationen befinden sich in einem Rechtsverstoß — und haben noch nicht einmal mit der Umsetzung ihrer eigentlichen Cybersicherheitsmaßnahmen begonnen.

NIS2 Umsetzungsstatus nach Land (2025–2026)
✅
Vollständig in Kraft
🇧🇪Belgien
🇭🇷Kroatien
🇭🇺Ungarn
🇱🇹Litauen
🇱🇻Lettland
🇮🇹Italien
6 Länder
📋
Verabschiedet — Ende 2025
🇩🇪Deutschland
🇨🇿Tschechien
🇫🇮Finnland
3 Länder
⏳
In Bearbeitung — erwartet 2026
🇳🇱Niederlande
🇫🇷Frankreich
🇪🇸Spanien
🇵🇱Polen
🇦🇹Österreich
🇸🇪Schweden
🇮🇪Irland
7 Länder

Das BSI hat öffentlich angekündigt, nicht registrierte Unternehmen nun systematisch zu identifizieren. Deutschland ist der erste große EU-Mitgliedstaat, der diesen Durchsetzungsmeilenstein erreicht — und die Zahlen sind bemerkenswert.

Warum so viele Unternehmen die Frist verpasst haben

Drei Muster erklären die Lücke.

Viele Organisationen wissen noch immer nicht, dass sie betroffen sind. Die NIS2-Richtlinie gilt für Unternehmen mit mehr als 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz, die in 18 festgelegten Sektoren tätig sind. Der deutsche Mittelstand — das Rückgrat der Industriewirtschaft — umfasst Tausende mittelständischer Hersteller, Logistikdienstleister und IT-Unternehmen, die bislang nie mit Cybersicherheitsregulierung konfrontiert waren.

Der Zeitplan war eng gesteckt. Drei Monate von der Gesetzesverabschiedung bis zur Registrierungsfrist ließen wenig Spielraum für Unternehmen, die noch dabei waren zu klären, ob NIS2 überhaupt auf sie zutrifft. Viele warteten auf endgültige Klarheit bei Sektoreinstufungen und Schwellenwerten.

Lieferkettenbetriebe wurden kalt erwischt. Gemäß Artikel 21(2)(d) müssen NIS2-Entitäten Cybersicherheitsrisiken in ihren Lieferketten steuern. Das bedeutet: Lieferanten, die selbst nicht direkt betroffen sind, erhalten Compliance-Anforderungen von ihren Kunden — doch die Registrierungspflicht liegt beim NIS2-Unternehmen, nicht beim Lieferanten. Die Verwechslung zwischen direkten Verpflichtungen und indirektem Lieferkettendruck verzögerte die Entscheidungsfindung.

Was das BSI jetzt tun kann

Die Durchsetzungsbefugnisse des BSI nach dem neuen BSIG sind weitreichend:

Proaktive Prüfungen. Bei wesentlichen Einrichtungen — Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur, Bankwesen — kann das BSI Audits durchführen, ohne einen Vorfall abzuwarten. Es kann Dokumentationen anfordern, Sicherheitsmaßnahmen prüfen und Nachweise für die Einhaltung von Artikel 21 verlangen.

Verbindliche Anordnungen. Stellt das BSI Mängel fest, kann es rechtlich bindende Weisungen zur Behebung innerhalb einer festgesetzten Frist erteilen. Wer einer verbindlichen Anordnung nicht nachkommt, riskiert eine Eskalation des Durchsetzungsverfahrens.

Bußgelder. Wesentliche Einrichtungen können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes belegt werden — je nachdem, welcher Betrag höher ist. Wichtige Einrichtungen riskieren bis zu 7 Millionen Euro oder 1,4 %. Dies sind keine theoretischen Höchstwerte — es ist der Rahmen, den die nationalen Behörden in der gesamten EU jetzt anwenden dürfen.

Persönliche Haftung für Geschäftsführer. §38 BSIG macht Geschäftsführer persönlich verantwortlich für die Genehmigung und Überwachung von Cybersicherheits-Risikomanagementmaßnahmen. Dies spiegelt Artikel 20 der NIS2-Richtlinie wider, der die Verantwortung des Leitungsorgans in allen Mitgliedstaaten verankert.

NIS2-Sanktionseskalation — Jenseits der Geldbuße
!
Auslöser
Non-Compliance erkannt oder Vorfall tritt ein
Eine Aufsichtsbehörde identifiziert eine Compliance-Lücke oder eine Organisation erfüllt die NIS2-Anforderungen nicht
Behörden können verhängen
▼
Nicht-finanzielle Sanktionen
1
Anordnungen mit bindenden Fristen
2
Verpflichtende Sicherheitsaudits auf eigene Kosten
3
Öffentliche Bekanntmachung von Verstößen
4
Bindende Anweisungen zu spezifischen Sicherheitsmaßnahmen
Eskaliert zu
▼
Betriebliche und persönliche Konsequenzen
1
Aussetzung von Zertifizierungen oder Betriebsgenehmigungen
2
Vorübergehendes Verbot von Leitungsfunktionen für Personen
3
Öffentliche Benennung verantwortlicher natürlicher Personen
Auslöser
Nicht-finanziell
Betrieblich / persönlich

Vorübergehende Tätigkeitsverbote. In schwerwiegenden Fällen anhaltender Nichteinhaltung kann das BSI beantragen, dass Geschäftsführer vorübergehend von ihren Aufgaben suspendiert werden. Dies ist das schärfste Durchsetzungsinstrument im NIS2-Instrumentarium — und Deutschland hat es ausdrücklich umgesetzt.

