NIS2 Frist verpasst?

NIS2-Frist verpasst: Was Unternehmen jetzt tun müssen

/in

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft — ohne Übergangsfrist. Die Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI) endete am 6. März 2026. Laut dem BSI hatten sich kurz nach Fristablauf erst rund 38,5 Prozent der von NIS-2 betroffenen Einrichtungen im BSI-Portal registriert, wie Security-Insider im März 2026 berichtete. Rund 18.500 Unternehmen waren damit im Verzug.

Wer die NIS2 Frist verpasst hat, steht vor einer klar priorisierten Aufgabe: den Rückstand strukturiert aufholen, das Haftungsrisiko minimieren und die geforderte Compliance nachweisbar aufbauen. Dieser Artikel zeigt Ihnen Schritt für Schritt, was jetzt zu tun ist.

Prüfen Sie zunächst, ob Ihr Unternehmen überhaupt betroffen ist

Bevor Sie handeln, muss die Frage der Betroffenheit geklärt sein. NIS-2 richtet sich grundsätzlich an Unternehmen ab 50 Mitarbeitenden oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro, die in einem der regulierten Sektoren gemäß Anlage 1 oder 2 BSIG tätig sind. Das Gesetz unterscheidet zwei Kategorien:

  • Besonders wichtige Einrichtungen, z. B. Energie, Trinkwasser, digitale Infrastruktur, Gesundheit, unterliegen strengerer Aufsicht und höheren Bußgeldschwellen.
  • Wichtige Einrichtungen, z. B. Post, Lebensmittel, chemische Industrie, digitale Dienste, unterliegen einem etwas abgestuften Aufsichtsregime.

Für eine erste Orientierung bietet das BSI ein Online-Selbstbewertungstool an. Dennoch empfiehlt sich gerade bei Grenzfällen, etwa bei Konzernstrukturen, Managed-Service-Providern oder Unternehmen mit starker Verflechtung in kritische Lieferketten, eine juristische und fachliche Einschätzung durch spezialisierte Berater.

Sollte Ihr Unternehmen nicht in den Anwendungsbereich fallen, sind keine weiteren Schritte erforderlich. Falls doch, zählt ab jetzt jeder Tag.

Was droht, wenn die NIS2-Frist verpasst wurde

Das NIS2UmsuCG kennt keine allgemeine Schonfrist. Verstöße können unmittelbar geahndet werden. Das BSI hat öffentlich erklärt, bei verspäteten Registrierungen zunächst keine automatischen Sofortsanktionen zu verhängen, was jedoch keine Einladung zum Abwarten ist, sondern eine temporäre Kooperationsbereitschaft signalisiert.

Die konkreten Risiken im Überblick:

Bußgelder für Sicherheitspflichtverstöße können für besonders wichtige Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent des Jahresumsatzes. Verstöße gegen die Registrierungspflicht selbst können gemäß §65 Abs. 5 Nr. 5 BSIG mit bis zu 500.000 Euro sanktioniert werden.

Persönliche Haftung der Geschäftsführung ist ein zentrales Merkmal des deutschen Umsetzungsgesetzes. Leitungsorgane sind verpflichtet, die Umsetzung der Sicherheitsmaßnahmen aktiv zu überwachen und nachzuweisen. Wer dieser Verantwortung nicht nachkommt, haftet unter Umständen persönlich. Bei besonders wichtigen Einrichtungen kann die zuständige Aufsichtsbehörde als Ultima-Ratio-Maßnahme, nach erfolgloser Fristsetzung, die vorübergehende Untersagung der Wahrnehmung von Leitungsaufgaben anordnen (§61 Abs. 9 Nr. 2 BSIG).

BSI-Aufsichtsmaßnahmen umfassen unter anderem die Anforderung von Sanierungsplänen, anlasslose Prüfungen sowie die Anordnung konkreter Sicherheitsverbesserungen mit gesetzten Fristen.

