Die neue BSI-Frist und die Quote der Registrierungen
Die Umsetzung der NIS-2-Richtlinie in nationales Recht erfolgte am 6. Dezember 2025. Damit wurde ein zweistufiger Registrierungsprozess eingeführt, der zunächst über den digitalen Dienst Mein Unternehmenskonto und anschließend über ein spezielles BSI-Portal für den Austausch von Cybersicherheitsinformationen verläuft. Die ursprüngliche Frist endete bereits am 6. März 2026.
Wie heise online berichtet, räumte das BSI in einem Schreiben an Branchenverbände ein, dass deutlich weniger Firmen registriert sind als erwartet. Bis Ende Mai waren knapp 18.500 Einrichtungen angemeldet. Das Amt setzt nun auf Kooperation und Aufklärung, insbesondere für den Mittelstand und bislang nicht regulierte Firmen, für die der Aufwand als hoch eingestuft wird.
Um die Hürden zu senken, bietet die Behörde eine unverbindliche Betroffenheitsprüfung sowie einen Frage-Antwort-Katalog unter dem Hashtag #nis2know an. In Ausnahmefällen kann nach Klärung offener Fragen eine Nachfrist von sechs Wochen gewährt werden.
Finanzielle Risiken und persönliche Haftung
Die finanziellen Konsequenzen bei einer verpassten Registrierung werden in den Quellen unterschiedlich bewertet. Boerse Express berichtet von drohenden Bußgeldern in Höhe von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, die ab dem 11. September fällig werden könnten. Demgegenüber nennt heise online Bußgelder von bis zu 500.000 Euro.
Über die Geldstrafen hinaus tritt eine persönliche Haftung der Geschäftsführung in Kraft. Damit wird die Cybersicherheit von einer rein technischen Aufgabe zu einem zentralen Compliance-Risiko für die Unternehmensleitung.
Zusätzlichen Druck erzeugt der EU AI Act. Bis zum 2. August 2026 müssen Unternehmen die Governance-Auflagen für Hochrisiko-KI-Systeme erfüllen. Dies umfasst:
Verstöße gegen die KI-Verordnung wiegen noch schwerer; hier drohen Sanktionen von bis zu 35 Millionen Euro oder sieben Prozent des Jahresumsatzes.
Kritik an der Umsetzung und rechtliche Unsicherheiten
Trotz der offiziellen Zufriedenheit des BSI mit dem aktuellen Anmeldestand warnen Rechtsexperten vor einer zu weichen Linie. Der IT-Sicherheitsrechtler Dennis-Kenji Kipker und der Rechtsanwalt Stefan Hessel bewerten die Situation als alarmierend, da mehr als die Hälfte der betroffenen Unternehmen die Pflicht bislang ignoriert.
Dass mehr als die Hälfte der betroffenen Unternehmen ihrer Registrierungspflicht nicht nachkommt, halten sie für ein alarmierendes Signal. Wer sich nicht melde, beachte gesetzliche Anforderungen zur Cybersicherheit nicht ausreichend.
Dennis-Kenji Kipker und Stefan Hessel, via heise online
Die Experten fordern, dass das BSI mehr Zähne zeigen müsse, um zu verhindern, dass NIS-2 zu einem Papiertiger wird. Ohne gezielte Kontrollen und spürbare Sanktionen bleibe die angestrebte Cybersicherheit eine theoretische Vorgabe.
Besondere Unsicherheiten bestehen bei DNS-Dienstanbietern. Laut einer Einschätzung des DENIC Blog könnten Anbieter von DNS-Diensten für Dritte als wesentliche Einrichtungen eingestuft werden, was unabhängig von der Unternehmensgröße strenge Vorgaben an das Risikomanagement und die Meldepflichten bedeutet.
Strukturreformen im Datenschutz und die Rolle der DSK
Parallel zur NIS-2-Umsetzung fordern die Landesdatenschutzbeauftragten in den sogenannten Stuttgarter Impulsen vom 21. Juni 2026 eine grundlegende Reform der Aufsichtsarchitektur. Ziel ist es, die Bürokratie für Unternehmen zu reduzieren und gleichzeitig die Durchsetzung des Datenschutzrechts zu stärken.
Ein Kernpunkt ist die gesetzliche Verankerung der Datenschutzkonferenz (DSK) als Gremium. Bisher basierte die Zusammenarbeit der unabhängigen Behörden auf Freiwilligkeit. Die Reform sieht verbindliche Mehrheitsentscheidungen und ein Einer-für-Alle-Prinzip vor, bei dem eine Behörde federführend Aufgaben für alle anderen übernimmt, um Doppelarbeit zu vermeiden.
In Bayern steht eine spezifische Entscheidung über die Behördenstruktur an. Der Freistaat unterhält derzeit zwei Institutionen: den Landesbeauftragten für den Datenschutz in München und das Landesamt für Datenschutzaufsicht in Ansbach. Während das Innenministerium das Amt in Ansbach als modernes Kompetenzzentrum verteidigt, fordert Digitalminister Mehring dessen Auflösung. Ministerpräsident Söder hat bereits eine Reduzierung auf eine einzige Behörde angekündigt. Eine umfassende Reform für den nicht-öffentlichen Bereich wird bis Ende 2027 erwartet.
Pragmatische Ansätze für kleine Unternehmen
Die Komplexität der neuen Anforderungen führt dazu, dass viele kleine Betriebe die Umsetzung aufschieben. Unsicherheit über die Kosten und den zeitlichen Aufwand sind hier die Hauptgründe.
Unternehmen wie die frag.hugo Informationssicherheit GmbH versuchen, diese Lücke durch skalierbare Modelle zu schließen. Mit Plattformen wie Hugo DSB und der NIS-2-Lieferketten-Lösung Hugo Shield werden externe Datenschutzbeauftragte und Compliance-Tools für kleinere Budgets zugänglich gemacht, um den rechtlichen Anforderungen ohne übermäßige administrative Last gerecht zu werden.
Für die betroffenen 30.000 Unternehmen bleibt das Zeitfenster bis zum 31. Juli kritisch. Die Kombination aus NIS-2 und dem AI Act zwingt die deutsche Wirtschaft zu einer beschleunigten Digitalisierung der Compliance-Prozesse, bei der die Dokumentation der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO eine zentrale Rolle spielt.
Find more reporting in our Unternehmen section.
