NIS-2-Registrierung: Frist bis 31. Juli für 11.000 Unternehmen
Veröffentlicht: 08.07.2026 um 03:15 Uhr, Redaktion boerse-global.de
Nur knapp zwei Drittel der erwarteten Unternehmen haben sich bis Ende Mai angemeldet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagierte nun mit einer Fristverlängerung bis zum 31. Juli 2026.
Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Es verpflichtet wichtige und besonders wichtige Einrichtungen zur Registrierung beim BSI. Von rund 29.500 erwarteten Unternehmen hatten bis Ende Mai lediglich 18.500 gemeldet. Wer die neue Frist verpasst, riskiert Bußgelder von bis zu 500.000 Euro.
Operative Defizite trotz formaler Anmeldung
Experten warnen jedoch: Die reine Registrierung reicht nicht. Christoph Neukam vom Dienstleister Axians betont, dass viele Unternehmen trotz erfolgter Anmeldung nicht gesetzeskonform handeln. Besonders die operative Handlungsfähigkeit im Ernstfall bereite Probleme.
Angesichts der verschärften Meldepflichten für Sicherheitsvorfälle müssen Unternehmen ihre IT-Sicherheit proaktiv stärken, ohne dabei das Budget zu sprengen. Dieser kostenlose Report enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen effizient erfüllen. IT-Sicherheit stärken ohne teure Investitionen
Häufig fehlten erprobte Abläufe, klare Eskalationsketten oder Incident-Response-Prozesse. Das ist brisant: Bei erheblichen Sicherheitsvorfällen gilt ein gestuftes Meldesystem. Eine Erstmeldung muss binnen 24 Stunden an das BSI gehen, eine detaillierte Nachmeldung nach 72 Stunden. Der Abschlussbericht ist nach einem Monat fällig.
Ähnliche Vorgaben gelten für den Finanzsektor unter der DORA-Verordnung. Bei personenbezogenen Datenvorfällen greift zudem die DSGVO mit einer 72-Stunden-Frist gegenüber den Aufsichtsbehörden.
Geschäftsführung haftet persönlich
Die Registrierungspflicht nach dem NIS-2-Umsetzungsgesetz bereitet der deutschen Wirtschaft massive Probleme. Nur knapp zwei Drittel der erwarteten Unternehmen haben sich bis Ende Mai angemeldet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagierte nun mit einer Fristverlängerung bis zum 31. Juli 2026.
Das NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Es verpflichtet wichtige und besonders wichtige Einrichtungen zur Registrierung beim BSI. Von rund 29.500 erwarteten Unternehmen hatten bis Ende Mai lediglich 18.500 gemeldet. Wer die neue Frist verpasst, riskiert Bußgelder von bis zu 500.000 Euro.
Operative Defizite trotz formaler Anmeldung
Experten warnen jedoch: Die reine Registrierung reicht nicht. Christoph Neukam vom Dienstleister Axians betont, dass viele Unternehmen trotz erfolgter Anmeldung nicht gesetzeskonform handeln. Besonders die operative Handlungsfähigkeit im Ernstfall bereite Probleme.
Die neuen gesetzlichen Anforderungen erhöhen den Druck auf die Unternehmensführung massiv, IT-Risiken proaktiv zu managen. Experten erklären in diesem kostenlosen E-Book, wie Sie Ihr Unternehmen rechtssicher absichern und gängige Bedrohungen abwenden, bevor es zu spät ist. Kostenlosen Cyber-Security-Guide jetzt abrufen
Häufig fehlten erprobte Abläufe, klare Eskalationsketten oder Incident-Response-Prozesse. Das ist brisant: Bei erheblichen Sicherheitsvorfällen gilt ein gestuftes Meldesystem. Eine Erstmeldung muss binnen 24 Stunden an das BSI gehen, eine detaillierte Nachmeldung nach 72 Stunden. Der Abschlussbericht ist nach einem Monat fällig.
Ähnliche Vorgaben gelten für den Finanzsektor unter der DORA-Verordnung. Bei personenbezogenen Datenvorfällen greift zudem die DSGVO mit einer 72-Stunden-Frist gegenüber den Aufsichtsbehörden.
Geschäftsführung haftet persönlich
NIS-2 definiert IT-Sicherheit als Management- und Governance-Aufgabe. Die Geschäftsführung muss Risikomanagementmaßnahmen überwachen und regelmäßige Schulungen absolvieren. Branchenexperten und Kammern wie die IHK Regensburg informieren auf Fachveranstaltungen über die Risiken.
Die Sanktionen sind massiv: Bei Verstößen gegen die Sicherheitsvorgaben drohen Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes. In Polen sind die Strafen noch härter – dort können bis zu 300 Prozent des Jahresgehalts des Managements fällig werden.
Cybersicherheit wird zum Milliardenmarkt
Der Druck zeigt sich auch in den Marktzahlen. Die Ausgaben für IT-Sicherheit in Deutschland steigen 2026 auf prognostizierte 12,2 Milliarden Euro – ein Plus von 9,9 Prozent. Treiber ist die verschärfte Bedrohungslage: Im ersten Quartal 2026 waren 86 Prozent der Phishing-Angriffe KI-gestützt. Die Ransomware-Schäden stiegen seit 2019 um 358 Prozent.
Besondere Aufmerksamkeit erfordert die Sicherheit von Produktionsumgebungen (OT-Sicherheit). Hier hat die Verfügbarkeit der Anlagen Vorrang vor der Vertraulichkeit der Daten. Dennoch verfügen über die Hälfte der KRITIS-Betreiber noch über keine ausreichenden Systeme zur Angriffserkennung – während die Zahl täglich neu entdeckter Schwachstellen um 24 Prozent gestiegen ist.
Auch im europäischen Ausland wird nachgeschärft. In Österreich müssen Unternehmen ab 2026 mit mehr als 50 Mitarbeitern oder über 10 Millionen Euro Umsatz eine Risikoanalyse durchführen.
Experten raten betroffenen Betrieben: Die Registrierung bis Ende Juli nachholen, Lieferkettenrisiken adressieren und technische Basismaßnahmen wie Netzwerksegmentierung und Multi-Faktor-Authentifizierung flächendeckend einführen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