Einzuleitende Schritte

Schritt 1: BSI-Registrierung unverzüglich nachholen

Die Registrierung beim BSI ist der erste und dringlichste Schritt. Sie erfolgt in zwei Stufen:

  1. ELSTER-Organisationszertifikat beantragen: über das ELSTER-Portal. Dieser Schritt nimmt bei erstmaliger Beantragung einige Werktage in Anspruch.
  2. Registrierung im BSI-Portal abschließen: mit Angabe von Organisationsdaten, Sektor Klassifikation und Kontaktpersonen für IT-Sicherheit.

Eine verspätete Registrierung ist ausdrücklich besser als keine. Sie dokumentiert gegenüber dem BSI einen kooperativen Umgang mit den Anforderungen und mindert das Haftungsrisiko. Das Nachholen der Registrierung zeigt regulatorische Handlungsbereitschaft; ein Faktor, den Aufsichtsbehörden bei der Bemessung möglicher Sanktionen berücksichtigen.

Schritt 2: Aktuellen Compliance-Status dokumentieren

Parallel zur Registrierung sollten Sie den Ist-Zustand Ihrer Informationssicherheit systematisch erfassen und dokumentieren. Das dient zwei Zwecken: Es zeigt dem BSI aktive Compliance-Bemühungen und bildet die Grundlage für eine geordnete Gap-Analyse.

Zu dokumentieren sind mindestens:

  • Bereits umgesetzte technische Schutzmaßnahmen (z. B. MFA, Firewalls, Patch-Management, Backup-Konzepte)
  • Vorhandene Sicherheitsrichtlinien und deren Geltungsbereich
  • Zuständigkeiten und Verantwortlichkeiten für Informationssicherheit
  • Bestehende Prozesse zur Erkennung und Meldung von Sicherheitsvorfällen

Diese Bestandsaufnahme bildet den Ausgangspunkt für alle weiteren Umsetzungsmaßnahmen.

Schritt 3: Gap-Analyse gegen die NIS2-Anforderungen durchführen

Das NIS2UmsuCG stellt zehn Mindestkategorien von Sicherheitsmaßnahmen auf, die jede betroffene Einrichtung umsetzen muss. Dazu zählen unter anderem:

  • Dokumentierte Risikoanalyse und Informationssicherheitsrichtlinien
  • Business-Continuity-Management inklusive Backup- und Wiederherstellungskonzepten
  • Lieferkettensicherheit und Anforderungen an Dienstleister
  • Multi-Faktor-Authentifizierung und Zugriffskontrollen
  • Maßnahmen zur Netzwerk- und Systemsicherheit
  • Schulungen und Sensibilisierung von Mitarbeitenden und Führungsebene
  • Verschlüsselung und kryptografische Verfahren
  • Melde- und Incident-Response-Prozesse

Eine strukturierte Gap-Analyse zeigt auf, welche Anforderungen bereits erfüllt sind und wo Handlungsbedarf besteht. Für Unternehmen, die noch am Anfang stehen, empfiehlt sich ein belastbarer Readiness-Check als Einstieg: ein klar abgegrenztes Assessment, das den aktuellen Sicherheitsstatus über technische, organisatorische und prozessuale Dimensionen hinweg bewertet und priorisierten Handlungsbedarf identifiziert.

Schritt 4: Meldeprozesse für Sicherheitsvorfälle einrichten

Das NIS2UmsuCG verlangt ein mehrstufiges Meldeverfahren bei erheblichen Sicherheitsvorfällen (§32 BSIG):

  • Frühe Erstmeldung innerhalb von 24 Stunden nach Kenntnisnahme
  • Meldung innerhalb von 72 Stunden mit erster Bewertung, Schweregrad und Kompromittierung Indikatoren
  • Zwischenmeldung auf Ersuchen des BSI mit Statusaktualisierungen
  • Abschlussbericht innerhalb eines Monats nach der 72-Stunden-Meldung mit vollständiger Analyse

Diese Fristen gelten unabhängig davon, ob die Registrierung form- und fristgerecht erfolgt ist. Unternehmen, die noch keinen Incident-Response-Prozess etabliert haben, sind daher sofort gefordert, zumindest eine Kontaktstelle zu benennen und einen Meldeprozess zu dokumentieren. Das BSI-Portal dient als zentrale Meldestelle.

