Es ist kurz nach neun Uhr morgens, als Marcus Brenner, Geschäftsführer der Brenner Maschinenbau GmbH mit 85 Mitarbeitern in Schwäbisch Hall, eine E-Mail von seinem IT-Dienstleister öffnet. Der Betreff: „NIS2: BSI-Registrierung – haben Sie das schon erledigt?" Brenner lehnt sich zurück. Hatte er neulich nicht etwas darüber gelesen? Irgendwas mit einer Frist? Er scrollt durch seinen Kalender – und findet einen Post-it-Vermerk vom Herbst 2025: „NIS2 prüfen, Januar oder Februar". Es ist der 15. April 2026.

Marcus Brenner ist kein Einzelfall. Nach aktuellen BSI-Schätzungen haben von den rund 29.500 Unternehmen, die in Deutschland unter die NIS2-Richtlinie fallen, per Anfang April 2026 erst etwa 38,5 Prozent ihre Registrierung beim Bundesamt für Sicherheit in der Informationstechnik abgeschlossen. Das bedeutet im Umkehrschluss: Über 18.000 Unternehmen befinden sich in einer rechtlichen Grauzone – betroffen, aber weder registriert noch compliant. Die Frist lief offiziell am 6. März 2026 ab.

Dieser Leitfaden erklärt Schritt für Schritt, was die verpasste Frist konkret bedeutet, welche Risiken tatsächlich drohen, was Unternehmen jetzt sofort tun sollten – und wie man realistisch wieder auf einen rechtskonformen Kurs kommt.

Hintergrund: Was ist NIS2 und wen betrifft es?

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist das europäische Regelwerk zur Stärkung der Cybersicherheit kritischer Infrastrukturen und wichtiger Wirtschaftssektoren. In Deutschland wurde sie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) am 6. Dezember 2025 in nationales Recht umgesetzt – nach langen Verzögerungen und erheblichem politischem Ringen im Bundestag.

Das Gesetz schreibt vor, dass betroffene Unternehmen sich beim BSI registrieren und ein breites Spektrum technischer und organisatorischer Sicherheitsmaßnahmen implementieren müssen. Betroffen sind grundsätzlich zwei Kategorien:

  • „Besonders wichtige Einrichtungen": Unternehmen ab 250 Mitarbeitern oder über 50 Mio. Euro Jahresumsatz in kritischen Sektoren (Energie, Wasser, digitale Infrastruktur, Gesundheit, Transport, Bankenwesen u. a.)
  • „Wichtige Einrichtungen": Unternehmen ab 50 Mitarbeitern oder über 10 Mio. Euro Jahresumsatz in insgesamt 18 regulierten Sektoren

Insgesamt rund 29.500 Unternehmen in Deutschland fallen darunter – deutlich mehr als unter der Vorgängerregelung NIS1, die im Wesentlichen auf Betreiber kritischer Infrastrukturen (KRITIS) beschränkt war. Für viele Mittelständler ist NIS2 damit die erste aktive Begegnung mit einem europäischen Cybersicherheitsgesetz, das echte Sanktionen vorsieht und persönliche Haftung der Geschäftsleitung begründet.

Die Registrierungspflicht: Was genau war bis wann fällig?

§ 30 BSIG sieht vor, dass betroffene Einrichtungen sich innerhalb von drei Monaten nach Inkrafttreten des Gesetzes beim BSI registrieren müssen. Da das NIS2UmsuCG am 6. Dezember 2025 in Kraft trat, endete diese Frist am 6. März 2026.

Das BSI richtete dafür ein dediziertes Online-Registrierungsportal ein, das allerdings erst im Januar 2026 – also rund einen Monat nach Inkrafttreten des Gesetzes – vollständig funktionsfähig war. Dies führte zu faktisch kürzeren Vorbereitungszeiten als rechtlich vorgesehen, was vom BSI öffentlich anerkannt wurde und in die Durchsetzungsstrategie eingeflossen ist.

