NIS2 Durchsetzung 2026: Was jetzt passiert – und was Unternehmen sofort tun müssen
Es ist ein Dienstagmorgen. Ihre Assistentin legt Ihnen einen Brief des Bundesamts für Sicherheit in der Informationstechnik auf den Tisch. Absender: BSI. Betreff: Aufforderung zur Registrierung nach § 33 BSIG-neu — Fristsetzung 14 Tage. Ihr Unternehmen beschäftigt 120 Mitarbeiter, erwirtschaftet 25 Millionen Euro Umsatz, liefert IT-Dienstleistungen an Krankenhäuser. Sie sind NIS2-pflichtig. Und Sie haben die Registrierungsfrist am 6. März 2026 verpasst.
⚠️ Wichtig: Die BSI-Registrierungspflicht ist in Kraft. Unternehmen die sich noch nicht registriert haben, riskieren Bußgelder bis 10 Mio. € und persönliche Geschäftsführerhaftung.
Dieser Brief ist kein hypothetisches Szenario. Das BSI hat signalisiert, dass es nach der Registrierungsphase nun zur aktiven Durchsetzung übergeht. Wer jetzt noch nicht gehandelt hat, riskiert Bußgelder bis zu 10 Millionen Euro und persönliche Geschäftsführerhaftung. Dieser Artikel erklärt, was jetzt passiert — und was Sie sofort tun müssen.
Was bisher geschah: Das NIS2-Gesetz ist in Kraft
Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland. Es betrifft rund 29.500 Unternehmen in 18 kritischen Sektoren — von Energie über Gesundheit bis zu digitaler Infrastruktur, Logistik und Abfallwirtschaft. Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz, die in diesen Sektoren tätig sind, fallen automatisch unter die Regulierung.
Die erste Pflicht: Registrierung beim BSI über das neue MELDUNG.BSI-Portal. Die Frist dafür war drei Monate nach Inkrafttreten — der 6. März 2026. Nach BSI-Schätzungen haben rund 18.500 Firmen diese Frist verpasst.
BSI wechselt in den Durchsetzungsmodus
Bislang war das BSI in der Orientierungs- und Registrierungsphase: Betroffenheitsprüfung online, Workshops, FAQ-Seiten. Das ändert sich jetzt. Das BSI hat angekündigt, nach dem Ablauf der Registrierungsfrist aktiv zu prüfen, welche Unternehmen sich nicht registriert haben. Die Behörde hat dafür weitreichende Befugnisse:
Verbindliche Anordnungen: Das BSI kann Unternehmen verpflichten, bestimmte Sicherheitsmaßnahmen umzusetzen oder nachzuweisen.
Audits und Inspektionen: Vor-Ort-Prüfungen oder Dokumentenanforderungen zur Überprüfung der NIS2-Compliance.
Öffentliche Bekanntmachungen: Bei schwerwiegenden Verstößen kann das BSI diese öffentlich machen — ein erhebliches Reputationsrisiko.
Bußgelder: Für besonders wichtige Einrichtungen bis 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis 7 Millionen Euro oder 1,4 % des Umsatzes.
Persönliche Haftung der Geschäftsführung
NIS2 enthält eine Neuerung, die viele Unternehmen noch nicht auf dem Schirm haben: Geschäftsführer können persönlich für NIS2-Verstöße haftbar gemacht werden. § 38 BSIG-neu sieht vor, dass die Leitungsebene die Umsetzung der Sicherheitsmaßnahmen genehmigen und überwachen muss. Bei grober Fahrlässigkeit oder Vorsatz ist eine persönliche Inanspruchnahme möglich. Das BSI kann sogar ein vorübergehendes Berufsverbot für Führungskräfte aussprechen, wenn diese wiederholt oder schwerwiegend gegen NIS2 verstoßen.
Was passiert konkret, wenn Sie noch nicht registriert sind?
Das BSI arbeitet die Sektoren systematisch ab. Wer in einem regulierten Sektor tätig ist und die Größenschwellen überschreitet, wird früher oder später identifiziert — über Branchen- und Handelsregister, Meldungen von Geschäftspartnern oder eigene BSI-Erhebungen. Die Erfahrung aus anderen EU-Ländern zeigt: Behörden beginnen mit hochprofilierten Sektoren (Energie, Gesundheit, digitale Infrastruktur) und weiten die Prüfungen schrittweise aus.
Der typische Ablauf nach einer BSI-Feststellung: Erst kommt eine formlose Aufforderung zur Registrierung mit kurzer Fristsetzung. Reagiert das Unternehmen nicht, folgt ein formeller Bescheid. Danach können Ordnungswidrigkeitsverfahren eingeleitet werden. Im schlimmsten Fall endet es mit einem Bußgeld und öffentlicher Bekanntmachung.
