Deutschland 4 Min. Lesezeit

BSI-Alarm: Nur 38,5 % der NIS2-Pflichtigen registriert – 18.000 Unternehmen im Verzug

Die Bilanz ist ernüchternd: Von den rund 29.500 Unternehmen, die in Deutschland unter das NIS2-Umsetzungsgesetz fallen, haben sich nach Ablauf der Registrierungsfrist am 6. März 2026 nur etwa 11.500 registriert – das entspricht einer Quote von 38,5 Prozent. Mehr als 18.000 Pflichtunternehmen sind im Verzug. Der Tagesspiegel Background titelte treffend: Das BSI muss bei NIS-2 Zähne zeigen.

Warum ist die Quote so niedrig?

Drei Faktoren erklären die schlechte Registrierungsquote: Erstens wurde der Anwendungsbereich des BSIG von rund 4.500 auf 29.500 Einrichtungen mehr als versechsfacht – viele Unternehmen sind sich ihrer Betroffenheit schlicht nicht bewusst. Zweitens startete das BSI-Registrierungsportal erst im Januar 2026, was wenig Vorlaufzeit ließ. Drittens herrschte unter vielen Mittelständlern der Irrtum, die Frist sei eine Empfehlung, keine Pflicht mit Sanktionsfolge.

Was droht nicht registrierten Unternehmen?

Die fehlende Registrierung ist kein Kavaliersdelikt. Das BSI kann:

  • Informationsschreiben verschicken und Registrierung einfordern.
  • Formale Anordnungen nach §§ 61/62 BSIG erlassen – verbindlich, mit gesetzter Frist.
  • Bußgeldverfahren einleiten: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen.
  • Die Geschäftsführung persönlich haftbar machen, wenn sie die Registrierung wissentlich unterlassen hat.

Registrierung ist jetzt noch möglich – und reduziert das Risiko

Das BSI-Registrierungsportal ist weiterhin aktiv. Einrichtungen, die die Frist versäumt haben, sollten die Nachregistrierung unverzüglich nachholen. Das BSI hat signalisiert, dass nachgewiesene Compliance-Bemühungen – auch nachträglich – bei der Sanktionsbemessung berücksichtigt werden. Eine nachgeholte Registrierung ist kein Freifahrtschein, reduziert aber das Bußgeldrisiko erheblich.

Wer muss sich registrieren?

Die Registrierungspflicht gilt für alle wesentlichen und wichtigen Einrichtungen in den 18 NIS2-Sektoren – darunter Energie, Gesundheit, Trinkwasser, IKT-Dienste, Logistik, Ernährung und Produktion. Als Faustregel gilt: Unternehmen mit mehr als 50 Mitarbeitern oder mehr als 10 Mio. EUR Jahresumsatz in einem NIS2-Sektor sind potenziell betroffen. Der BSI-Betroffenheitsfragebogen hilft bei der Selbsteinschätzung.

Was jetzt zu tun ist

  1. Prüfen, ob eine Registrierungspflicht besteht (BSI-Betroffenheitsprüfung).
  2. Im BSI-Portal registrieren und Kontaktstelle benennen.
  3. Parallel NIS2-Pflichten umsetzen: Risikoanalyse, Incident-Response, MFA, Lieferkettensicherheit.
  4. Auf ein mögliches BSI-Informationsschreiben vorbereitet sein und Antwortfristen einhalten.
Weiterführende Links

Sind Sie von NIS2 betroffen?

Prüfen Sie in 2 Minuten kostenlos, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt.

Kostenloser NIS2-Check NIS2-Vorlagen ansehen
Artikel teilen