Im Registrierungsportal müssen Unternehmen unter anderem angeben:

  • Unternehmensstruktur, Mitarbeiterzahl, Jahresumsatz
  • Zugehörige(n) Sektor(en) aus den 18 regulierten Bereichen
  • Kontaktdaten für Sicherheitsvorfallsmeldungen (24/7-Erreichbarkeit erforderlich)
  • Selbsteinschätzung als „besonders wichtige" oder „wichtige" Einrichtung

Erst nach erfolgreicher Registrierung erhalten Unternehmen ihre offizielle BSI-Klassifizierung – eine Voraussetzung für die weitere Compliance-Bearbeitung und für spätere Behördeninteraktion.

Marcus Brenners Dilemma – und was es mit Ihnen zu tun hat

Zurück zu Marcus Brenner. Der Maschinenbauer beliefert die Automobilindustrie und ist im Bereich „Verarbeitendes Gewerbe / kritische Lieferketten" tätig – einem der neuaufgenommenen NIS2-Sektoren. Mit 85 Mitarbeitern und 14 Mio. Euro Jahresumsatz liegt er klar über der Schwelle für „wichtige Einrichtungen".

Brenners erste Reaktion: Schrecken. Seine zweite: Google. Und dort stößt er auf Schlagzeilen wie „BSI verhängt erste NIS2-Bußgelder" – bei genauerem Hinschauen zeigt sich jedoch: Diese Meldungen sind größtenteils spekulativ oder beziehen sich auf Einzelfälle besonders kooperationsunwilliger Unternehmen. Was Brenner – und die Tausenden von Unternehmen in seiner Lage – tatsächlich wissen müssen: Die Situation ist ernst, aber beherrschbar. Eine Nachregistrierung ist möglich. Das BSI hat explizit kommuniziert, dass es bei verspäteten Registrierungen zunächst keine unmittelbaren Sanktionen verhängen wird – insbesondere angesichts der späten Verfügbarkeit des Registrierungsportals. Aber: Jeder weitere Tag ohne Handlung erhöht das Risiko.

Die echten Risiken: Was droht bei ausbleibender Registrierung

Eine nüchterne Einschätzung der Risikolage ist wichtig, um weder in Panik noch in falscher Sicherheit zu verfallen.

Bußgelder nach NIS2UmsuCG

Das Gesetz sieht erhebliche Geldbußen vor, gestaffelt nach Unternehmenskategorie:

  • Besonders wichtige Einrichtungen: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist
  • Wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes

Für Brenner Maschinenbau als „wichtige Einrichtung" könnte das im Extremfall ein Bußgeld von bis zu 196.000 Euro (1,4 % von 14 Mio. Euro) bedeuten – sofern das BSI tatsächlich aktiv sanktioniert. Das BSI hat in seiner Kommunikation wiederholt betont, zunächst verhältnismäßig vorzugehen und bei fehlender Registrierung mit Aufforderungsschreiben zu beginnen, bevor Bußgeldbescheide ausgestellt werden.

Persönliche Geschäftsführerhaftung – nicht delegierbar

Das ist der Punkt, der viele Führungskräfte aufhorchen lässt. Das NIS2UmsuCG führt eine explizite Leitungsverantwortung ein: Die Geschäftsleitung muss die Umsetzung der Risikomanagementmaßnahmen persönlich überwachen und genehmigen. Bei Pflichtverletzungen haftet sie persönlich – diese Verantwortung ist ausdrücklich nicht delegierbar, auch nicht an den IT-Leiter oder externe Dienstleister. Regressansprüche des Unternehmens gegen die Geschäftsführung sind bei nachgewiesener Pflichtverletzung möglich.

Aufsichtsmaßnahmen ohne Bußgeld

Das BSI kann unabhängig von Bußgeldern aufsichtsrechtlich tätig werden: Informationsanforderungen, Vor-Ort-Prüfungen, Sicherheitsaudits und Anweisungen zur Mängelbeseitigung sind mögliche Instrumente und können erheblichen internen Aufwand und Kosten verursachen – selbst wenn keine Geldstrafe verhängt wird.

Reputations- und Marktrisiken

Mit fortschreitender NIS2-Implementierung verlangen immer mehr Großkunden und öffentliche Auftraggeber einen Nachweis der NIS2-Compliance von ihren Lieferanten. Eine fehlende BSI-Registrierung kann in Ausschreibungen und Rahmenverträgen zum faktischen Ausschlusskriterium werden – besonders relevant für Zulieferer der Automobilindustrie, Logistik und Gesundheitswirtschaft.

