NIS2-Frist verpasst? Diese Bußgelder und Haftungsrisiken drohen ab März 2026

Die Uhr tickt: 29.000 Unternehmen, eine Frist, keine Ausreden

Am 6. März 2026 läuft die Registrierungsfrist beim BSI ab. Seit das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) am 6. Dezember 2025 in Kraft getreten ist, haben betroffene Unternehmen drei Monate Zeit, sich im BSI-Portal zu registrieren. Wer diese Frist versäumt, riskiert nicht nur Bußgelder — sondern persönliche Haftung.

Das Wichtigste: Die Registrierung ist eine Holschuld. Das BSI kommt nicht auf Sie zu. Sie müssen selbst prüfen, ob Sie betroffen sind, und aktiv handeln.

Was passiert, wenn Sie die Frist verpassen?

Die Bußgelder sind empfindlich: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Und das ist nur der Anfang.

Bei Verstößen gegen die Registrierungspflicht kann das BSI:

• Verwarnungen und Anordnungen aussprechen

• Audits und Sicherheitsüberprüfungen anordnen

• Bußgelder verhängen — auch ohne dass ein Sicherheitsvorfall vorliegt

• Im Extremfall den Betrieb bestimmter Dienste untersagen

Entscheidend: Die Meldepflichten (24-Stunden-Erstmeldung bei Sicherheitsvorfällen) gelten bereits seit Dezember 2025 — unabhängig davon, ob Sie registriert sind.

Geschäftsführer haften persönlich — mit Privatvermögen

Das NIS2UmsuCG führt eine explizite Leitungsverantwortung ein. §38 des Gesetzes stellt klar: Die Geschäftsleitung muss die Umsetzung der Risikomanagementmaßnahmen überwachen und genehmigen — und haftet bei Pflichtverletzungen persönlich.

Konkret bedeutet das:

• Persönliche Haftung mit Privatvermögen nach §43 Abs. 2 GmbHG bzw. §93 Abs. 2 AktG

• Die Verantwortung ist nicht an den IT-Leiter oder CISO delegierbar

• Geschäftsführer müssen nachweislich an NIS2-Schulungen teilgenommen haben

• Bei Vorsatz oder grober Fahrlässigkeit drohen auch strafrechtliche Konsequenzen

Ein CISO kann die operative Umsetzung übernehmen — aber die Letztverantwortung bleibt bei der Geschäftsleitung. Das ist neu und vielen Führungskräften nicht bewusst.

Der Registrierungsprozess in 5 Schritten

Schritt 1: Betroffenheitsprüfung

Nutzen Sie die BSI-Betroffenheitsprüfung. Betroffen sind Unternehmen ab 50 Mitarbeitern ODER 10 Mio. € Umsatz in definierten Sektoren (Energie, Transport, Gesundheit, Digitale Infrastruktur, Finanzwesen, u.v.m.).

Schritt 2: ELSTER-Organisationszertifikat beantragen

Die Registrierung im BSI-Portal erfordert ein ELSTER-Organisationszertifikat. Achtung: Die Beantragung kann mehrere Wochen dauern. Wenn Sie noch kein Zertifikat haben, handeln Sie sofort.

Schritt 3: Im BSI-Portal registrieren

Im Portal geben Sie an: Unternehmensgröße, Rechtsform, Sektor, zuständige Bundesbehörde und eine NIS2-Kontaktstelle (inkl. Vertreter).

Schritt 4: NIS2-Kontaktstelle benennen

Sie müssen eine Kontaktstelle benennen, die für das BSI erreichbar ist — rund um die Uhr. Diese Stelle nimmt Warnungen und Informationen des BSI entgegen.

Schritt 5: Meldeprozesse etablieren

Parallel zur Registrierung müssen Sie Prozesse für die Meldepflichten aufsetzen: 24 Stunden für die Erstmeldung, 72 Stunden für ein Update, 30 Tage für den Abschlussbericht.

Nach der Registrierung: Was kommt als Nächstes?

Die Registrierung ist nur der erste Schritt. Danach müssen betroffene Unternehmen:

• Ein Informationssicherheitsmanagementsystem (ISMS) aufbauen oder erweitern

• Risikomanagementmaßnahmen nach §30 NIS2UmsuCG implementieren

• Die Lieferkette absichern (Supply-Chain-Security wird geprüft)

• Regelmäßige Schulungen für Geschäftsleitung und Mitarbeiter durchführen

• Business-Continuity-Management etablieren

• Sich auf BSI-Audits vorbereiten

Realität: Laut Computerwoche haben zwei Drittel der betroffenen Unternehmen NIS2 noch nicht vollständig umgesetzt. Der Rückstand ist enorm.

Die 3 größten Denkfehler

Denkfehler 1: "Wir sind zu klein"

NIS2 betrifft nicht nur Großkonzerne. Die Schwellenwerte liegen bei 50 Mitarbeitern oder 10 Mio. € Umsatz. Außerdem: Wenn Sie Teil der Lieferkette eines betroffenen Unternehmens sind, können auch Sie in die Pflicht genommen werden.

Denkfehler 2: "Die IT-Abteilung kümmert sich"

Die IT kann implementieren — aber die Geschäftsleitung muss genehmigen, überwachen und haftet persönlich. NIS2 macht Cybersicherheit explizit zur Chefsache.

Denkfehler 3: "Registrierung = Compliance"

Die Registrierung beim BSI ist der Anfang, nicht das Ende. Ohne ISMS, ohne Meldeprozesse, ohne Schulungen sind Sie weiterhin nicht compliant — und haftbar.

Häufig gestellte Fragen

Kann ich mich nach dem 6. März noch registrieren?

Technisch ja, das BSI-Portal bleibt offen. Aber Sie sind ab dem 7. März im Verzug und riskieren Aufsichtsmaßnahmen und Bußgelder.

Was kostet die Registrierung?

Die Registrierung selbst ist kostenlos. Die anschließende Umsetzung der NIS2-Anforderungen (ISMS, Schulungen, Audits) erfordert jedoch Budget und Ressourcen.

Wir haben bereits ISO 27001 — reicht das?

ISO 27001 ist eine hervorragende Basis, deckt aber nicht alle NIS2-Anforderungen ab. Insbesondere die Meldepflichten (24h-Frist), die Leitungsverantwortung und die Supply-Chain-Anforderungen gehen über ISO 27001 hinaus.

Gilt NIS2 auch für Cloud-Anbieter und SaaS?

Ja. Anbieter digitaler Infrastruktur und digitaler Dienste (Cloud Computing, Rechenzentren, DNS, CDN) sind explizit im Anwendungsbereich.

Fazit: Handeln Sie jetzt

Die NIS2-Registrierungsfrist am 6. März 2026 ist keine Empfehlung — sie ist gesetzliche Pflicht. Wer jetzt nicht handelt, riskiert Bußgelder bis 10 Mio. €, persönliche Haftung der Geschäftsführung und BSI-Aufsichtsmaßnahmen.

ADVISORI unterstützt Sie bei der NIS2-Compliance: Von der Betroffenheitsprüfung über die Registrierung bis zum vollständigen ISMS-Aufbau. Jetzt kostenloses Erstgespräch vereinbaren.