Der 6. März 2026 war ein Stichtag, den viele Unternehmen unterschätzt haben. An diesem Tag lief die Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI) für Einrichtungen ab, die unter das NIS2-Umsetzungsgesetz fallen. Das Ergebnis ist ernüchternd: Von den rund 29.850 meldepflichtigen Unternehmen in Deutschland haben lediglich 11.500 die Frist eingehalten – eine Registrierungsquote von knapp 38,5 Prozent. Rund 18.500 Unternehmen stehen nun vor einer neuen Realität: Das BSI ist in die aktive Durchsetzungsphase übergegangen.

Was das konkret bedeutet, ist vielen Betroffenen noch nicht klar. Dabei geht es nicht nur um abstrakte Bußgelder irgendwo in der Zukunft. Es geht um persönliche Haftung der Geschäftsleitung, um mögliche Berufsverbote für Führungskräfte und um einen Compliance-Rückstand, der täglich wächst. Dieser Artikel erklärt, was auf nicht-registrierte Unternehmen zukommt, was §38 BSIG-neu wirklich bedeutet – und wie ein realistischer Notfallplan aussieht.

Zur Einordnung: Was ist NIS2 überhaupt?

NIS2 steht für die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (Network and Information Security Directive 2). In Deutschland wurde sie mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) umgesetzt, das im Dezember 2025 in Kraft trat. Das Gesetz erweitert den Kreis der betroffenen Organisationen erheblich: Während die Vorgängerregelung nur ausgewählte Kritische-Infrastruktur-Betreiber betraf, fällt nun ein breites Spektrum an Branchen und Unternehmensgrößen unter die neuen Anforderungen.

Betroffen sind Unternehmen aus 18 Sektoren – darunter Energie, Transport, Gesundheit, aber auch Maschinenbau, Chemie, Lebensmittelproduktion, digitale Infrastruktur und viele weitere. Das Gesetz unterscheidet dabei zwischen „besonders wichtigen Einrichtungen" (ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz in kritischen Sektoren) und „wichtigen Einrichtungen" (ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz). Wer in diese Kategorien fällt, hat umfangreiche Pflichten: Registrierung beim BSI, Risikomanagementmaßnahmen, Meldepflichten bei Sicherheitsvorfällen und mehr.

Die Zahlen, die aufhorchen lassen

Die BSI-Registrierungsfrist endete am 6. März 2026. Was dann folgte, war keine Überraschung für diejenigen, die die Lage nüchtern beobachtet haben: Vom BSI selbst geschätzte 29.500 bis 30.000 Unternehmen waren zur Registrierung verpflichtet. Tatsächlich registriert haben sich bis zur Frist rund 11.500 Einrichtungen.

Das bedeutet: Mehr als 18.000 Unternehmen haben die erste und einfachste Compliance-Pflicht – die bloße Registrierung beim BSI – nicht erfüllt. Die Registrierung selbst ist dabei noch nicht einmal die eigentlich komplexe Anforderung. Sie ist der administrative Ausgangspunkt, von dem aus das BSI die Pflichten der Einrichtungen verfolgt. Wer nicht registriert ist, kann auch keine Sicherheitsvorfälle melden, keine Risikomanagementmaßnahmen nachweisen – und befindet sich damit in einem regulatorischen Vakuum mit wachsendem Sanktionsrisiko.

Die Geschichte von Markus Wagner: Ein Szenario aus dem deutschen Mittelstand

Markus Wagner ist Geschäftsführer der Wagner Fertigungstechnik GmbH, einem Maschinenbauunternehmen mit 320 Mitarbeitern und einem Jahresumsatz von 58 Millionen Euro in Süddeutschland. Das Unternehmen fertigt Präzisionsteile für die Automobilindustrie und die Medizintechnik – ein solider Mittelständler, seit 40 Jahren am Markt, kerngesund aufgestellt.

Als Markus Wagner im Februar 2026 von NIS2 hörte, war seine erste Reaktion eine Mischung aus Vertrautheit und Abwehr. „Das ist doch eher was für Krankenhäuser und Energieversorger, oder?" hatte er seinen IT-Leiter Thomas Maier gefragt. Maier, der die Wagner IT seit acht Jahren mit einem dreiköpfigen Team betreut, hatte genickt – halb überzeugt, halb erleichtert, dass das Thema vom Tisch war.

