Was jetzt zu tun ist Am 6. März 2026 lief die Registrierungsfrist für NIS2 ab. Seither ist klar: Die meisten betroffenen Unternehmen in Deutschland haben sie verpasst. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte rund 29.500 Unternehmen und Organisationen verpflichtet, sich im BSI-Portal zu registrieren. Das Ergebnis: Nur 11.500 haben es getan. Das sind knapp 39 Prozent. Die Registrierung selbst ist in 60 Minuten erledigt. Das eigentliche Problem liegt davor – und danach. Wer sich falsch einordnet, wen die Sektorzuordnung kalt erwischt oder wer nach der Registrierung ohne funktionierende Meldeprozesse dasteht, hat ein größeres Problem als eine verpasste Frist. Dieser Artikel legt offen, wo Unternehmen in der Praxis vor Herausforderungen stehen – und was es konkret braucht, um rechtssicher weiterzukommen. Frist verpasst? Hier die wichtigsten Fakten Status: Die offizielle Registrierungsfrist ist am 06. März 2026 abgelaufen. Risiko: Wer nicht registriert ist, begeht eine Ordnungswidrigkeit und hat keinen Zugang zum Meldeportal bei Cyberangriffen. Lösung: Die Registrierung kann und muss unverzüglich nachgeholt werden. Haftung: Die Geschäftsführung haftet persönlich für die Einhaltung – diese Pflicht ist nicht delegierbar. Nur 11.500 von 29.500 – der aktuelle Stand Das NIS2-Umsetzungsgesetz gilt in Deutschland seit dem 6. Dezember 2025. Ohne Übergangsfrist. Rund 29.500 Unternehmen aus 18 Sektoren waren ab diesem Datum unmittelbar betroffen – darunter Energie, Produktion, Logistik, Chemie und Abfallwirtschaft. Die Registrierungspflicht beim BSI war einer der ersten konkreten Pflichtschritte. Die Frist: drei Monate nach Inkrafttreten, also der 6. März 2026. Bis dahin haben sich laut BSI rund 11.500 Einrichtungen registriert. Mehr als 18.000 Unternehmen fehlen noch immer im Portal. Noch kurz vor Fristablauf – Anfang Februar 2026 – lag die Zahl bei gerade einmal 1.900 registrierten Einrichtungen. Das entsprach weniger als zehn Prozent der Pflichtigen. Das BSI zeigt sich nach Fristablauf kooperativ. Verstöße gelten formal als Ordnungswidrigkeit. Bußgelder sind möglich. Eine großangelegte Verfolgungswelle hat das BSI bisher nicht angekündigt – das ändert aber nichts an der Rechtslage. Was passiert, wenn die Registrierung fehlt? Die fehlende Registrierung ist eine Ordnungswidrigkeit nach dem BSIG. Das BSI kann Bußgelder verhängen. Welche finanziellen Konsequenzen NIS2-Verstöße insgesamt nach sich ziehen können, erläutern wir im Artikel zu den NIS2-Bußgeldern und Folgen. Schwerwiegender ist aber das operative Risiko: Wer nicht registriert ist, hat keine funktionierende Meldestelle beim BSI. Im Fall eines erheblichen Sicherheitsvorfalls muss innerhalb von 24 Stunden eine erste Meldung eingehen. Ohne Registrierung fehlt dafür die technische Grundlage. Was das im Ernstfall bedeutet, beschreiben wir im Artikel zum Umgang mit IT-Sicherheitsvorfällen unter NIS2. Und es gibt einen dritten Aspekt, der in der Diskussion oft untergeht: die persönliche Haftung der Geschäftsleitung. Das NIS2-Umsetzungsgesetz verankert sie explizit. Wer als Verantwortlicher nachweislich keine Schritte unternommen hat, kann persönlich zur Rechenschaft gezogen werden – unabhängig davon, ob es zu einem Vorfall gekommen ist. Die vier größten Hürden – und was wirklich dahintersteckt Die niedrige Registrierungsquote hat konkrete Ursachen. Für jede davon gibt es einen klaren Weg nach vorne. Hürde 1: Unsicherheit über die eigene Betroffenheit Viele Unternehmen wissen bis heute nicht sicher, ob sie unter NIS2 fallen. Die Schwellenwerte – mindestens 50 Mitarbeitende oder 10 Millionen Euro Jahresumsatz in einem der 18 regulierten Sektoren – klingen eindeutig. In