Sofortmaßnahmen: Was Sie in den nächsten 14 Tagen tun müssen
Wenn Sie die Registrierungsfrist verpasst haben, zählt jetzt jeder Tag. Hier die priorisierten Maßnahmen:
✅ Schritt 1: Betroffenheit final klären
Nutzen Sie den offiziellen BSI-Entscheidungsbaum unter betroffenheitspruefung-nis-2.bsi.de. Prüfen Sie Sektor, Mitarbeiterzahl und Umsatz. Holen Sie sich im Zweifel rechtliche Bestätigung — die Eigeneinschätzung bindet das BSI nicht.
✅ Schritt 2: ELSTER-Organisationszertifikat beantragen
Ohne ELSTER-Organisationszertifikat keine BSI-Registrierung. Beantragung über elster.de, Bearbeitungszeit 3–7 Werktage. Starten Sie sofort.
✅ Schritt 3: Registrierung im MELDUNG.BSI-Portal
Sobald das Zertifikat vorliegt: Registrierung unter meldung.bsi.de. Angaben zu Unternehmensstruktur, Sektor, Einrichtungstyp (wichtig vs. besonders wichtig) und Kontaktdaten für Sicherheitsvorfälle.
✅ Schritt 4: Sicherheitsmaßnahmen inventarisieren
§ 30 BSIG-neu schreibt 10 Kernmaßnahmen vor: Risikoanalyse, Incident-Response-Plan, Business Continuity, Supply-Chain-Sicherheit, Netzwerksicherheit, Schwachstellenmanagement, Kryptographie, Zugriffskontrolle, Multi-Faktor-Authentifizierung und Sicherheitsschulungen. Dokumentieren Sie den Ist-Stand.
✅ Schritt 5: Meldeprozess für Sicherheitsvorfälle einrichten
NIS2 verlangt eine 24-Stunden-Erstmeldung bei erheblichen Sicherheitsvorfällen. Wer keinen Prozess hat, ist doppelt exponiert: einmal wegen der versäumten Registrierung, einmal wegen einer nicht gemeldeten Incident.
Weiterführende ADVISORI-Artikel zu NIS2
Detaillierte Informationen zu Bußgeldern und Haftung finden Sie in unserem Artikel NIS2-Frist verpasst: Bußgelder & Haftung 2026. Eine Schritt-für-Schritt-Anleitung zur BSI-Registrierung bietet NIS2-Registrierung beim BSI: Die vollständige Anleitung.
Häufige Fragen zur NIS2-Durchsetzung
Was passiert, wenn ich die Registrierungsfrist verpasst habe?
Holen Sie die Registrierung sofort nach. Solange das BSI noch keinen Bescheid ausgestellt hat, ist eine freiwillige Nachregistrierung der beste Weg, das Bußgeldrisiko zu minimieren. Das BSI hat signalisiert, dass proaktives Handeln bei der Sanktionsbemessung berücksichtigt wird.
Wie findet das BSI heraus, dass mein Unternehmen NIS2-pflichtig ist?
Das BSI nutzt verschiedene Quellen: Handels- und Unternehmensregister, Branchenverbände, Selbstauskünfte, und Meldungen aus der Wirtschaft. Zudem arbeitet das BSI mit Sektorregulierern zusammen — in der Energie- und Gesundheitsbranche etwa mit der Bundesnetzagentur und dem BfArM.
Bin ich als GmbH-Geschäftsführer wirklich persönlich haftbar?
Ja, unter bestimmten Bedingungen. § 38 BSIG-neu verpflichtet die Unternehmensleitung zur Genehmigung und Überwachung der Cybersicherheitsmaßnahmen. Bei nachweislicher Fahrlässigkeit kann das BSI Bußgelder direkt gegen natürliche Personen verhängen und — in schweren Fällen — ein temporäres Berufsverbot aussprechen.
Gilt NIS2 auch für Tochtergesellschaften internationaler Konzerne?
Ja. Jede in Deutschland aktive Einrichtung, die die Größenschwellen und Sektorkriterien erfüllt, ist NIS2-pflichtig — unabhängig davon, ob das Mutterunternehmen im Ausland sitzt. Die Registrierung und Compliance-Pflichten gelten für den deutschen Rechtsträger.
ADVISORI unterstützt Sie bei der NIS2-Compliance
Die NIS2-Uhr läuft. ADVISORI begleitet Unternehmen von der Betroffenheitsprüfung über die BSI-Registrierung bis zur vollständigen Compliance-Umsetzung. Unsere NIS2-Berater haben bereits über 50 Unternehmen in Deutschland durch den Prozess geführt — schnell, rechtssicher und ohne Betriebsunterbrechungen.
Nehmen Sie jetzt Kontakt auf — bevor das BSI es für Sie tut.