Am 12. März 2026 – sechs Tage nach Ablauf der Registrierungsfrist – lag ein Brief vom BSI im Briefkasten des Unternehmens. Der Ton war sachlich, aber unmissverständlich: Die Wagner Fertigungstechnik GmbH falle als „wichtige Einrichtung" im Sektor verarbeitendes Gewerbe unter die Anforderungen des NIS2-Umsetzungsgesetzes. Die Registrierungsfrist sei verstrichen. Das BSI forderte die Einrichtung auf, die Registrierung unverzüglich nachzuholen und eine Stellungnahme zur bisherigen Nichtteilnahme einzureichen.

Markus Wagner rief sofort seinen Anwalt an. Was der ihm erklärte, veränderte seine Sicht auf die Lage grundlegend.

Was §38 BSIG-neu wirklich bedeutet

Viele Unternehmen haben NIS2 bisher als Compliance-Thema betrachtet, das die IT-Abteilung zu regeln hat. Das ist ein grundlegender Irrtum. §38 des neuen BSIG (Bundessicherheitsgesetz) führt eine explizite Leitungsverantwortung ein, die in der deutschen Unternehmenslandschaft in dieser Form neu ist.

Die Norm sieht vor, dass die Geschäftsleitung – nicht die IT-Abteilung – die Implementierung von Cybersicherheitsmaßnahmen zu genehmigen und zu überwachen hat. Das ist keine Formalalie. Es bedeutet, dass Geschäftsführer und Vorstände persönlich nachweisen müssen, dass sie sich aktiv mit den Sicherheitsmaßnahmen ihres Unternehmens befasst haben: durch dokumentierte Entscheidungen, Budgetgenehmigungen, regelmäßige Lageberichte.

Besonders einschneidend ist die Haftungsregelung: Bei grober Fahrlässigkeit oder Vorsatz können Leitungspersonen persönlich für Schäden haftbar gemacht werden, die aus unzureichender NIS2-Compliance entstehen. Diese Haftung ist nicht auf das Gesellschaftsvermögen begrenzt – sie kann das Privatvermögen des Geschäftsführers treffen. Und als ob das nicht genug wäre: Das BSI hat die Befugnis erhalten, im Wiederholungsfall oder bei schwerwiegenden Verstößen ein vorübergehendes Berufsverbot für die verantwortliche Führungskraft auszusprechen.

Für Markus Wagner bedeutete das konkret: Als Geschäftsführer der Wagner Fertigungstechnik GmbH war er persönlich für die NIS2-Compliance verantwortlich – und als solcher auch persönlich haftbar für das Versäumnis, die Registrierung bis zum 6. März vorzunehmen.

Wie das BSI die Durchsetzung gestaltet

Das BSI hat nach Ablauf der Registrierungsfrist angekündigt, nicht einfach abzuwarten. Die Behörde hat einen strukturierten Durchsetzungsprozess skizziert, der in mehreren Stufen eskaliert:

Stufe 1 – Identifikation: Das BSI hat angekündigt, nicht-registrierte Einrichtungen aktiv zu identifizieren. Dabei nutzt die Behörde eigene Datenbanken, Branchenverzeichnisse, Handelsregisterdaten und Hinweise aus der Industrie. Wer glaubt, unbemerkt unter dem Radar zu bleiben, irrt sich: Der BSI hat auch Informationsquellen aus anderen EU-Mitgliedstaaten und europäischen Regulierungsbehörden.

Stufe 2 – Aufforderung zur Registrierung: Identifizierte Einrichtungen erhalten – wie im Fall von Markus Wagner – zunächst eine formelle Aufforderung zur Registrierung mit einer Frist. Wer jetzt reagiert, kann den Eskalationsprozess noch aufhalten.

Stufe 3 – Anhörung und Bußgeldverfahren: Wer die Aufforderung ignoriert oder nicht ausreichend auf sie eingeht, riskiert ein förmliches Bußgeldverfahren. Das BSI arbeitet dabei mit den zuständigen Landesbehörden zusammen. Die Bußgelder sind dabei nach Einrichtungstyp gestaffelt.

Stufe 4 – Sicherheitsaudit: Bei schwerwiegenden Verstößen oder konkreten Sicherheitsvorfällen kann das BSI vollständige Sicherheitsaudits anordnen – auf Kosten der betroffenen Einrichtung.

