Die Zahlen sind ernüchternd
Stand April 2026 waren erst rund 11.500 der geschätzten 29.500 NIS2-pflichtigen Unternehmen in Deutschland beim BSI registriert. Die Registrierungsfrist nach §33 BSIG lief am 6. März 2026 ab — etwa 18.000 Unternehmen haben sie verpasst.
Wenn Ihr Unternehmen zu dieser Gruppe gehört: Keine Panik, aber sofortiges Handeln ist geboten.
Was bedeutet eine versäumte Registrierungsfrist?
Die Registrierungspflicht nach §33 BSIG ist nicht optional. Alle wesentlichen und wichtigen Einrichtungen müssen sich beim BSI registrieren. Wer die Frist versäumt hat:
- Hat formal einen Pflichtverstoß begangen
- Ist weiterhin zur Registrierung verpflichtet — die Pflicht entfällt nicht durch Fristversäumnis
- Muss mit Bußgeldern nach §65 BSIG rechnen
- Hat möglicherweise auch die BSI-Kommunikations-Infrastruktur nicht eingerichtet
Sofortmaßnahme: Nachregistrierung
Das BSI akzeptiert Nachregistrierungen auch nach Fristablauf. Die Nachregistrierung ist dringend zu empfehlen — sie zeigt den Behörden kooperatives Verhalten und kann bußgeldmildernd wirken.
Vorgehen:
- BSI-Meldeportal aufrufen: bsi.bund.de/meldeportal
- Registrierungsformular für wesentliche oder wichtige Einrichtungen ausfüllen
- Einrichtungstyp, Sektor, Kontaktdaten und Sicherheitsansprechpartner angeben
- Registrierung abschicken und Bestätigung aufbewahren
Tipp: Halten Sie die folgenden Informationen bereit: Unternehmensname, Adresse, Handelsregisternummer, zuständiger Sektor nach NIS2UmsuCG, Name und Kontakt des NIS2-Beauftragten, Anzahl der Mitarbeiter und Jahresumsatz.
Welche Bußgelder drohen?
Die BSI-Behörde kann bei versäumter Registrierung Bußgelder nach §65 BSIG verhängen:
| Einrichtungstyp | Maximalbußgeld | |---|---| | Besonders wichtige Einrichtung | 10 Mio. EUR oder 2 % des Weltumsatzes | | Wichtige Einrichtung | 7 Mio. EUR oder 1,4 % des Weltumsatzes |
Das BSI hat angekündigt, zunächst auf freiwillige Compliance zu setzen und Sanktionen schrittweise einzuführen. Das bedeutet aber nicht, dass keine Sanktionen kommen. Kooperatives Verhalten — also proaktive Nachregistrierung — wird in der Regel bußgeldmildernd berücksichtigt.
Neben der Registrierung: Weitere Pflichten
Die BSI-Registrierung ist nur der Anfang. Parallel dazu müssen NIS2-pflichtige Einrichtungen:
Meldeprozess einrichten (§32 BSIG)
Erhebliche Sicherheitsvorfälle müssen in drei Stufen gemeldet werden: Frühwarnung (24h), Vorfallsmeldung (72h), Abschlussbericht (30 Tage). Wer keinen etablierten Meldeprozess hat, ist im Ernstfall handlungsunfähig.
Risikomanagement dokumentieren (§30 BSIG)
Technische und organisatorische Maßnahmen zur Cybersicherheit müssen implementiert und dokumentiert sein — von Multi-Faktor-Authentifizierung bis zu Business-Continuity-Plänen.
GF schulen (§38 BSIG)
Leitungsorgane müssen an Cybersicherheitsschulungen teilnehmen und die Sicherheitsmaßnahmen aktiv billigen und überwachen.
Priorisierung für verspätete Einrichtungen
Wenn Sie die Registrierungsfrist versäumt haben, empfehlen wir folgende Priorisierung:
- Sofort: BSI-Nachregistrierung einleiten
- Diese Woche: Meldeprozess für §32 BSIG definieren — wer meldet was wann
- Dieser Monat: ISMS-Grundstruktur nach §30 BSIG dokumentieren
- Quartal: GF-Schulung nach §38 BSIG absolvieren
Fazit
Die versäumte Registrierungsfrist ist ein Problem, aber kein unlösbares. Nachregistrierung, proaktive Compliance und ein strukturierter Meldeprozess sind die wichtigsten Schritte. MeldeKette24 unterstützt Sie beim Aufbau des §32-Meldeprozesses — als erstem und dringlichstem Schritt nach der Registrierung.
Nutzen Sie den NIS2-Pflicht-Check, um schnell zu prüfen, ob und wie Ihr Unternehmen betroffen ist.