Schritt 5: Governance und Managementverantwortung formalisieren

NIS-2 ist kein reines IT-Thema. Die Richtlinie verpflichtet die Leitungsebene ausdrücklich, die Umsetzung zu genehmigen, zu überwachen und nachzuweisen. Geschäftsführer und Vorstände müssen Cybersicherheitsschulungen absolvieren und können diese Pflicht nicht delegieren (§38 BSIG).

Praktisch bedeutet das:

  • Die Geschäftsführung beschließt formell eine Informationssicherheitspolitik
  • Es wird ein Verantwortlicher für Informationssicherheit benannt
  • Nachweise über Schulungen und Entscheidungen werden dokumentiert
  • Die Sicherheitsmaßnahmen werden regelmäßig auf Wirksamkeit überprüft

Der IKS-Reifegrad eines Unternehmens entscheidet maßgeblich darüber, ob diese Governance-Anforderungen tatsächlich nachweisbar erfüllt werden; ein Aspekt, dem in der Aufsichtspraxis wachsende Bedeutung zukommt.

Was die NIS2-Compliance mittel- bis langfristig erfordert

Die Registrierung und die Einrichtung grundlegender Prozesse lösen die unmittelbare Dringlichkeit. Der eigentliche Compliance-Aufbau ist ein mehrstufiges Projekt, das je nach Ausgangslage sechs bis achtzehn Monate in Anspruch nehmen kann.

Mittelfristig empfiehlt sich eine Ausrichtung an etablierten Sicherheitsrahmenwerken. Die Anforderungen der NIS-2 lassen sich gut auf ISO 27001-Kontrollstrukturen mappen. Wer ein ISMS nach ISO 27001 aufbaut oder bereits betreibt, deckt den Großteil der NIS2-Anforderungen systematisch ab. ISO 27001 ersetzt jedoch keine NIS2-spezifische Gap-Analyse: Meldepflichten (§32 BSIG), Registrierungspflicht (§33 BSIG) und Leitungshaftung (§38 BSIG) müssen eigenständig adressiert werden. Zudem prüft ein ISMS-Audit Prozessexistenz. Wie die operative Wirksamkeit adressiert werden kann, können Sie hier nachlesen: NIS2 Umsetzung in Unternehmen: Vom Zertifikat zur nachweisbaren Wirksamkeit.

Für Cloud-Dienstleister kommt ergänzend der BSI C5-Katalog als Referenzrahmen in Frage.

Securance-iAP begleitet Unternehmen im DACH-Raum auf diesem Weg: von der rechtlichen Betroffenheitsanalyse über das Readiness Assessment bis zur Umsetzung und Integration des IKS oder ISMS, ergänzt durch die Durchführung von Audits und die Erstellung belastbarer Testate. Das integrierte Modell aus Audit, Umsetzungsbegleitung und Beratung vermeidet redundante Arbeit und macht den Zertifizierungsweg transparent und planbar.

Typische Fehler, die Unternehmen nach Fristversäumnis machen

Abwarten in der Hoffnung auf weitere Aufschübe ist der häufigste Fehler. Das BSI hat klargestellt, dass die aktive Aufsichtsphase begonnen hat. Eine weitere allgemeine Fristverlängerung ist nicht zu erwarten.

Registrierung ohne inhaltliche Vorbereitung schützt nur bedingt. Die Registrierung beim BSI dokumentiert zwar Handlungsbereitschaft, befreit aber nicht von der Pflicht, die technischen und organisatorischen Maßnahmen tatsächlich umzusetzen.

Compliance ohne Nachweis ist aus Aufsichtssicht unzureichend. Das BSI kann Nachweise über umgesetzte Maßnahmen einfordern. Wer keine Dokumentation vorlegen kann, steht trotz guter Absichten mit leeren Händen da.