Stufe 5 – Persönliche Sanktionen: Im äußersten Fall – bei systematischer Nicht-Compliance oder wiederholten Verstößen – kommen die persönlichen Sanktionen nach §38 BSIG-neu zum Tragen.

Das Stufenmodell der Bußgelder

Die Bußgeldrahmen des NIS2-Umsetzungsgesetzes sind nicht zu unterschätzen. Sie orientieren sich bewusst an den DSGVO-Sanktionen und sind darauf ausgelegt, auch für große Unternehmen abschreckend zu wirken:

Für besonders wichtige Einrichtungen – also Unternehmen ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz in besonders relevanten Sektoren – beträgt der Bußgeldrahmen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Wert höher ist. Für ein Unternehmen mit 200 Millionen Euro weltweitem Umsatz bedeutet das: bis zu 4 Millionen Euro Bußgeld.

Für wichtige Einrichtungen – Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz – gilt ein Rahmen von bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

Hinzu kommen die Kosten für angeordnete Sicherheitsaudits, Nachbesserungsmaßnahmen und ggf. Wiederherstellungskosten nach einem Sicherheitsvorfall, der auf mangelnde Compliance zurückgeführt werden kann. Die Gesamtkosten einer NIS2-Nicht-Compliance können schnell ein Vielfaches der eigentlichen Bußgelder erreichen.

Die eigentliche Botschaft: Es ist nicht zu spät – aber es wird täglich dringlicher

Das Wichtigste vorab: Eine verpasste Registrierungsfrist bedeutet nicht, dass das Spiel vorbei ist. Das BSI hat signalisiert, dass es an einer strukturierten und verhältnismäßigen Durchsetzung interessiert ist – nicht daran, einen Großteil des deutschen Mittelstands mit Bußgeldern zu überziehen. Einrichtungen, die jetzt aktiv werden und proaktiv auf das BSI zugehen, haben gute Chancen, den Prozess ohne schwerwiegende Konsequenzen zu navigieren.

Was aber nicht mehr möglich ist: Das Thema auf die lange Bank zu schieben. Jeder Tag, an dem eine betroffene Einrichtung keine Maßnahmen ergreift, vergrößert das Haftungsrisiko – sowohl für das Unternehmen als auch persönlich für die Geschäftsleitung. Und mit jedem Tag ohne dokumentierte Schritte wächst die Schwierigkeit, gegenüber dem BSI nachzuweisen, dass man die Situation ernst nimmt.

Zurück zu Markus Wagner: Was er jetzt getan hat

Markus Wagner hat nach dem Gespräch mit seinem Anwalt keine Zeit verloren. Noch am selben Tag hat er drei Entscheidungen getroffen, die seinen Umgang mit der Situation grundlegend verändert haben.

Erstens hat er die NIS2-Registrierung beim BSI eingeleitet – noch bevor er die Stellungnahme abgegeben hat. Das signalisiert dem BSI aktiven Willen zur Compliance. Zweitens hat er einen externen Dienstleister mit einer Gap-Analyse beauftragt: Wo steht die Wagner Fertigungstechnik GmbH in Bezug auf die geforderten technischen und organisatorischen Maßnahmen? Welche Lücken gibt es? Welche Priorität haben sie? Drittens hat er einen internen NIS2-Beauftragten benannt – Thomas Maier, seinen IT-Leiter – und diesem ein klares Mandat und ein Budget gegeben.

Das BSI hat die Stellungnahme der Wagner Fertigungstechnik GmbH erhalten, die Nachregistrierung anerkannt und das Verfahren vorläufig eingestellt. Der Weg zurück zur Compliance ist lang – aber er ist begehbar.

10-Punkte-Notfallplan für betroffene Unternehmen

Wenn Sie sich in der Situation von Markus Wagner wiederfinden – oder wenn Sie sich nicht sicher sind, ob Ihr Unternehmen unter NIS2 fällt – ist hier ein konkreter Aktionsplan:

1. Prüfen, ob NIS2 gilt. Verschaffen Sie sich zunächst Klarheit, ob Ihr Unternehmen überhaupt unter die NIS2-Pflichten fällt. Das BSI stellt unter bsi.bund.de eine Selbsteinschätzungshilfe bereit. Wenn Sie unsicher sind: lieber prüfen lassen, als annehmen, dass Sie nicht betroffen sind.

