NIS-2 Registrierung: BSI setzt letzte Nachfrist bis 31. Juli 2026

Bislang weniger NIS2‑Registrierungen als erwartet! Das BSI mahnt über Branchenverbände, ihre Mitglieder erneut auf die Registrierungspflicht hinzuweisen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine finale Nachfrist für die verpflichtende NIS2‑Registrierung gesetzt: bis zum 31. Juli 2026. Eigentlich wäre die Registrierung bereits am 6. März 2026 fällig gewesen. Doch die Umsetzung stockt, und zwar deutlich!

Warum die Nachfrist?

In einem heise‑online vorliegenden Schreiben an Branchenverbände räumt das BSI ein, dass sich deutlich weniger Unternehmen registriert haben als erwartet. Die Verbände sollen ihre Mitglieder daher erneut auf die Registrierungspflicht hinweisen.

Eine BSI‑Sprecherin bezeichnete den Stand der Registrierungen gegenüber heise-online als „grundsätzlich zufriedenstellend“. Bis Ende Mai hätten sich knapp 18.500 Einrichtungen registriert. Der Aufwand sei jedoch gerade für bislang nicht regulierte Unternehmen und den Mittelstand hoch, weshalb das BSI weiterhin stark auf Aufklärung und Unterstützung setzt, so die Sprecherin.

Besonders zeitintensiv ist die Beschaffung des Elster‑Zertifikats, das für die Registrierung erforderlich ist und meist etwa eine Woche dauert. Hinzu kommt das Verständnis der Kriterien, die für viele Organisationen neu und komplex sind. Und schließlich erfordert die belastbare Anwendung der Kriterien im eigenen Betrieb weiteren Aufwand, weil Prozesse, Zuständigkeiten und technische Maßnahmen überprüft, angepasst oder neu eingeführt werden müssen.

Wie groß der Rückstand wirklich ist

Die Zahlen vom März zeigen, wie weit viele Unternehmen hinterherhinken: Zum Ablauf der gesetzlichen Frist am 6. März hatten sich lediglich rund 11.500 Unternehmen und Institutionen über das BSI‑Portal registriert. Bei geschätzten 29.000 registrierungspflichtigen Unternehmen bedeutet das, dass mehr als die Hälfte der betroffenen Einrichtungen die Anforderung versäumt hatten.

Immerhin gab es kurz vor knapp noch Bewegung: Über 4.000 Registrierungen gingen allein in der letzten Woche vor Fristablauf ein. Ein Signal, das das BSI damals als Hinweis auf eine grundsätzliche Compliance‑Bereitschaft wertete.

Viele Unternehmen haben noch nicht einmal geprüft, ob sie betroffen sind

Besonders brisant: Das aktuelle BSI‑Schreiben zeigt, dass ein erheblicher Teil der Unternehmen noch nicht einmal geklärt hat, ob sie überhaupt registrierungspflichtig sind.

Für diese Fälle hat das BSI eine Art „Schonfrist‑Mechanismus“ vorgesehen und in einer Mitteilung an die Branchenverbände kommuniziert:

• Unternehmen können konkrete offene Fragen gebündelt über Branchenverbände einreichen.
• Nach der Antwort des BSI erhalten sie weitere sechs Wochen Zeit, um die Registrierung abzuschließen.

Das BSI setzt darauf, dass alle noch ausstehenden Registrierungen bis spätestens 31. Juli 2026 erledigt sind. Eine klare Linie, die es auch gegenüber Wirtschaftsverbänden kommuniziert hat. Danach dürfte die Geduld der Behörde erschöpft sein.

Die Ausgangslage ist eindeutig:

• Das Gesetz gilt seit Dezember 2025.
• Die gesetzliche Registrierungsfrist ist am 6. März abgelaufen.

Konsequenzen gab es bisher nicht, weil das BSI die Pflicht nicht aktiv durchgesetzt hat. Genau das wird sich zum 31. Juli ändern.

Bußgelder bis zu 500.000 Euro, aber (noch) nicht im Fokus

Das Gesetz sieht bei unterlassener Registrierung Bußgelder von bis zu 500.000 Euro vor. Das BSI stellt diese Sanktionen zwar aktuell nicht in den Vordergrund. Der Druck steigt dennoch spürbar.

Was Unternehmen jetzt tun müssen

Unternehmen, die ihre Betroffenheit noch nicht geprüft haben, sollten das spätestens bis Ende Juli nachholen. Die Nachfrist ist klar als letzte Chance zu verstehen.

Liegt noch kein Elster‑Organisationszertifikat vor, sollte es bereits vor bzw. parallel zur Klärung der Betroffenheit beantragt werden. Es verursacht keine Kosten und keinen Nachteil, im Zweifelsfall wird es einfach nicht genutzt. Ist es jedoch erforderlich, steht es rechtzeitig und ohne weitere Verzögerung zur Verfügung!

Cyberattacken kosten Milliarden und viele Unternehmen sind noch immer unzureichend geschützt

Beim gesamten Thema NIS-2 geht es nicht nur um Bürokratie und Pflicht, sondern es werden Themen adressiert, die schon aus Eigeninteresse und Selbstschutz umgesetzt werden sollten. (Ausnahme ist die Registrierungs- und Meldepflicht). Unternehmen sollten sich aus Überzeugung darum kümmern, dass ihre Organisation sicher und resilient aufgestellt ist. Wer heute in robuste Sicherheitsstrukturen investiert, schützt nicht nur Daten und Prozesse, sondern auch die eigene Zukunftsfähigkeit.

Wie groß der Handlungsdruck tatsächlich ist, zeigen diese Zahlen: Der jährliche Schaden durch Datendiebstahl, Sabotage und Industriespionage erreicht 289,2 Milliarden Euro (Bitkom 2025). Davon entfallen rund 202,4 Milliarden Euro auf Cyberangriffe. Also 70 Prozent der gesamten wirtschaftlichen Verluste. Eine Statista‑Analyse kommt zu ähnlichen Ergebnissen

Gleichzeitig verschwimmen die Grenzen zwischen klassischer IT und industrieller Betriebstechnologie immer stärker.

Für Firmen jeder Größe heißt das: Cybersicherheit, moderne Abwehrmechanismen und Zero Trust gehören künftig zur Grundausstattung.