NIS2-Registrierung gescheitert: 61,5 % der Unternehmen verpassten die Frist
Ein kritisches Zahlenverhältnis offenbart ein massives Compliance-Problem in der deutschen Wirtschaft: Von den geschätzten 29.850 Unternehmen, die der NIS2-Registrierungspflicht unterliegen, haben nur 11.500 die BSI-Frist am 6. März 2026 eingehalten. Das bedeutet konkret: Fast zwei Drittel aller betroffenen Organisationen sind derzeit nicht regelkonform registriert. Für IT-Manager und Geschäftsführer ist dies kein rein administratives Problem – es ist ein unmittelbares Haftungsrisiko.
Der Weg zur NIS2: Verzögerungen und Versäumnisse
Die Europäische Union hatte die Richtlinie NIS2 bereits 2022 verabschiedet. Doch während andere EU-Länder zügig ihre Umsetzungsgesetze beschlossen, verpasste Deutschland zunächst die Deadline. Das NIS2-Umsetzungs- und Cybersicherheitsgesetz (NIS2UmsuCG) trat erst am 6. Dezember 2025 in Kraft – deutlich später als geplant und deutlich später als in vielen europäischen Nachbarländern.
Die Folge dieser verspäteten Umsetzung war eine konzentrierte, aggressive Fristenfolge: Am 6. Januar 2026 ging das BSI-Registrierungsportal online. Bereits am 6. März 2026 endete die Registrierungsfrist – weniger als zwei Monate für ein komplexes, zweistufiges Verfahren. Und das Entscheidende: Es gibt keine Übergangsfrist. Sicherheitsmaßnahmen müssen unmittelbar implementiert sein.
Diese Verdichtung war kein Zufall, sondern strukturelles Merkmal: Unternehmen sollten sich damit auseinandersetzen, dass regelkonforme IT-Sicherheit nicht optional ist, sondern unverzüglich Wirklichkeit werden muss.
Das zweistufige Verfahren: Ein administratives Labyrinth
Ein entscheidender Grund für die geringe Registrierungsquote liegt in der Komplexität des technischen Prozesses. Die Registrierung verläuft in zwei Schritten, die viele Unternehmen unterschätzt haben.
Schritt 1: Alle betroffenen Unternehmen müssen zunächst ein Konto im ELSTER-System anlegen – dem digitalen Portal des Bundeszentralamts für Steuern. Dieses Konto heißt „Mein Unternehmenskonto" und ist die Basis für alle nachfolgenden behördlichen Interaktionen.
Schritt 2: Mit ELSTER-Zugangsdaten können Unternehmen sich anschließend im BSI-Registrierungsportal anmelden und die Registrierung als betroffene oder besonders wichtige Einrichtung durchführen.
Was auf dem Papier logisch klingt, entpuppte sich in der Praxis als erhebliche Hürde. Besonders Mittelständler mit beschränkten IT-Compliance-Kapazitäten verloren in diesem administrativen Doppelprozess wertvolle Zeit. Hinzu kamen technische Störungen und Portal-Überlastungen in den letzten Wochen vor der Frist.
Wer ist betroffen? Die Kritikalitätsstufen verstehen
Die NIS2-Regulierung unterscheidet zwischen zwei Kategorien von Unternehmen mit unterschiedlichen Schwellwerten und Strafsätzen.
„Besonders wichtige Einrichtungen" (Essential Entities) arbeiten in absolut kritischen Sektoren: Energie, Wasser, Verkehr, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung. Der Schwellwert liegt bei ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Für diese Organisationen gelten die härtesten Strafvorgaben.
„Wichtige Einrichtungen" (Important Entities) sind Unternehmen in Sektoren wie Telekommunikation, Post und Logistik, Finanzwirtschaft, Lebensmittelproduktion, Chemie und Datenverarbeitung – mit dem gleichen Schwellwert-Modell.