Sechs Schritte zurück auf Kurs: Der Sofortplan

Schritt 1: Betroffenheit eigenständig verifizieren

Bevor Sie in den Registrierungsprozess einsteigen, stellen Sie sicher, dass Ihr Unternehmen tatsächlich unter NIS2 fällt. Maßgeblich sind zwei Kriterien: Mitarbeiterzahl und/oder Jahresumsatz, kombiniert mit der Zugehörigkeit zu einem der 18 regulierten Sektoren.

Das BSI stellt auf seiner Website einen Selbstcheck zur Verfügung. Wichtig: Die Sektorenzuordnung ist nicht immer offensichtlich. Ein Maschinenbauunternehmen, das primär für die Automobilindustrie produziert, kann über die Kategorie „Lieferketten kritischer Sektoren" erfasst sein. Ein IT-Dienstleister fällt in den Sektor „IKT-Dienste". Im Zweifelsfall lohnt sich die Konsultation eines auf IT-Compliance spezialisierten Beraters – ein kurzes Erstgespräch kann Klarheit schaffen und teure Fehleinschätzungen vermeiden.

Schritt 2: Nachregistrierung beim BSI – sofort

Das BSI-Registrierungsportal ist weiterhin zugänglich. Eine Nachregistrierung ist möglich und juristisch deutlich günstiger als das Abwarten. Solange das BSI noch keinen Bescheid ausgestellt hat, signalisiert eine freiwillige Nachregistrierung proaktives Compliance-Bemühen – was bei einer späteren Bußgeldbemessung strafmildernd wirken kann.

Für die Registrierung benötigen Sie folgende Angaben:

  • Handelsregisternummer und aktuelle Unternehmensangaben (Rechtsform, Gesellschafter)
  • Mitarbeiterzahl und Jahresumsatz (bei Konzernstrukturen: Konzern- und Einzelebene)
  • Zuordnung zu den relevanten NIS2-Sektoren und Teilsektoren
  • Kontaktdaten einer 24/7-erreichbaren Meldestelle für Sicherheitsvorfälle
  • ELSTER-Zertifikat oder anderes qualifiziertes elektronisches Identifikationsmittel für die Portal-Authentifizierung

Der eigentliche Registrierungsvorgang dauert mit vorbereiteten Unterlagen erfahrungsgemäß 30 bis 60 Minuten. Die Hürde ist technisch überschaubar – es ist vor allem eine organisatorische Aufgabe, die priorisiert werden muss.

Schritt 3: Gap-Analyse – Wo steht Ihr Unternehmen wirklich?

Registrierung ist die eine Sache. Tatsächliche NIS2-Compliance die andere. Parallel zur Registrierung sollte eine strukturierte Gap-Analyse stattfinden, die den Ist-Stand Ihrer IT-Sicherheitsmaßnahmen gegen die Anforderungen des § 30 BSIG abgleicht.

NIS2 fordert von Unternehmen ein breites Spektrum an Maßnahmen:

  • Risikoanalyseprozesse und dokumentierte Sicherheitskonzepte für Informationssysteme
  • Konzepte zur Aufrechterhaltung des Betriebs und Krisenmanagement (Business Continuity, Disaster Recovery)
  • Sicherheit der Lieferkette und Drittanbieter-Management inklusive vertraglicher Anforderungen
  • Sicherheitsmaßnahmen für Erwerb, Entwicklung und Betrieb von IT-Systemen und Netzwerken
  • Konzepte für den Einsatz von Kryptografie und Verschlüsselung
  • Sicherheit des Personals, Zugangskontrolle, Asset Management
  • Multi-Faktor-Authentifizierung und gesicherte Kommunikationssysteme

Für viele Mittelstandsunternehmen bedeutet diese Liste eine erhebliche Lücke zwischen aktuellem Stand und gesetzlicher Anforderung. Wichtig dabei: NIS2 schreibt keine spezifischen Produkte oder Technologien vor, sondern risikobasierte Maßnahmen, die verhältnismäßig zur Unternehmensgröße und -kritikalität sein müssen. Das gibt Spielraum für pragmatische Umsetzungen.

Schritt 4: Realistische Priorisierung und Roadmap

Niemand erwartet, dass ein mittelständisches Unternehmen mit 85 Mitarbeitern innerhalb weniger Wochen ein vollständiges ISMS nach ISO 27001 implementiert. Was das BSI und das NIS2UmsuCG fordern, ist nachweisbarer, kontinuierlicher Fortschritt auf einem risikobasierten Compliance-Pfad.