der Praxis entstehen Grenzfälle, die es in sich haben. Ein typisches Beispiel: Ein mittelständischer Produktionsbetrieb mit 45 eigenen Mitarbeitenden hält 60 Prozent an einem Logistikunternehmen mit 30 Beschäftigten. Werden die Unternehmen konsolidiert betrachtet, überschreiten sie gemeinsam den Schwellenwert – und fallen damit unter NIS2. Wer das nicht weiß, registriert sich nicht. Und trägt das volle Haftungsrisiko. Eine falsche Selbsteinordnung ist dabei kein reines Compliance-Problem. Das BSI-Portal nimmt auf Basis der eingetragenen Angaben eine automatische Klassifizierung vor – diese kann auf eigene Verantwortung überschrieben werden. Wer dabei unsicher ist, sollte nicht auf sein Bauchgefühl vertrauen. Die Einordnung in Sektor, Einrichtungsart und Unternehmensgröße hat direkte rechtliche Konsequenzen – für Bußgeldhöhen, Aufsichtszuständigkeiten und Haftungsfragen. Im Zweifel ist hier juristische Beratung kein Luxus, sondern Pflicht. Wer die Einordnung ohne rechtliche Absicherung trifft, trägt das volle Risiko – und das kann teurer werden als die Registrierung selbst. Was konkret hilft: Vor der Registrierung eine strukturierte Betroffenheitsprüfung durchführen – unter Berücksichtigung verbundener Unternehmen, Partnerunternehmen und Sektorüberschneidungen. Unser NIS2-Checker gibt eine erste Orientierung. Bei komplexen Unternehmensstrukturen reicht eine Selbsteinschätzung aber nicht. Wir analysieren die relevanten Faktoren strukturiert und bereiten die Entscheidungsgrundlage für Sie auf – damit Sie und Ihr Rechtsbeistand fundiert beurteilen können, ob und wie eine Registrierung erforderlich ist. Die finale rechtliche Einordnung sollte immer in Abstimmung mit einem Juristen erfolgen. Hürde 2: Technische Zugangsprobleme Die Registrierung läuft über das BSI-Portal und erfordert zwei Dinge, die viele Unternehmen nicht parat haben: ein ELSTER-Organisationszertifikat und ein eingerichtetes „Mein Unternehmenskonto" (MUK). Wer beides nicht hat, kommt nicht in das Portal – und steckt schon vor der eigentlichen Registrierung fest. Das ELSTER-Zertifikat wird über mein.elster.de beantragt. Der Aktivierungsbrief kommt per Post und dauert mehrere Werktage. Das MUK wird ebenfalls über ELSTER eingerichtet. Was konkret hilft: Den Zugang als separaten, vorgelagerten Schritt behandeln – nicht als Teil der Registrierung selbst. Wer das Zertifikat bereits für Steuerzwecke nutzt, kann es direkt verwenden. Wer es neu beantragen muss, sollte mindestens eine Woche Puffer einplanen Hürde 3: Fehlende interne Kenntnisse NIS2 landet in vielen Unternehmen auf dem Schreibtisch der IT-Abteilung – die ohnehin ausgelastet ist. Die Registrierung selbst ist technisch überschaubar. Die inhaltliche Vorbereitung aber nicht: Sektorzuordnung, Einrichtungsart, zuständige Aufsichtsbehörden auf Bundes- und Landesebene, korrekte Berechnung der Unternehmensgröße, Jahresumsatz, Bilanzsumme. Wer hier unvorbereitet ins Portal geht, verlässt es nach zwei Stunden ohne Ergebnis. Was konkret hilft: Die Aufgabe klar aufteilen. Vorbereitung und Portal-Prozess sind zwei verschiedene Arbeitsschritte. Wer die Vorarbeit strukturiert angeht reduziert die Zeit im Portal auf unter eine Stunde. Wer die Kapazität intern nicht hat, lagert die Vorbereitung aus. Wir übernehmen die vollständige inhaltliche Vorbereitung, prüfen alle Pflichtangaben vorab. Das spart interne Ressourcen und schließt Fehler aus, die später korrigiert werden müssen. Hürde 4: Abwarten als Strategie Das NIS2-Umsetzungsgesetz kam in Deutschland deutlich später als in anderen EU-Mitgliedstaaten. Die ursprüngliche EU-Deadline war Oktober 2024. Das deutsche Gesetz folgte erst im Dezember 2025. Viele