Die Schonfrist ist vorbei. Ab Mai 2026 geht das BSI in die aktive Prüfphase für NIS2-regulierte Unternehmen. Was bisher eine Registrierungs- und Orientierungsphase war, wird jetzt ernst.
Und die Zahlen zeigen: Die meisten Unternehmen sind nicht bereit.
18.000 Unternehmen im Verzug
Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Das Ergebnis ist alarmierend: Von den rund 29.500 pflichtigen Unternehmen haben sich nur etwa 11.500 registriert — das sind 38,5 Prozent. Über 18.000 Unternehmen sind im Verzug.
Und dabei ist die Registrierung nur der erste Schritt — ein reiner Verwaltungsakt. Wer sich nicht einmal registriert hat, hat definitiv auch keine der zehn Pflichtmaßnahmen umgesetzt.
Was das BSI jetzt tun kann
Das BSI hat weitreichende Befugnisse, die viele Unternehmen unterschätzen:
Verbindliche Anordnungen. Das BSI kann Unternehmen verpflichten, bestimmte Sicherheitsmaßnahmen umzusetzen oder nachzuweisen — mit Fristsetzung.
Audits und Inspektionen. Vor-Ort-Prüfungen oder Dokumentenanforderungen zur Überprüfung der NIS2-Compliance sind möglich. Das BSI kann sich alles zeigen lassen: Risikoregister, Incident-Response-Pläne, Schulungsnachweise, Lieferantenbewertungen.
Öffentliche Bekanntmachungen. Bei schwerwiegenden Verstößen kann das BSI diese öffentlich machen. Für Mittelständler, die von Vertrauen und Reputation leben, ist das ein enormes Risiko.
Bußgelder. Für besonders wichtige Einrichtungen bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis 7 Millionen Euro oder 1,4 Prozent. Allein die fehlende Registrierung kann bis zu 500.000 Euro kosten.
Die persönliche Haftung wird real
Was viele Geschäftsführer noch immer nicht auf dem Schirm haben: §38 BSIG macht sie persönlich haftbar. Nicht das Unternehmen, nicht den IT-Leiter — die Geschäftsführung persönlich.
Konkret bedeutet das: Bei nachweislicher Fahrlässigkeit kann das BSI Bußgelder direkt gegen natürliche Personen verhängen. In schweren Fällen ist sogar ein temporäres Berufsverbot möglich. Und das Unternehmen darf die Bußgelder nicht für die Geschäftsführung übernehmen — ein Haftungsverzicht ist gesetzlich ausgeschlossen.
Viele Mittelstands-Geschäftsführer arbeiten ohne D&O-Versicherung. Das bedeutet: Privatvermögen ist in Gefahr.
Compliance als Wettbewerbsvorteil
Aber es gibt auch eine andere Seite. Unternehmen, die NIS2 frühzeitig umsetzen, nutzen ihre Compliance-Readiness zunehmend als Vertrauenssignal. In Ausschreibungen, bei Kundengesprächen, in der Lieferkette.
Denn der Kaskadeneffekt greift bereits: Großunternehmen sind verpflichtet, die Cybersicherheit ihrer Zulieferer zu bewerten. Wer nachweisen kann, dass er NIS2-compliant ist, hat einen handfesten Wettbewerbsvorteil. Wer es nicht kann, verliert Aufträge.
Die eigentliche Herausforderung liegt nicht in der Registrierung — die ist in 15 Minuten erledigt. Sie liegt in der Operationalisierung: Risikoanalyse dokumentieren, Incident-Response-Prozesse aufsetzen, Lieferantenbewertungen durchführen, Mitarbeiter schulen, Meldeprozesse für die 24-Stunden-Frist etablieren. Unter Zeitdruck.
Was Sie jetzt tun müssen
Wenn Ihr Unternehmen noch nicht registriert ist: Holen Sie das heute nach. Unter muk.bsi.bund.de. Sie brauchen ein ELSTER-Organisationszertifikat — beantragen Sie es sofort, falls Sie noch keines haben.
Wenn Sie registriert sind aber noch keine Maßnahmen umgesetzt haben: Starten Sie mit einer Gap-Analyse. Finden Sie heraus, welche der zehn Pflichtbereiche Lücken haben. Priorisieren Sie nach Risiko und fangen Sie mit den Quick Wins an: MFA aktivieren, Backup testen, Notfallkontakte festlegen, Mitarbeiter informieren.
Wenn Sie nicht sicher sind ob Sie überhaupt betroffen sind: Prüfen Sie es. Jetzt. Nicht nächste Woche, nicht nächsten Monat. Das BSI wartet nicht darauf, dass Sie sich bereit fühlen.
Sind Sie von NIS2 betroffen? Unser kostenloser Betroffenheitscheck zeigt Ihnen in 5 Minuten, ob und wie NIS2 Ihr Unternehmen betrifft — ohne Registrierung, ohne Kosten.