2. Sofortige BSI-Registrierung nachholen. Die Registrierung erfolgt über das MELDEPLATTFORM-Portal des BSI. Sie dauert in der Regel wenige Stunden und ist der erste, sichtbarste Schritt zur Compliance. Holen Sie diesen Schritt unverzüglich nach – er signalisiert dem BSI Ihren Willen zur Kooperation.

3. Dokumentieren Sie Ihren aktuellen Stand. Halten Sie schriftlich fest, was in Ihrem Unternehmen bereits vorhanden ist: Welche technischen Sicherheitsmaßnahmen? Welche Prozesse für Incident Response? Welche Risikobewertungen? Diese Dokumentation ist die Grundlage für alles Weitere und zeigt dem BSI, dass Sie strukturiert vorgehen.

4. Beauftragen Sie eine Gap-Analyse. Ein externer Dienstleister kann Ihren aktuellen Sicherheitszustand systematisch mit den NIS2-Anforderungen vergleichen. Die identifizierten Lücken bilden den Fahrplan für Ihre Umsetzungsroadmap. Ohne diese Bestandsaufnahme tappen Sie im Dunkeln.

5. Benennen Sie einen internen NIS2-Beauftragten. Auch wenn externe Unterstützung sinnvoll ist: Jemand intern muss das Thema ownen. Das muss kein dedizierter Vollzeit-CISO sein – aber es muss eine Person mit Mandat, Budget und direktem Berichterstattungsweg zur Geschäftsleitung geben.

6. Informieren Sie die Geschäftsleitung aktiv und dokumentieren Sie das. §38 BSIG-neu verlangt, dass die Leitungsebene Cybersicherheitsmaßnahmen genehmigt und überwacht. Halten Sie diese Governance-Aktivitäten schriftlich fest: Vorstandssitzungen, in denen NIS2 besprochen wird, Budgetgenehmigungen für Sicherheitsmaßnahmen, regelmäßige Lageberichte.

7. Etablieren Sie einen Incident-Response-Prozess. NIS2 schreibt vor, dass erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden gemeldet werden müssen (Erstmeldung) und dass ein detaillierter Bericht innerhalb von 72 Stunden folgt. Wenn Sie noch keinen Incident-Response-Plan haben, sollten Sie diesen so schnell wie möglich entwickeln.

8. Überprüfen Sie Ihre Lieferkette. NIS2 verlangt auch, dass Sie die Cybersicherheitsrisiken Ihrer Lieferanten und Dienstleister bewerten. Das bedeutet: Fragen Sie Ihre wichtigsten IT-Dienstleister, Cloud-Anbieter und Softwarelieferanten nach deren NIS2-Compliance-Status.

9. Stellen Sie Budget bereit. NIS2-Compliance kostet Geld – für Maßnahmen, für externe Unterstützung, für Schulungen, ggf. für neue Technologien. Laut aktuellen Studien rechnen betroffene Unternehmen mit durchschnittlichen Umsetzungskosten von 0,5 bis 2 Prozent des Jahresumsatzes. Planen Sie dieses Budget ein.

10. Holen Sie rechtliche und technische Beratung gleichzeitig. NIS2 ist sowohl ein rechtliches als auch ein technisches Thema. Ein guter Umsetzungspartner verbindet beide Perspektiven: Er hilft Ihnen nicht nur, die technischen Maßnahmen zu implementieren, sondern auch die rechtliche Dokumentation so zu gestalten, dass Sie im Falle einer BSI-Prüfung gut aufgestellt sind.

Wie lange dauert NIS2-Compliance wirklich?

Eine ehrliche Antwort: Das hängt stark von Ihrem Ausgangspunkt ab. Unternehmen, die bereits eine ISO-27001-Zertifizierung oder ähnliche Sicherheitsstandards implementiert haben, können NIS2-Compliance deutlich schneller erreichen – oft innerhalb von drei bis sechs Monaten. Für Unternehmen ohne gewachsene Sicherheitsstruktur ist ein Zeitraum von zwölf bis achtzehn Monaten für eine vollständige Umsetzung realistisch.

Das Entscheidende ist: Das BSI unterscheidet zwischen dem Nachweis eines ernsthaften Compliance-Bemühens und einer vollständigen Umsetzung. Wer dem BSI zeigen kann, dass er systematisch und priorisiert vorgeht, reduziert das Sanktionsrisiko erheblich – selbst wenn die vollständige Umsetzung noch aussteht. Ein dokumentierter Fahrplan mit klaren Meilensteinen ist dabei wertvoller als vage Versprechen.