Was das für den Rest Europas bedeutet

Deutschland ist kein Einzelfall. Es ist der Indikator für das, was folgt.

Belgien setzt seine NIS2-Umsetzung bereits seit Ende 2024 durch — als erstes EU-Land überhaupt. Italien (ACN) und Kroatien haben ihre Rahmenwerke in Kraft. Frankreich (ANSSI) hat im März 2026 das ReCyF-Referenzrahmenwerk eingeführt und baut seine Durchsetzungsinfrastruktur aus. Die Niederlande erwarten ihr Cyberbeveiligingswet (Cbw) im zweiten Quartal 2026, mit der RDI als Aufsichtsbehörde.

Das Muster ist eindeutig: Jeder EU-Mitgliedstaat bewegt sich von der Gesetzgebung zur Durchsetzung. Der Umsetzungszeitplan variiert von Land zu Land — die Richtung ist einheitlich.

Auch für österreichische Unternehmen gilt: Mit dem Netz- und Informationssystemsicherheitsgesetz (NISG 2024) ist Österreich ebenfalls in der Umsetzungsphase. Die zuständige Behörde ist das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) in Abstimmung mit der Rundfunk und Telekom Regulierungs-GmbH (RTR). Wer in Österreich tätig ist und die Schwellenwerte erreicht, steht vor denselben Pflichten.

Was Deutschlands Erfahrung lehrt, ist folgendes: Die Lücke zwischen „das Gesetz existiert" und „Unternehmen sind bereit" ist enorm. Und die Regulierungsbehörden warten nicht darauf, dass sich diese Lücke schließt, bevor sie mit der Durchsetzung beginnen.

Gilt NIS2 für Ihre Organisation?
1
Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja▼
Nein▼
2
Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
✗
NIS2 gilt nicht unmittelbar für Ihre Organisation.
Ja▼
Nein▼
✓
NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
3
Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja▼
!
NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
1
Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja ↓Nein →
2
Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
Ja ↓Nein →
3
Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja ↓Nein →
✗
NIS2 gilt nicht unmittelbar für Ihre Organisation.
✓
NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
!
NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
Gilt
Gilt möglicherweise
Gilt nicht

Was Sie diese Woche tun sollten

Ob Ihre Organisation in Deutschland, Österreich oder einem anderen EU-Mitgliedstaat ansässig ist — der BSI-Stichtag ist ein Signal zum Handeln.

1. Stellen Sie fest, ob NIS2 auf Sie zutrifft. Überprüfen Sie Ihre Mitarbeiterzahl, Ihren Umsatz und Ihre Sektorzugehörigkeit. Die Kriterien sind EU-weit einheitlich: Wer mehr als 50 Mitarbeiter oder 10 Millionen Euro Jahresumsatz hat und in einem erfassten Sektor tätig ist, fällt mit hoher Wahrscheinlichkeit unter das Gesetz.

2. Registrieren Sie sich bei Ihrer nationalen Behörde. Deutschlands Frist ist abgelaufen — doch andere Länder öffnen ihre Registrierungsportale noch. Die Niederlande (über mijn.ncsc.nl), Frankreich (über MesServicesCyber) und Italien (über ACN) haben Registrierungsprozesse eingerichtet oder angekündigt.

3. Beginnen Sie mit Artikel 21. Die Registrierung ist nur der Einstiegspunkt. Die eigentliche Verpflichtung besteht darin, die zehn Cybersicherheitsmaßnahmen nach Artikel 21 umzusetzen: Risikoanalyse, Incident Handling, Business Continuity, Lieferkettensicherheit, Netzwerksicherheit, Schwachstellenmanagement und mehr.

4. Informieren Sie Ihre Geschäftsleitung. NIS2 ist eine Governance-Pflicht, kein IT-Projekt. Artikel 20 verpflichtet das Leitungsorgan, Cybersicherheitsmaßnahmen zu genehmigen und Schulungen zu absolvieren. Wenn Ihre Geschäftsführung NIS2 noch nicht besprochen hat, ist dieses Gespräch überfällig.

5. Verschaffen Sie sich einen Überblick über Ihren aktuellen Stand. Sie brauchen keinen Berater, um anzufangen. Ein strukturierter Bereitschafts-Scan zeigt Ihnen in wenigen Minuten, wo Sie im Vergleich zu den NIS2-Anforderungen stehen — und wo genau die Lücken sind. Starten Sie den kostenlosen NIS2-Bereitschafts-Scan und erfahren Sie noch heute, wo Ihre Organisation steht.

Das Fenster schließt sich

Deutschlands 18.000 nicht registrierte Unternehmen erfahren gerade, wie Durchsetzung in der Praxis aussieht. Jeder andere EU-Mitgliedstaat folgt demselben Weg — die einzige Variable ist der Zeitpunkt.

Die Organisationen, die jetzt handeln — bevor ihre nationale Frist eintrifft — haben den Vorteil der Vorbereitung statt des Drucks durch Vollstreckungsmaßnahmen. Wer wartet, wird dieselbe Situation erleben, mit der sich der deutsche Mittelstand heute konfrontiert sieht: eine Behörde mit der Befugnis, zu prüfen, Bußgelder zu verhängen und Geschäftsführer persönlich haftbar zu machen — und ein Compliance-Programm, das längst hätte beginnen sollen.