Unternehmen haben die Verschiebungen als Signal gewertet, abzuwarten. Das war ein Fehler – und wer heute immer noch wartet, wiederholt ihn. Die Pflichten gelten. Die Frist ist abgelaufen. Weitere Aufschübe wird es nicht geben. Wer heute noch wartet, verschlechtert seine Ausgangsposition. Nicht nur gegenüber dem BSI, sondern auch gegenüber Geschäftspartnern. NIS2 verpflichtet betroffene Unternehmen explizit dazu, die Sicherheit ihrer Lieferkette zu bewerten und zu steuern. Das bedeutet: NIS2-pflichtige Auftraggeber werden zunehmend Sicherheitsanforderungen an ihre Zulieferer stellen – vertraglich, im Einkauf und bei der Lieferantenqualifizierung. Wer als Zulieferer keine Nachweise zur eigenen Cybersicherheit erbringen kann, wird zum Risikofaktor in der Lieferkette seines Auftraggebers. Eine gesetzliche Registrierungspflicht trifft den Zulieferer dabei nur, wenn er selbst die NIS2-Schwellenwerte erfüllt – die vertragliche Realität entwickelt sich aber unabhängig davon. Was konkret hilft: Eines muss klar sein: Die Registrierung ist nicht der erste Schritt zur NIS2-Compliance – sie ist formal der letzte. Mit Inkrafttreten des NIS2-Umsetzungsgesetzes am 6. Dezember 2025 galten alle Pflichten sofort: Risikomanagement, Sicherheitsmaßnahmen, Meldeprozesse. Ohne Übergangsfrist. Eine Frist gab es ausschließlich für die Registrierung im BSI-Portal. Wer also heute noch wartet und glaubt, mit der Registrierung den wichtigsten Schritt getan zu haben, unterschätzt die Lage erheblich. Die Registrierung ist notwendig – aber sie ist kein Leistungsnachweis gegenüber dem BSI. Bei einer Prüfung zählt, ob die Maßnahmen umgesetzt sind. Nicht ob das Portal-Formular ausgefüllt wurde. Der richtige Ansatz: Registrierung und inhaltliche Umsetzung parallel angehen – und die Umsetzung priorisieren. Wer noch nicht weiß, wo er inhaltlich steht, sollte das vor oder spätestens parallel zur Registrierung klären. So holen Sie die NIS2 Registrierung rechtssicher nach Ablauf und Voraussetzungen Die Registrierung im BSI-Portal ist weiterhin möglich. Die folgende Checkliste basiert auf der offiziellen BSI-Schritt-für-Schritt-Anleitung. Phase 1: Die Vorbereitung (Off-Portal) Bevor Sie das Portal öffnen, müssen folgende Punkte geklärt sein, um Abbruchraten zu vermeiden: ELSTER-Zertifikat: Liegt ein gültiges Organisationszertifikat vor? (Beantragung dauert per Post ca. 1 Woche).Unternehmensgröße: Mitarbeitende, Jahresumsatz und Bilanzsumme korrekt berechnet inklusive verbundener Unternehmen und Partnerunternehmen nach EU-Definition?Sektor-Zuordnung: In welche der 18 Sektoren fällt Ihre Einrichtung – und gibt es Überschneidungen?Einrichtungsart: Wie ist Ihre Einrichtung im Sinne des NIS2-Umsetzungsgesetzes einzustufen?Aufsichtsbehörden: Welche Bundes- und Landesbehörden sind für Ihre Einrichtung zuständig?IP-Adressen: Halten Sie Ihre öffentlichen IP-Bereiche (CIDR-Notation, z. B. 1.2.3.0/24) bereit. Phase 2: Der Registrierungsprozess Login: Starten Sie auf portal.bsi.bund.de via „Mein Unternehmenskonto“ (MUK).Stammdaten: Überprüfen Sie die aus ELSTER übernommenen Daten. Hinweis: Änderungen sind nur direkt in ELSTER möglich!Fachverfahren: Wählen Sie den Bereich "NIS2-Registrierung".Pflichtangaben: * Geben Sie alle zuständigen Aufsichtsbehörden (Bund/Land) ohne Abkürzungen an.Nutzen Sie für die Kontaktstelle ein Funktionspostfach, keine personengebundenen E-Mails. Phase 3: Abschluss Nach dem Absenden erhalten Sie eine Bestätigung direkt im Portal. Bewahren Sie diese für Ihre Compliance-Dokumentation auf. Phase 3: Abschluss Nach dem Absenden erhalten Sie eine Bestätigung direkt im Portal. Bewahren Sie diese für Ihre Compliance-Dokumentation auf. NIS2-Registrierung