Eine praxiserprobte Priorisierung für Unternehmen im Nachhol-Modus:

Sofort (0–4 Wochen): BSI-Registrierung durchführen, 24/7-Meldestelle benennen, Geschäftsführung formal als verantwortliche Leitungsebene einbinden (protokollierter Beschluss), Dokumentationsstruktur aufbauen.

Kurzfristig (1–3 Monate): Strukturierte Risikoanalyse mit Bedrohungsmodellierung, kritische Assets und Abhängigkeiten identifizieren, Notfall- und Business-Continuity-Plan dokumentieren, Multi-Faktor-Authentifizierung für alle privilegierten Zugänge einführen, Patch-Management-Prozesse formalisieren.

Mittelfristig (3–9 Monate): Lieferantenaudits und Vertragsanpassungen, Mitarbeiterschulungen zu Informationssicherheit, vollständigen Incident-Response-Plan implementieren, Security-Monitoring ausbauen.

Langfristig (ab 9 Monate): Kontinuierliches Monitoring und regelmäßige Audits, Anpassung an neue BSI-Konkretisierungen (Mitte 2026 angekündigt), ggf. Zertifizierung nach ISO 27001 als Nachweisinstrument.

Schritt 5: Meldepflichten verstehen und Prozesse vorbereiten

Neben der Registrierung ist die Meldepflicht bei erheblichen Sicherheitsvorfällen ein weiterer zentraler NIS2-Baustein mit engen Fristen. Das Gesetz sieht vor:

  • Frühe Warnmeldung: innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls
  • Vollständige Meldung: innerhalb von 72 Stunden mit initialer Bewertung und Klassifizierung
  • Abschlussbericht: spätestens einen Monat nach der vollständigen Meldung

Wer noch keine definierten Prozesse und Zuständigkeiten für Vorfallsmeldungen hat, sollte diese parallel zur Registrierung aufsetzen. Die benannte Kontaktstelle muss rund um die Uhr erreichbar sein – eine Anforderung, die für kleinere Unternehmen ohne eigenes Security Operations Center eine reale Herausforderung darstellt. Externe Managed-Security-Dienstleister können diese Funktion kostengünstig übernehmen und gleichzeitig als 24/7-Bereitschaft für Incident-Meldungen fungieren.

Schritt 6: Dokumentation als strategisches Schutzinstrument

Alles, was im Rahmen von NIS2 unternommen wird, sollte revisionssicher dokumentiert werden. Nicht als Selbstzweck, sondern weil die Dokumentation im Ernstfall – bei einer BSI-Prüfung oder einer Bußgeldbemessung – den entscheidenden Unterschied macht. Ein Unternehmen, das lückenlos nachweisen kann, dass es strukturiert und kontinuierlich an seiner Compliance arbeitet, wird vom BSI anders behandelt als eines, das nichts vorzuweisen hat.

Dokumentieren Sie: Gap-Analysen und deren Ergebnisse, Risikoabwägungen und Maßnahmenentscheidungen, Schulungsmaßnahmen mit Teilnehmerlisten, Lieferantenverträge mit Sicherheitsklauseln, Incident-Response-Aktivitäten und Lessons Learned. Das pleXtec-Team hilft dabei, eine revisionssichere Dokumentationsstruktur aufzubauen, die auch für spätere Audits tauglich ist.

Brenners nächste Stunden – und was daraus folgt

Marcus Brenner greift zum Telefon und ruft seinen IT-Dienstleister an. Noch am selben Vormittag beginnt er die Registrierung über das BSI-Portal. Der Prozess dauert mit den vorbereiteten Unterlagen rund 50 Minuten. Er erhält eine Eingangsbestätigung und eine vorläufige Kennung.

Am Nachmittag hält er ein kurzes Meeting mit seiner IT-Leiterin und dem kaufmännischen Leiter ab. Ergebnis: Eine kleine NIS2-Task-Force wird eingerichtet – intern mit externer Unterstützung. Das Budget für externe Beratung ist überschaubar, aber vorhanden. Der Plan ist klar, die nächsten Schritte sind definiert und dokumentiert. Brenner atmet durch.