Das Entscheidende: Größe und Umsatz sind nicht die einzigen Kriterien. Ein Maschinenbauunternehmen mit 45 Mitarbeitern, das für die Automobilindustrie arbeitet, kann unter NIS2 fallen. Ein IT-Dienstleister mit 60 Mitarbeitern unterliegt definitiv der Regulierung.
Das Strafregime: Von Bußgeldern bis zur persönlichen Haftung
Die Compliance-Quote von 38,5 % wird noch besorgniserregender, wenn man die Konsequenzen der Nicht-Einhaltung betrachtet. Für „besonders wichtige Einrichtungen" drohen Bußgelder bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für „wichtige Einrichtungen" liegen die Grenzen bei 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.
Besonders brisant: NIS2 schreibt auch persönliche Haftung von Geschäftsführern und Vorständen vor. Das betrifft nicht nur das Betriebsvermögen, sondern kann sich auch auf Privatvermögen erstrecken. Ein Geschäftsführer, der die Registrierungspflicht oder die erforderlichen Sicherheitsmaßnahmen ignoriert, handelt potenziell vorsätzlich und trägt persönliche Verantwortung.
Diese persönliche Dimension ist neu gegenüber älteren Compliance-Regimen. Sie erklärt auch, warum NIS2 für Geschäftsführungen ein erheblich höheres Risikoprofil darstellt als beispielsweise frühere Datenschutz-Standards.
Die EU-Reaktion: Gesetzliche Erleichterungen ab Januar 2026
Angesichts der offensichtlichen Schwierigkeiten bei der Umsetzung machte die EU-Kommission am 20. Januar 2026 einen Vorschlag: Vereinfachte Compliance-Anforderungen für insgesamt 28.700 kleinere Unternehmen. Das sind Organisationen, die zwar über der Größenschwelle liegen, aber in weniger kritischen Sektoren tätig sind.
Dieser Vorschlag war im Grunde ein eingestandenes Signal: Die ursprüngliche Regulierung war zu scharf kalibriert, und die Compliance-Kosten waren für viele kleinere, aber dennoch regulierte Unternehmen unverhältnismäßig.
Allerdings gilt diese Erleichterung nicht rückwirkend. Unternehmen, die bis zum 6. März 2026 nicht registriert waren, können nicht auf zukünftige Erleichterungen hoffen – sie müssen jetzt mit den strengeren Anforderungen rechnen.
Der größere Kontext: NIS2 ist nur der Anfang
Für IT-Manager ist NIS2 nicht isoliert zu betrachten. Es ist Teil einer umfassenden regulatorischen Welle, die deutsche und europäische Unternehmen in den nächsten Monaten überrollen wird. DORA (Digital Operational Resilience Act) gilt bereits seit Januar 2025 für den Finanzsektor. Der AI Act (KI-Verordnung) tritt im August 2026 in Kraft und regelt Hochrisiko-KI-Systeme mit teils erheblichen Compliance-Anforderungen. Und der CRA (Cyber Resilience Act) wird ab September 2026 Cybersicherheit in Produkten und Softwarekomponenten regulieren.
Diese regulatorische Verdichtung bedeutet: Unternehmen, die NIS2 noch nicht bewältigt haben, werden zeitgleich mit DORA-Anforderungen, AI-Act-Compliance und CRA-Verpflichtungen konfrontiert. Ein Szenario, das für viele Organisationen existenzielle Kapazitätsprobleme mit sich bringt.
Konkrete Handlungsempfehlungen für nicht-konforme Unternehmen
1. Sofortige Statusklärung: Betroffene Unternehmen sollten unverzüglich klären, ob sie unter NIS2 fallen. Ist die Antwort ja, muss die Registrierung nachgeholt werden – auch wenn die Frist vorbei ist. Eine späte Registrierung ist besser als gar keine. Das BSI akzeptiert weiterhin verspätete Anmeldungen.