Warum externe Unterstützung oft der schnellere Weg ist

Es gibt Unternehmen, die NIS2 intern stemmen können – mit ausreichend Personal, Know-how und Zeit. Für die Mehrheit des deutschen Mittelstands ist das aber nicht die Realität. IT-Teams sind bereits voll ausgelastet mit dem Tagesgeschäft. NIS2 erfordert eine Kombination aus rechtlichem Verständnis, technischem Sicherheits-Know-how und prozessualem Gestaltungswillen, die selten in einer kleinen IT-Abteilung vollständig vorhanden ist.

Externe Dienstleister, die auf NIS2 und Informationssicherheit spezialisiert sind, bringen drei entscheidende Vorteile mit: Erstens haben sie den Prozess bereits für andere Unternehmen durchlaufen und kennen die häufigsten Stolpersteine. Zweitens können sie durch standardisierte Templates, Checklisten und Bewertungsrahmen erheblich schneller arbeiten als ein Team, das das Rad neu erfindet. Drittens bringen sie eine externe Perspektive mit, die hilft, blinde Flecken im eigenen Sicherheitskonzept aufzudecken.

pleXtec unterstützt mittelständische Unternehmen bei der strukturierten Umsetzung von Compliance-Anforderungen – von der initialen Gap-Analyse über die Entwicklung eines Maßnahmenplans bis hin zur technischen Umsetzung und Dokumentation. Wenn Sie wissen möchten, wo Ihr Unternehmen in Bezug auf NIS2 steht, empfehle ich einen ersten, unverbindlichen Austausch über unser Kontaktformular.

Die breitere Perspektive: NIS2 ist nur der Anfang

NIS2 ist nicht die letzte regulatorische Welle, die auf den deutschen Mittelstand zurollt. DORA – die Digital Operational Resilience Act – gilt seit Januar 2025 für den Finanzsektor. Der EU AI Act entfaltet seit 2026 erste verpflichtende Anforderungen für Unternehmen, die KI-Systeme einsetzen oder entwickeln. Der Cyber Resilience Act (CRA) wird ab 2027 verpflichtende Sicherheitsanforderungen für Hersteller von vernetzten Produkten einführen.

Die Regulierungswelle der EU zielt dabei auf ein gemeinsames Ziel: die digitale Widerstandsfähigkeit des europäischen Binnenmarkts zu stärken. Das ist angesichts der Bedrohungslage – Deutschland ist Europas meistangegriffenes Land, mit über 1.200 Cyberangriffen pro Woche auf deutsche Organisationen – kein bürokratischer Selbstzweck, sondern eine notwendige Reaktion.

Für Unternehmen bedeutet das: Wer jetzt in eine robuste Sicherheitsstruktur investiert, schafft nicht nur NIS2-Compliance. Er baut eine Grundlage auf, die ihn auf künftige Anforderungen vorbereitet und – wichtiger noch – ihn im Ernstfall vor echten Schäden schützt. Eine solide Informationssicherheitsstrategie ist keine Kostenstelle – sie ist eine Risikoversicherung.

Was Markus Wagner heute sagen würde

Drei Wochen nach dem BSI-Brief ist Markus Wagner noch nicht fertig mit der NIS2-Umsetzung. Er ist ehrlich darüber, dass das Unternehmen noch einen langen Weg vor sich hat. Aber er hat angefangen. Die Registrierung ist nachgeholt, die Gap-Analyse ist beauftragt, und zum ersten Mal hat das Thema IT-Sicherheit in einer Geschäftsführungssitzung der Wagner Fertigungstechnik GmbH einen eigenen Tagesordnungspunkt erhalten.

„Ich hätte das früher ernst nehmen müssen", sagt er. „Aber besser jetzt als nie." Es ist ein Satz, der für Tausende von Geschäftsführern im deutschen Mittelstand gerade gilt. Der entscheidende erste Schritt ist, ihn tatsächlich zu tun – und nicht zu warten, bis der BSI-Brief den Anstoß gibt.

Wenn Sie unsicher sind, ob Ihr Unternehmen unter NIS2 fällt, oder wenn Sie wissen möchten, wie eine strukturierte Umsetzung in Ihrem Kontext aussehen kann: Sprechen Sie uns an. Wir helfen Ihnen, den Überblick zu gewinnen – und dann zu handeln.