Seine Situation ist die Normalität für Tausende deutsche Mittelstandsunternehmen im April 2026. Was zählt, ist nicht der Zeitpunkt, an dem man hätte handeln sollen, sondern der Zeitpunkt, an dem man tatsächlich handelt. Und der ist: jetzt.

Was kommt als nächstes: BSI-Konkretisierungen und der regulatorische Ausblick

Das regulatorische Umfeld bleibt in Bewegung. Das BSI hat angekündigt, bis Mitte 2026 konkrete Umsetzungsroadmaps und branchenspezifische Auslegungshilfen zu veröffentlichen. Diese werden die Anforderungen des § 30 BSIG präzisieren und für einzelne Sektoren konkretisieren – und damit auch für bisher unsichere Unternehmen mehr Klarheit schaffen.

Auf EU-Ebene gibt es Diskussionen über sektorspezifische Ergänzungsregelungen, die NIS2 um KI-spezifische Sicherheitsanforderungen erweitern sollen – eng verknüpft mit dem EU AI Act, der am 2. August 2026 für Hochrisiko-KI-Systeme vollständig anwendbar wird. Für Unternehmen, die KI in kritischen Geschäftsprozessen einsetzen, wird die Überschneidung beider Regelwerke zunehmend relevant.

Wer jetzt eine solide NIS2-Basis legt, schafft gleichzeitig die organisatorische und technische Infrastruktur für diese kommenden Anforderungen. Compliance-Investitionen zahlen sich mehrfach aus – als Risikoabsicherung, als Wettbewerbsvorteil und als Grundlage für eine belastbare, vertrauenswürdige IT-Infrastruktur.

Schnell-Checkliste: NIS2-Nachregistrierung für den Mittelstand

Zur Orientierung die wichtigsten Punkte im Überblick:

  • Betroffenheit anhand BSI-Selbstcheck und Sektorzuordnung verifizieren
  • BSI-Registrierungsportal aufrufen und Registrierung sofort durchführen
  • 24/7-Kontaktstelle für Sicherheitsvorfälle benennen und BSI mitteilen
  • Geschäftsführung formal als verantwortliche Leitungsebene einbinden und protokollieren
  • Gap-Analyse gegen NIS2-Anforderungen (§ 30 BSIG) einleiten
  • Kritische IT-Assets und systemische Abhängigkeiten identifizieren
  • Notfall- und Business-Continuity-Plan erstellen oder aktualisieren
  • Multi-Faktor-Authentifizierung für privilegierte Zugänge einführen
  • Lieferketten-Sicherheit: relevante Drittanbieterverträge auf NIS2-Klauseln prüfen
  • Dokumentationsstruktur aufbauen und alle Maßnahmen revisionssicher festhalten
  • Incident-Response-Prozesse und interne Meldekette definieren
  • Compliance-Roadmap mit Meilensteinen für BSI-Nachfragen vorbereiten

Fazit: Lieber heute handeln als morgen begründen

Die verpasste Registrierungsfrist ist kein Beinbruch – aber eine klare Mahnung, dass NIS2 kein papierner Compliance-Akt ist, den man auf unbestimmte Zeit aufschieben kann. Mit über 18.000 Unternehmen in derselben Situation sendet das BSI inzwischen klare Signale: Die Phase der informellen Toleranz läuft aus, die aktive Durchsetzungsphase hat begonnen.

Wer jetzt handelt, handelt noch aus einer Position der Eigeninitiative. Wer wartet, bis ein BSI-Bescheid im Briefkasten liegt, hat die Initiative verloren – und das Gespräch mit der Behörde beginnt nicht mehr von einer kooperativen Ausgangslage aus. Die gute Nachricht: Mit einem klaren Plan und der richtigen Unterstützung ist NIS2 für den deutschen Mittelstand vollständig beherrschbar.

Haben Sie Fragen zur NIS2-Registrierung, benötigen Sie Unterstützung beim Aufbau Ihrer Compliance-Struktur oder wollen Sie wissen, ob Ihr Unternehmen überhaupt betroffen ist? Sprechen Sie das pleXtec-Team an – von der ersten Betroffenheitsprüfung über die Gap-Analyse bis zur revisionssicheren Dokumentation begleiten wir Sie auf dem gesamten Weg.