BSI-Gesetz: Fristende setzt Tausende Unternehmen unter Druck

Die Schonfrist ist vorbei: Seit dem 6. März 2026 müssen sich fast 30.000 Unternehmen bei der Bundesbehörde für IT-Sicherheit registrieren. Doch mehr als die Hälfte hat die Frist verpasst – und riskiert nun Millionenstrafen und persönliche Haftung für ihre Führungskräfte. Die verschärften Cybersicherheits-Regeln markieren einen Paradigmenwechsel für die deutsche Wirtschaft.

Angesichts der neuen gesetzlichen Anforderungen und drohender Bußgelder stehen viele Unternehmen vor der Herausforderung, ihre IT-Sicherheit schnellstmöglich zu professionalisieren. Dieser Experten-Report zeigt effektive Strategien, wie mittelständische Betriebe sich ohne Budget-Explosion gegen Cyberkriminelle wappnen können. Effektive Strategien zur Hacker-Abwehr entdecken

Strikte Registrierungspflicht – Massenhaft Versäumnisse

Die Rechtslage änderte sich grundlegend, als das NIS2-Umsetzungsgesetz am 6. Dezember 2025 in Kraft trat. Es erweiterte den Kreis der regulierten Unternehmen von etwa 4.500 Betreibern kritischer Infrastrukturen auf rund 30.000 Firmen in 18 Sektoren. Dazu zählen nun auch viele mittelständische Betriebe aus der Fertigung, Lebensmittelproduktion und digitalen Dienstleistung.

Die gesetzte Dreimonatsfrist zur Registrierung über das Bundesportal endete am vergangenen Freitag. Doch interne Angaben zeigen ein alarmierendes Bild: Geschätzte 18.500 Organisationen haben die Deadline nicht eingehalten. Experten führen dies auf Unklarheiten bei den Schwellenwerten und technische Hürden beim Portal zurück. Unabhängig vom Grund handeln diese Firmen nun rechtswidrig.

Die finanziellen Konsequenzen sind drastisch. Für „besonders wichtige Einrichtungen“ drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. „Wichtige Einrichtungen“ müssen mit bis zu sieben Millionen Euro oder 1,4 Prozent des Umsatzes rechnen. Die Aufsichtsbehörden kündigten an, die Einhaltung nun aktiv zu prüfen.

24-Stunden-Meldepflicht bei Cyber-Vorfällen

Neben der Registrierung führt das novellierte BSI-Gesetz eine strenge, mehrstufige Meldepflicht für IT-Sicherheitsvorfälle ein. Jeder signifikante Vorfall muss der Behörde innerhalb von 24 Stunden nach Erkennung gemeldet werden.

Innerhalb von 72 Stunden muss ein detaillierter Bericht mit Art des Angriffs und ersten Gegenmaßnahmen folgen. Ein abschließender Report ist binnen eines Monats fällig. Sicherheitsexperten betonen: Diese engen Fristen sind nur mit hochautomatisierten Systemen und klaren Notfallprozessen einzuhalten – eine Herausforderung für viele Mittelständler.

Die Meldung erfolgt über ein One-Stop-Shop-Portal des BSI. Der Zugang erfordert jedoch ein verifiziertes Konto über „Mein Unternehmenskonto“ (MUK), das auf ELSTER-Steuerzertifikaten basiert. Genau diese technische Hürde bereitet internationalen Konzernen mit deutschen Tochtergesellschaften große Probleme und verzögert den Aufbau der nötigen Meldekanäle.

Persönliche Haftung für Geschäftsführer und Vorstände

Die wohl einschneidendste Neuerung ist die explizite persönliche Haftung für Führungskräfte. §38 des neuen BSI-Gesetzes macht Mitglieder von Geschäftsführung und Vorstand persönlich verantwortlich, wenn sie angemessene Cyber-Risikomanagement-Maßnahmen nicht umsetzen oder überwachen.

BSI-Präsidentin Claudia Plattner betonte kürzlich, diese Verantwortlichkeit sei das zentrale Durchsetzungsinstrument der neuen Standards. Die Behörde macht klar: Vernachlässigen Führungskräfte ihre Pflicht, die Cyber-Resilienz aufzubauen, müssen sie mit persönlichen rechtlichen Konsequenzen rechnen.

Rechtsexperten warnen, dass herkömmliche D&O-Versicherungen (Directors and Officers) möglicherweise nicht greifen, wenn Führungskräfte keine grundlegenden IT-Sicherheitsmaßnahmen nachweisen können. Das Gesetz verbietet es ausdrücklich, diese Haftung vertraglich auszuschließen oder die Manager schadlos zu stellen. Vorstände und Geschäftsführer sind nun gesetzlich verpflichtet, aktiv an der Cybersicherheit mitzuwirken, Budgets zu genehmigen und spezielle Schulungen zu absolvieren.

Die neue Rechtslage zwingt Geschäftsführer dazu, IT-Sicherheit zur Chefsache zu machen, um persönliche Haftungsrisiken zu minimieren. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie Ihr Unternehmen mit einfachen Maßnahmen schützen und welche neuen Gesetze Sie jetzt kennen müssen. Kostenlosen Cyber-Security-Leitfaden für Geschäftsführer herunterladen

Doppelbelastung durch physische Schutzpflichten

Die Compliance-Lage wird zusätzlich durch das parallel verabschiedete KRITIS-Dachgesetz verkompliziert. Während sich das BSI-Gesetz auf digitale Sicherheit konzentriert, schafft diese Ergänzung einen neuen Rechtsrahmen für den physischen Schutz kritischer Anlagen.

Betreiber müssen lokale Risikoanalysen durchführen und umfassende Resilienzpläne gegen Sabotage, Naturkatastrophen oder Lieferkettenstörungen erstellen. Auch hier gilt eine strikte 24-Stunden-Meldepflicht für erhebliche physische Störungen – allerdings an das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Hochregulierte Unternehmen stehen damit vor der Aufgabe, ihre digitalen Meldungen an das BSI mit den physischen Meldungen an das BBK zu synchronisieren. Branchenverbände kritisieren diese fragmentierte Meldestruktur. Die Bundesbehörden betonen hingegen, eng zusammenzuarbeiten, um einheitliche nationale Gefährdungsanalysen zu erstellen.

Ausblick: Fokus verschiebt sich auf Durchsetzung

Mit dem Ablauf der Frist beginnt die Phase der aktiven Durchsetzung. Unternehmen, die den 6. März verpasst haben, sollten die Registrierung nachträglich so schnell wie möglich nachholen, um zumindest ihren Bemühungswillen zu dokumentieren und mögliche Strafen zu mildern.

Das BSI wird seine Prüfungen hochfahren und die Registrierungsdaten nutzen, um Abhängigkeiten in der digitalen Lieferkette der deutschen Wirtschaft abzubilden. Der für Mitte April 2026 geplante 21. Deutsche IT-Sicherheitskongress des BSI dürfte das nächste wichtige Forum werden, auf dem die Behörde ihre Prüfschwerpunkte und Strafverfolgungsstrategien erläutert.

Für die betroffenen Unternehmen heißt es jetzt: Von der Checkliste zur gelebten Praxis. Die 24-Stunden-Meldefähigkeit muss operationalisiert werden. Die Toleranz der Aufsicht für Verstöße wird unter dem neuen Regime voraussichtlich gegen Null tendieren. Der Druck auf Vorstände und IT-Verantwortliche hat eine neue dimension erreicht.

boerse | 68654781 |