ist kein Abschluss – was danach kommt Die abgeschlossene Registrierung bedeutet: Sie sind im System. Mehr nicht. NIS2 verpflichtet betroffene Unternehmen zu einem umfangreicheren Maßnahmenpaket – und das rückwirkend zum ersten Tag. Der Gesetzgeber hat keine Übergangsfrist vorgesehen. Wer am 6. Dezember 2025 unter das NIS2-Umsetzungsgesetz fiel, musste Risikomanagement, Sicherheitsmaßnahmen und Meldeprozesse bereits umgesetzt haben. Die Registrierung im BSI-Portal war die einzige Pflicht mit einer eigenen Frist. Wer heute registriert, holt einen formalen Rückstand nach. Wer die inhaltlichen Maßnahmen noch nicht umgesetzt hat, hat einen deutlich größeren. Besonders kritisch: die Meldepflicht. Innerhalb von 24 Stunden muss bei einem erheblichen Sicherheitsvorfall eine erste Meldung beim BSI eingehen. Nach 72 Stunden folgt ein detaillierter Bericht, nach 30 Tagen ein Abschlussbericht. Diese Fristen sind eng. Sie funktionieren nur, wenn die richtigen Prozesse, Verantwortlichkeiten und technischen Strukturen bereits existieren – bevor ein Vorfall eintritt. Wie Sie diese aufbauen, erläutern wir im Artikel zur NIS2-konformen Angriffserkennung und zum Reporting. Darüber hinaus verpflichtet NIS2 zu Risikomanagement, technischen und organisatorischen Sicherheitsmaßnahmen sowie zur Absicherung der Lieferkette. Einen vollständigen Überblick über alle Anforderungen und wie wir Unternehmen bei der Umsetzung begleiten, finden Sie auf unserer NIS2-Beratungsseite. Wer registriert ist, hat den ersten Schritt getan. Wer die nächsten Schritte nicht plant, steht beim nächsten Sicherheitsvorfall ohne Antworten da – und das, unter Zeitdruck, ist der teuerste Moment. FAQ zur NIS2-Registrierung Wer ist zur NIS2 Registrierung beim BSI verpflichtet? Alle Einrichtungen, die unter das NIS2UmsuCG fallen: Unternehmen und Organisationen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in einem der 18 regulierten Sektoren – darunter Energie, Verkehr, Gesundheit, Produktion und digitale Infrastruktur. Bei verbundenen Unternehmen und Unternehmensgruppen müssen Mitarbeitende und Umsatz konsolidiert betrachtet werden. Ob Ihr Unternehmen betroffen ist, beschreiben wir im Detail im Artikel NIS2: Wer ist betroffen? Kann die NIS2 Registrierung noch nachgeholt werden? Ja. Das BSI-Portal ist weiterhin zugänglich. Die Frist ist abgelaufen, die Registrierungspflicht besteht aber fort. Wer sich noch nicht registriert hat, sollte das unverzüglich nachholen – und gleichzeitig prüfen, welche weiteren NIS2-Pflichten bereits gelten. Wie lange dauert die NIS2 Registrierung? Der technische Vorgang im Portal dauert bei guter Vorbereitung 30 bis 60 Minuten. Die eigentliche Zeit entsteht davor: ELSTER-Zertifikat beantragen, MUK einrichten, Sektorzuordnung klären, Aufsichtsbehörden recherchieren, Unternehmensgröße korrekt berechnen. Planen Sie dafür zwei bis drei Arbeitstage ein – oder übergeben Sie die Vorbereitung an uns. Planen Sie in Zweifelsfällen eine Begutachtung durch Ihren Hausjuristen ein. Was kostet die NIS2 Registrierung? Die Registrierung im BSI-Portal ist kostenlos. Kosten entstehen, wenn externe Unterstützung bei der Betroffenheitsprüfung, der inhaltlichen Vorbereitung oder der anschließenden NIS2-Umsetzung hinzugezogen wird. In den meisten Fällen ist dieser Aufwand geringer als die internen Ressourcen, die ohne Vorbereitung im Portal verloren gehen. Alles rund um NIS2 Alles rund um NIS2 im Überblick < Zurück zur Übersicht NIS2
Risiko: Wer nicht registriert ist, begeht eine Ordnungswidrigkeit und hat keinen Zugang zum Meldeportal bei Cyberangriffen.
Haftung: Die Geschäftsführung haftet persönlich für die Einhaltung – diese Pflicht ist nicht delegierbar.