2. ELSTER-Konto-Setup: Falls noch nicht geschehen, sollte „Mein Unternehmenskonto" bei der ELSTER-Plattform beantragt werden. Rechnen Sie mit ca. 5 bis 10 Arbeitstagen Bearbeitungszeit.
3. Sicherheitsmaßnahmen nicht aufschieben: Die Registrierung ist nur der erste Schritt. Die tatsächlichen Sicherheitsmaßnahmen – Incident Response, Supply-Chain-Security, Netzwerk-Segmentierung, Authentifizierung, Verschlüsselung – müssen parallel aufgebaut werden. Hier empfiehlt sich eine externe Beratung durch spezialisierte Compliance-Partner, um die Anforderungen zügig zu priorisieren.
4. Compliance-Software einsetzen: Eine dedizierte NIS2-Compliance-Lösung hilft, den aktuellen Stand der Maßnahmen zu tracken, Audit-Trails zu dokumentieren und Risikolücken zu identifizieren. Dies ist nicht nur zur Demonstrierung der Compliance wichtig, sondern auch zur Verteidigung gegen Bußgeldforderungen.
5. Geschäftsführerhaftung ernst nehmen: Die persönliche Haftung von Geschäftsführern erfordert eine neue Governance-Struktur. Regelmäßige Cyber-Security-Reports für den Vorstand, dokumentierte Compliance-Beschlüsse und eine Cyber-Insurance mit angemessenem Deckungslimit sind dringend erforderlich.
6. Anwaltsberatung einholen: Für Unternehmen, die die Frist massiv verfehlt haben, ist eine zeitnahe anwaltliche Einschätzung sinnvoll. Dies ist nicht nur eine Frage der technischen Compliance, sondern auch des Haftungsrisikos.
Die Realität hinter den 38,5 %
Die 38,5-Prozent-Registrierungsquote wirft Fragen auf: Sind die übrigen 61,5 % einfach nachlässig, oder gibt es strukturelle Hürden?
Die Antwort ist wahrscheinlich beides. Es gab sicherlich Organisationen, die NIS2 schlicht nicht auf dem Radar hatten. Aber auch viele professionell organisierte Mittelständler scheiterten an der Komplexität des Verfahrens, an technischen Problemen bei den Online-Portalen und an der extrem kurzen Frist zwischen Gesetzesverkündung und Registrierungs-Deadline.
Das ist auch kein rein deutsches Problem: In der gesamten EU zeigen sich ähnliche Compliance-Quoten. Es ist ein strukturelles Zeichen dafür, dass die europäische Regulierungsmaschinerie und die Realität deutscher und europäischer Unternehmen noch nicht synchronisiert sind.
Fazit: Handlung statt Abwarten
Für IT-Manager und Geschäftsführer lautet die Botschaft klar: NIS2 ist nicht optional und die Registrierungsfrist ist nicht verhandelbar. Organisationen, die bis März 2026 nicht registriert sind, befinden sich in einem Nicht-Compliance-Status mit erheblichen Bußgeld- und Haftungsrisiken.
Die gute Nachricht: Es ist nicht zu spät. Verspätete Registrierungen werden vom BSI noch akzeptiert. Der Aufwand, dies nachzuholen, ist deutlich kleiner als die Kosten für Bußgelder und die persönliche Haftung von Geschäftsführern.
Unternehmen, die sich unsicher sind, ob sie unter NIS2 fallen oder welche Maßnahmen erforderlich sind, sollten rasch externe Expertise hinzuziehen. Spezialisierte IT-Sicherheitsberater können in wenigen Tagen Klarheit schaffen und einen priorisierten Maßnahmenplan aufstellen. Dies ist eine Investition in Rechtskonformität und in den Schutz des Geschäfts – und in die persönliche Absicherung der Führungskräfte.
Die regulatorische Welle wird nicht langsamer. DORA, AI Act und CRA warten bereits. Unternehmen, die NIS2 jetzt abarbeiten, bauen zeitgleich die Compliance-Infrastruktur auf, die sie für die kommenden Jahre brauchen werden.
