Verpasste NIS-2 Registrierung: Gründe, Auswirkungen und nächste Schritte

Registrierungsdeadline abgelaufen – Ist Ihr Unternehmen vielleicht doch betroffen?

Warum viele Unternehmen die NIS-2-Registrierung verpasst haben

NIS-2 ist mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 in nationales Recht übergegangen. Die Frist zur Registrierung ist drei Monate später, am 6. März 2026, verstrichen, doch ein großer Teil der betroffenen Unternehmen hat sie offenbar nicht eingehalten. Während schätzungsweise rund 30.000 Organisationen in Deutschland unter die Regulierung fallen sollen, hatten sich zum Stichtag lediglich etwa 11.500 Behörden, Unternehmen und kritische Einrichtungen registriert.

Wissenslücken als Hauptgrund für geringe NIS-2 Registrierungen

Ein zentraler Grund für die niedrige Registrierungsquote liegt darin, dass viele Unternehmen schlicht nicht wissen, dass sie von NIS‑2 betroffen sind. Zahlreiche Organisationen gehen davon aus, nicht unter die Regulierung zu fallen. Eine Einschätzung, die häufig falsch ist. Aktuelle Daten unterstreichen diese Problematik deutlich.

Wie groß die Wissenslücke tatsächlich ist, zeigt der Security Report 2026 von Schwarz Digits, der auf einer Befragung von 1001 Unternehmen basiert. Viele Unternehmen unterschätzen ihre Betroffenheit vor allem deshalb, weil ihnen Kenntnisse über Schwellenwerte und Kriterien fehlen. Insgesamt könnten 48 % der Befragten ihre NIS-2 Relevanz nicht erkannt haben.

Besonders im Mittelstand wird die Lücke sichtbar. Während Großunternehmen die Regulierung eher auf dem Radar haben, fehlt vielen kleinen und mittleren Unternehmen (KMU) das Bewusstsein für ihre tatsächliche Einstufung. Ein Abgleich der Selbstauskünfte mit den formalen NIS-2 Kriterien zeigt, dass die tatsächliche Betroffenheit erheblich höher liegt als angenommen.

Am stärksten ausgeprägt sind die Fehleinschätzungen bei kleinen, aber umsatzstarken Unternehmen mit 10 – 49 Mitarbeitenden und mehr als 10 Mio. € Jahresumsatz. In dieser Gruppe liegt in 92 % der Fälle eine falsche Selbsteinschätzung vor. Ein deutlicher Hinweis darauf, wie groß der Informationsbedarf weiterhin ist.

Unklare Einstufung im verarbeitenden Gewerbe erschwert Betroffenheitsprüfung

Selbst wenn KMU ihre Betroffenheit prüfen, führt dies nicht immer zu einem klaren Ergebnis. Für Unternehmen im verarbeitenden Gewerbe stellt sich beispielsweise die Frage, ob ihr Unternehmen im unter die in den Anhängen 1 und 2 des BSI-Gesetzes aufgeführten Produkt- und Dienstleistungskategorien fällt. Hier hilft in letzter Instanz oft nur ein Rechtsgutachten.

Verdeckte Regulierungspflichten innerhalb von Unternehmensgruppen

Und auch einzelne Gesellschaften innerhalb größerer Unternehmensgruppen können unbemerkt unter die Regulierung fallen. Das kann beispielsweise dann der Fall sein, wenn eine Konzerngesellschaft als Managed Services Provider für andere Gesellschaften innerhalb der Gruppe tätig ist. Werden dabei bestimmte Schwellenwerte bei Umsatz oder Mitarbeitenden überschritten, kann eine eigenständige Regulierungspflicht entstehen.

Der Registrierungsprozess ist komplexer als erwartet

Hinzu kommt, dass der eigentliche Registrierungsprozess organisatorisch anspruchsvoller ist, als viele Unternehmen zunächst erwarten.

Für die Registrierung wird ein Organisationszertifikat benötigt. Dieses muss zunächst über das ELSTER-Portal beantragt werden, ein Prozess, der auf Grund der Zustellung per Post für die Aktivierungsdaten typischerweise etwa eine Woche Bearbeitungszeit in Anspruch nimmt.

Im Rahmen der Registrierung müssen Unternehmen außerdem ihre relevanten IP-Adressräume melden. Diese Informationen liegen jedoch häufig nicht zentral vor und müssen erst intern mit IT-Abteilung oder Dienstleistern abgestimmt werden.

Für Anbieter digitaler Dienste wird es noch komplexer. Hier müssen sich die gemeldeten Adressräume unter Umständen auch auf Adressbereiche im Kundensegment erstrecken.

Solche organisatorischen Details können in der Praxis dazu führen, dass sich die Registrierung länger hinzieht als geplant.

Das eigentliche Problem

Theoretisch drohen Unternehmen empfindliche Sanktionen. Das BSI-Gesetz sieht bei Nichteinhaltung der Registrierungspflicht Bußgelder von bis zu 500.000 Euro vor.

Es scheint jedoch eher unwahrscheinlich, dass Behörden unmittelbar nach Fristablauf flächendeckend mit hohen Strafen reagieren. Und der Blick auf die Sanktionen versperrt die Sicht auf das eigentliche Problem: Cyberangriffe sind längst ein zentrales Geschäftsrisiko.

Cyberangriffe verursachen inzwischen rund 70 % aller Wirtschaftsschäden. Gleichzeitig geraten kleine und mittlere Unternehmen zunehmend ins Visier von Angreifern, und das oft stärker als große Konzerne. Während Großunternehmen häufig über ausgereifte Sicherheitsstrukturen verfügen, sind KMU oft leichter angreifbar.

Es lohnt sich also unabhängig von der Betroffenheit, sich die Anforderungen der NIS-2 anzusehen und einiges davon umzusetzen, um sein Unternehmen resilienter aufzustellen.

NIS-2-Registrierung verpasst – was nun?

Als Allererstes: keine Panik. Tief durchatmen. Und dann:

1. Klären, ob das Unternehmen tatsächlich unter den Anwendungsbereich von NIS-2 fällt
2. Bei Unklarheiten Beratung durch Spezialisten einholen
3. Prüfprozess nachvollziehbar dokumentieren
4. Falls nötig, Registrierung möglichst zeitnah nachholen