Was konkret hilft: Vor der Registrierung eine strukturierte Betroffenheitsprüfung durchführen – unter Berücksichtigung verbundener Unternehmen, Partnerunternehmen und Sektorüberschneidungen. Unser NIS2-Checker gibt eine erste Orientierung. Bei komplexen Unternehmensstrukturen reicht eine Selbsteinschätzung aber nicht. Wir analysieren die relevanten Faktoren strukturiert und bereiten die Entscheidungsgrundlage für Sie auf – damit Sie und Ihr Rechtsbeistand fundiert beurteilen können, ob und wie eine Registrierung erforderlich ist. Die finale rechtliche Einordnung sollte immer in Abstimmung mit einem Juristen erfolgen.
Was konkret hilft: Den Zugang als separaten, vorgelagerten Schritt behandeln – nicht als Teil der Registrierung selbst. Wer das Zertifikat bereits für Steuerzwecke nutzt, kann es direkt verwenden. Wer es neu beantragen muss, sollte mindestens eine Woche Puffer einplanen
Was konkret hilft: Die Aufgabe klar aufteilen. Vorbereitung und Portal-Prozess sind zwei verschiedene Arbeitsschritte. Wer die Vorarbeit strukturiert angeht reduziert die Zeit im Portal auf unter eine Stunde. Wer die Kapazität intern nicht hat, lagert die Vorbereitung aus. Wir übernehmen die vollständige inhaltliche Vorbereitung, prüfen alle Pflichtangaben vorab. Das spart interne Ressourcen und schließt Fehler aus, die später korrigiert werden müssen.
Was konkret hilft: Eines muss klar sein: Die Registrierung ist nicht der erste Schritt zur NIS2-Compliance – sie ist formal der letzte. Mit Inkrafttreten des NIS2-Umsetzungsgesetzes am 6. Dezember 2025 galten alle Pflichten sofort: Risikomanagement, Sicherheitsmaßnahmen, Meldeprozesse. Ohne Übergangsfrist. Eine Frist gab es ausschließlich für die Registrierung im BSI-Portal. Wer also heute noch wartet und glaubt, mit der Registrierung den wichtigsten Schritt getan zu haben, unterschätzt die Lage erheblich. Die Registrierung ist notwendig – aber sie ist kein Leistungsnachweis gegenüber dem BSI. Bei einer Prüfung zählt, ob die Maßnahmen umgesetzt sind. Nicht ob das Portal-Formular ausgefüllt wurde. Der richtige Ansatz: Registrierung und inhaltliche Umsetzung parallel angehen – und die Umsetzung priorisieren. Wer noch nicht weiß, wo er inhaltlich steht, sollte das vor oder spätestens parallel zur Registrierung klären.
Phase 1: Die Vorbereitung (Off-Portal) Bevor Sie das Portal öffnen, müssen folgende Punkte geklärt sein, um Abbruchraten zu vermeiden: ELSTER-Zertifikat: Liegt ein gültiges Organisationszertifikat vor? (Beantragung dauert per Post ca. 1 Woche).Unternehmensgröße: Mitarbeitende, Jahresumsatz und Bilanzsumme korrekt berechnet inklusive verbundener Unternehmen und Partnerunternehmen nach EU-Definition?Sektor-Zuordnung: In welche der 18 Sektoren fällt Ihre Einrichtung – und gibt es Überschneidungen?Einrichtungsart: Wie ist Ihre Einrichtung im Sinne des NIS2-Umsetzungsgesetzes einzustufen?Aufsichtsbehörden: Welche Bundes- und Landesbehörden sind für Ihre Einrichtung zuständig?IP-Adressen: Halten Sie Ihre öffentlichen IP-Bereiche (CIDR-Notation, z. B. 1.2.3.0/24) bereit.
Phase 2: Der Registrierungsprozess Login: Starten Sie auf portal.bsi.bund.de via „Mein Unternehmenskonto“ (MUK).Stammdaten: Überprüfen Sie die aus ELSTER übernommenen Daten. Hinweis: Änderungen sind nur direkt in ELSTER möglich!Fachverfahren: Wählen Sie den Bereich "NIS2-Registrierung".Pflichtangaben: * Geben Sie alle zuständigen Aufsichtsbehörden (Bund/Land) ohne Abkürzungen an.Nutzen Sie für die Kontaktstelle ein Funktionspostfach, keine personengebundenen E-Mails.
Phase 3: Abschluss Nach dem Absenden erhalten Sie eine Bestätigung direkt im Portal. Bewahren Sie diese für Ihre Compliance-Dokumentation auf.
Phase 3: Abschluss Nach dem Absenden erhalten Sie eine Bestätigung direkt im Portal. Bewahren Sie diese für Ihre Compliance-Dokumentation auf.