Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat für rund 29.000 betroffene Unternehmen eine finale Registrierungsfrist für die NIS2-Umsetzung bis zum 31. Juli 2026 festgelegt. Da bis Mai erst etwa 18.500 Organisationen gemeldet waren, verschärft die Behörde den Druck, um die nationale Cybersicherheit gegen wachsende Bedrohungen abzusichern.
Registrierungsrückstand und die neue Deadline des BSI
Die Umsetzung der NIS2-Richtlinie in Deutschland verläuft langsamer als von der Bundesbehörde erwartet. Obwohl das novellierte BSI-Gesetz für bestimmte Sektoren bereits seit dem 6. Dezember 2025 in Kraft ist, klafft eine Lücke zwischen der Anzahl der betroffenen Unternehmen und den tatsächlichen Anmeldungen. Laut einem Bericht von Boerse-Express haben sich bis Mai lediglich etwa 18.500 der insgesamt 29.000 betroffenen Organisationen registriert.
Das BSI reagiert auf diesen Rückstand mit einer neuen Fristsetzung. Alle ausstehenden Registrierungen müssen bis spätestens Ende Juli 2026 abgeschlossen sein. Um den Prozess zu unterstützen, stellt die Behörde Hilfsmittel wie einen Frage-Antwort-Katalog und eine unverbindliche Betroffenheitsprüfung zur Verfügung. Eine BSI-Sprecherin bezeichnete den aktuellen Stand der Anmeldungen gegenüber Medien als grundsätzlich zufriedenstellend, räumte jedoch ein, dass der Aufwand insbesondere für den Mittelstand und bisher nicht regulierte Firmen hoch ist.
Massive Bußgelder und persönliche Haftung der Geschäftsführung
Unternehmen, die die Registrierungspflicht ignorieren, müssen mit erheblichen finanziellen Konsequenzen rechnen. Bei Verstößen drohen Bußgelder von bis zu 500.000 Euro. Für Einrichtungen, die als besonders wichtig eingestuft werden, können die Sanktionen drastisch steigen: Hier liegen die Strafen bei bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.
Die regulatorische Schärfe beschränkt sich nicht nur auf das Unternehmen als juristische Person. Die neue Gesetzgebung sieht eine persönliche Haftung der Geschäftsführung vor, um sicherzustellen, dass die notwendigen Risikomanagementmaßnahmen nicht nur auf dem Papier existieren, sondern aktiv umgesetzt werden.
Dieses Risiko steht vor dem Hintergrund massiver wirtschaftlicher Schäden. Bitkom und TÜV SÜD beziffern die jährlichen Schäden durch Cyberkriminalität in Deutschland auf rund 200 Milliarden Euro. Die Verschärfung der Regeln soll eine Antwort auf diese ökonomische Belastung sein.
Experten fordern „Zähne zeigen“ gegen den Papiertiger-Effekt
Trotz der neuen Frist warnen Juristen vor einer zu nachsichtigen Haltung der Aufsichtsbehörde. Die Tatsache, dass mehr als die Hälfte der betroffenen Unternehmen ihre Pflicht noch nicht erfüllt hat, wird von Fachleuten als alarmierendes Signal gewertet.
Die Behörde verliert sich zu sehr im Detail, statt klare Leitlinien zu setzen. Das Motto müsse lauten: „Zähne zeigen.“ Nur gezielte Kontrollen und spürbare Sanktionen könnten dem Gesetz die nötige Wirkung verleihen. Andernfalls drohe NIS2 zum „Papiertiger“ zu werden.
Dennis-Kenji Kipker und Stefan Hessel, via Heise Online [Wie Heise Online berichtet](https://www.heise.de/news/NIS2-Mahnung-BSI-setzt-neue-Frist-zur-Registrierung-bis-Ende-Juli-11336134.html), mahnen die Experten, dass ohne entschlossenes Durchgreifen die angestrebte Verbesserung der Cybersicherheit lediglich eine theoretische Vorgabe bleibt. Die Rechtsunsicherheit durch unklare Ausnahmen habe die Umsetzung zusätzlich erschwert.Strategische Compliance für Mittelstand und Konzerne
Während Großkonzerne versuchen, die Anforderungen global zu harmonisieren, suchen kleine und mittlere Unternehmen nach pragmatischen Lösungen, um die Kosten der Compliance zu begrenzen. Anbieter wie frag.hugo versuchen, diesen Markt zu bedienen, indem sie externe Datenschutzbeauftragte ab 79 Euro im Monat anbieten, um die Hürden der DSGVO und der NIS2-Lieferketten-Sicherheit zu senken. Für größere Organisationen geht es über die reine Registrierung hinaus. [KPMG betont die Notwendigkeit](https://kpmg.com/de/de/themen/corporate-governance-und-compliance/nis2-als-strategischen-faktor-nutzen.html), NIS2 nicht nur als bürokratische Last, sondern als strategischen Faktor für die langfristige Resilienz zu nutzen. Ein modulares Modell, das ein europäisches Baseline-Framework mit länderspezifischen Details kombiniert, gilt hierbei als Best Practice. Die kommenden Wochen werden zeigen, ob die Ausweitung der Frist auf den 31. Juli ausreicht, um die Lücke zu schließen. Unternehmen sollten prüfen, ob sie neben der IT-Sicherheit auch die Absicherung der Produktionstechnik (Operational Technology, OT) nach Standards wie IEC 62443 berücksichtigen müssen, da hier die Verfügbarkeit der Anlagen oft eine höhere Priorität genießt als die reine Vertraulichkeit der Daten.Find more reporting in our Unternehmen section.
