BSI startet Vollzug: Tausende Firmen drohen hohe Bußgelder

Die Aufsichtsbehörde für IT-Sicherheit in Deutschland hat die Handschuhe ausgezogen. Nach Ablauf der Anmeldefrist für das neue IT-Sicherheitsgesetz NIS2 geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun mit ersten Aufforderungsschreiben gegen säumige Unternehmen vor. Rund 18.500 Firmen aus 18 kritischen Sektoren haben ihre Pflichtanmeldung verpasst – und riskieren damit empfindliche Strafen.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind: Neue Gesetze verschärfen die Lage und IT-Experten warnen vor teuren Konsequenzen. Dieser kostenlose Leitfaden zeigt Geschäftsführern, was sie über Cyber Security 2024 wissen müssen. Kostenloses E-Book zu Cyber-Security-Trends sichern

Vom Dialog zum Vollzug: Die Frist ist abgelaufen

Seit dem 6. März 2026 ist die Übergangsfrist vorbei. Das BSI hat seine Strategie nun klar von der Beratung auf die Durchsetzung umgestellt. Tausende Unternehmen, die ihre Registrierung im zentralen Portal nicht fristgerecht abgeschlossen haben, erhalten dieser Tage förmliche Aufforderungsschreiben. Diese gewähren meist eine letzte Gnadenfrist von 14 Tagen, bevor ein förmliches Bußgeldverfahren eingeleitet wird.

Die Dimension ist gewaltig: Durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) hat sich der Kreis der regulierten Unternehmen in Deutschland von etwa 4.500 auf fast 30.000 erweitert. Besonders betroffen sind Branchen wie die Chemie- und Fertigungsindustrie, die bisher weniger im Fokus der IT-Sicherheitsvorschriften standen. Für viele Mittelständler kommt die Registrierungspflicht überraschend – und die späte Eile ist groß.

Zwei-Stufen-Registrierung: Der Weg durch das BSI-Portal

Die Anmeldung erfolgt über das BSI-Portal, das seit Januar 2026 als zentrale Anlaufstelle dient. Doch der Prozess ist anspruchsvoll und erfordert Koordination zwischen IT- und Steuerabteilung.

Stufe 1: Das Unternehmenskonto
Zunächst muss ein „Mein Unternehmenskonto“ (MUK) eingerichtet werden. Die technische Basis bildet dabei das ELSTER-System. Unternehmen benötigen dafür ein gültiges ELSTER-Organisationszertifikat – dessen Beantragung allein drei bis vierzehn Werktage dauern kann. Diese Verzögerung hat maßgeblich dazu beigetragen, dass viele Firmen die März-Frist verpasst haben.

Stufe 2: Die eigentliche Registrierung
Erst mit aktivem MUK kann die NIS2-Registrierung erfolgen. Dabei müssen Unternehmen detaillierte Angaben machen, darunter die Benennung eines 24/7-Ansprechpartners und eine Selbsteinstufung als „wichtige“ oder „besonders wichtige“ Einrichtung. Juristen warnen: Diese Einstufung ist für das BSI nicht bindend. Stuft sich ein Unternehmen bewusst zu niedrig ein, um strengeren Audits zu entgehen, kann die Behörde nach eigenem Ermessen korrigieren – mit allen Konsequenzen.

Neue Pflichten: Schnelle Meldung und technische Maßnahmen

Die Registrierung ist nur der Anfang. NIS2 bringt ein dreistufiges Meldesystem für schwerwiegende IT-Sicherheitsvorfälle mit sich, das Unternehmen unter erheblichen Zeitdruck setzt.

1. Frühwarnung innerhalb von 24 Stunden nach Bekanntwerden
2. Vorfallmeldung mit ersten Bewertungen innerhalb von 72 Stunden
3. Abschlussbericht spätestens einen Monat nach Behebung des Vorfalls

Parallel dazu müssen Unternehmen angemessene Technische und Organisatorische Maßnahmen (TOMs) umsetzen. Dazu gehören etwa Maßnahmen zur Lieferkettensicherheit, der Einsatz von Verschlüsselung und Multi-Faktor-Authentifizierung. Was früher oft als freiwillige „Best Practice“ galt, ist jetzt gesetzliche Pflicht. Eine lückenhafte Dokumentation dieser Maßnahmen kann genauso teuer werden wie eine versäumte Registrierung.

Der regulatorische Druck durch NIS2 macht effektive Abwehrmethoden gegen Cyberkriminelle für mittelständische Unternehmen unumgänglich. Erfahren Sie in diesem Experten-Guide, wie Sie in vier Schritten eine erfolgreiche Hacker-Abwehr etablieren und sich vor Phishing-Angriffen schützen. Anti-Phishing-Paket kostenlos herunterladen

Haftung und Bußgelder: Das Risiko sitzt im Vorstand

Eine der einschneidendsten Neuerungen ist die persönliche Haftung der Geschäftsführung. IT-Sicherheit ist keine reine IT-Abteilungsaufgabe mehr. Vorstände und Geschäftsführer tragen die Verantwortung für das Risikomanagement und müssen sich regelmäßig fortbilden. Bei Pflichtverletzungen droht ihnen persönliche Haftung.

Die finanziellen Konsequenzen sind massiv und orientieren sich an der Schwere von DSGVO-Bußgeldern:
* Besonders wichtige Einrichtungen (z.B. große Energieversorger, Banken): Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
* Wichtige Einrichtungen (z.B. aus der Lebensmittelbranche, Abfallwirtschaft): Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.

Die Botschaft ist klar: Cybersicherheit wird regulatorisch nun genauso schwer gewichtet wie der Datenschutz.

Marktreaktionen und Versicherungen ziehen nach

Die Auswirkungen des NIS2-Regimes gehen über direkte behördliche Maßnahmen hinaus. Marktbeobachter berichten, dass auch Versicherungsunternehmen reagieren. Bei der Verlängerung von Cyber-Policen verlangen sie zunehmend den Nachweis einer erfolgreichen BSI-Registrierung. Fehlt diese, drohen höhere Prämien oder der Ausschluss bestimmter Risikodeckungen.

Der Vergleich mit der ursprünglichen NIS-Richtlinie von 2016 zeigt den gewachsenen Anspruch. Während damals noch große nationale Spielräume bestanden, zielt NIS2 auf eine stärkere Harmonisierung in der EU ab. Die deutsche Umsetzung geht mit der Kategorie „besonders wichtige Einrichtung“ jedoch sogar über die EU-Vorgaben hinaus.

Was jetzt zu tun ist – und was kommt

Für noch nicht registrierte Unternehmen sind die aktuellen BSI-Schreiben die letzte Warnung. Die Priorität der kommenden Wochen muss auf der zügigen Beschaffung des ELSTER-Zertifikats und der Einrichtung interner Meldeprozesse liegen.

Ein erster Stimmungstest steht bereits Mitte April an: Vom 15. bis 16. April 2026 findet in Bonn der 21. Deutsche IT-Sicherheitskongress statt. Dort werden voraussichtlich die ersten offiziellen Registrierungszahlen und Erfahrungen aus den BSI-Audits bekannt gegeben.

Langfristig will das BSI sein Portal von einer reinen Registrierungsstelle zu einer Echtzeit-Drehscheibe für Bedrohungsinformationen ausbauen. Das Ziel: Die „Cybernation Deutschland“ soll Bedrohungen früher erkennen und abwehren können. Für die betroffenen Unternehmen ist jedoch erstmal klar: Die Zeit freiwilliger Cybersicherheit ist endgültig vorbei. Es herrscht das Prinzip verbindlicher Transparenz und Haftung.

boerse | 69046506 |