Fehlende Einbindung der Geschäftsführung gefährdet die persönliche Haftungsfreistellung. Compliance-Aktivitäten, die allein auf IT-Ebene verbleiben und nie formell durch die Leitung genehmigt wurden, erfüllen die Governance-Anforderungen des NIS2UmsuCG nicht.

Strukturiert handeln statt reagieren

Die verpasste Frist lässt sich nicht ungeschehen machen, aber das Risiko lässt sich steuern. Unternehmen, die jetzt systematisch vorgehen, können gegenüber dem BSI Kooperationsbereitschaft und einen aktiven Compliance-Aufbau dokumentieren. Das mindert das Sanktionsrisiko und schafft die Grundlage für ein dauerhaft wirksames Sicherheitsniveau.

Der erste Schritt ist die unverzügliche Registrierung. Der zweite ist eine ehrliche Bestandsaufnahme des aktuellen Sicherheitsstatus. Der dritte ist ein priorisierter, zeitlich klar strukturierter Maßnahmenplan, begleitet von Experten, die sowohl die regulatorischen Anforderungen als auch die praktischen Umsetzungswege kennen.

Wer unsicher ist, ob und in welchem Umfang sein Unternehmen betroffen ist, oder wer einen schnellen, belastbaren Überblick über den eigenen Compliance-Status benötigt, findet auf unserer Seite zu NIS2-Compliance und Umsetzungsbegleitung einen Leitfaden und einen strukturierten Überblick über Anforderungen, Maßnahmen und Unterstützungsleistungen.

FAQ: NIS2-Frist verpasst

NIS2 gilt für Unternehmen ab 50 Mitarbeitenden oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro in einem der regulierten Sektoren gemäß Anlage 1 oder 2 BSIG. Für eine erste Einschätzung bietet das BSI ein Online-Selbstbewertungstool an.

Ja. Eine verspätete Registrierung ist ausdrücklich besser als keine. Sie signalisiert dem BSI Kooperationsbereitschaft und wird bei der Bemessung möglicher Sanktionen berücksichtigt.

Die Registrierung erfolgt in zwei Schritten: zuerst Beantragung eines ELSTER-Organisationszertifikats, dann Registrierung im BSI-Portal unter Angabe von Organisationsdaten, Sektorklassifikation und IT-Sicherheitskontakten.

Für besonders wichtige Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes. Verstöße gegen die Registrierungspflicht können gemäß §65 Abs. 2 Nr. 6 i.V.m. §65 Abs. 5 Nr. 5 BSIG mit bis zu 500.000 Euro sanktioniert werden.

Ja. §38 BSIG verpflichtet Leitungsorgane, Cybersicherheitsmaßnahmen aktiv zu überwachen und zu genehmigen. Diese Pflicht ist nicht delegierbar. Bei Pflichtverletzung greift die direkte Innenhaftung gegenüber der Einrichtung.

§32 BSIG sieht vier Stufen vor:

  • frühe Erstmeldung innerhalb von 24 Stunden
  • Meldung innerhalb von 72 Stunden
  • Zwischenmeldung auf BSI-Ersuchen
  • sowie Abschlussbericht innerhalb eines Monats nach der 72-Stunden-Meldung.

Nein. ISO 27001 deckt den Großteil der NIS2-Anforderungen ab, ersetzt aber keine NIS2-spezifische Gap-Analyse. Meldepflichten, Registrierungspflicht und Leitungshaftung müssen eigenständig adressiert werden.

Das könnte Dich auch interessieren
Internes Kontrollsystem IKSWarum ISO 27001 allein nicht mehr reicht – und wie ein IKS neue Chancen eröffnet
Cyber Resilience ActCyber Resilience Act (CRA): Neue Anforderungen, neue Rolle für das BSI
KritisWas ist KRITIS? Definition und Anforderungen für Unternehmen in Deutschland
SOC 2 ReportSOC 2 Report: Was Unternehmen über SOC 1 und SOC 2 wissen müssen
Webinar ISO 27001 als Türöffner – IKS als WettbewerbsvorteilISO 27001 als Türöffner – IKS als Wettbewerbsvorteil
Webinar BSIC5360° BSI C5: Compliance effizient und sicher implementieren