NIS-2-Deadline 31. Juli: 11.000 Firmen fehlt noch die BSI-Registrierung
21.06.2026 - 02:28:54 | boerse-global.de
Bis zum 31. Juli müssen sich zehntausende Firmen beim BSI registrieren. Doch rund 11.000 haben das noch nicht geschafft.
Die NIS-2-Richtlinie ist in Deutschland seit Dezember 2025 in Kraft. Sie weitet den Kreis der betroffenen Unternehmen massiv aus: Statt 4.500 Betreiber kritischer Infrastrukturen sind nun auch mittelgroße Firmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz betroffen. Von geschätzt 29.500 Unternehmen haben erst 18.500 die Registrierung abgeschlossen.
Wer genau betroffen ist
Anzeige: Wer die persönliche Haftung für NIS-2-Verstöße vermeiden will, braucht jetzt eine klare Checkliste und eine Schritt-für-Schritt-Anleitung zur BSI-Registrierung. Dieser kostenlose Report liefert beides – inklusive Notfallplan für die 24h-Meldepflicht. Jetzt kostenlosen NIS-2-Report anfordern
Der Gesetzgeber unterscheidet zwischen essenziellen und wichtigen Einrichtungen. Neben Energie- und Wasserversorgung fallen jetzt auch die Abfallwirtschaft, Lebensmittelproduktion, öffentliche Verwaltung sowie Anbieter digitaler Plattformen und Postdienste unter die Regulierung. Die Anmeldung läuft über ein spezielles BSI-Portal mit dem Unternehmenskonto (MUK).
Persönliche Haftung fürs Management
Ein Knackpunkt: Die Geschäftsleitung haftet persönlich. Paragraf 30 BSIG macht sie für Umsetzung und Überwachung der Risikomanagementmaßnahmen verantwortlich. Zudem müssen Führungskräfte verpflichtend in Cybersicherheit geschult werden (§ 38 BSIG).
Die Bußgelder sind happig. Bei essenziellen Einrichtungen drohen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Wichtige Einrichtungen zahlen bis zu 7 Millionen Euro oder 1,4 Prozent des globalen Umsatzes. Die Prüfung umfasst zehn Kernanforderungen: von Risikoanalysen über Business-Continuity-Konzepte bis hin zur Lieferkettensicherung und Multi-Faktor-Authentifizierung.
Meldepflicht bei Angriffen verschärft
Bei erheblichen Sicherheitsvorfällen gilt ein dreistufiges Meldeverfahren: erste Meldung binnen 24 Stunden, detaillierte Folgemeldung nach 72 Stunden, Abschlussbericht nach spätestens einem Monat.
Der Zeitpunkt ist brisant. Allein im April 2026 stiegen die Cyberangriffe in der DACH-Region um 17 Prozent – auf durchschnittlich über 2.100 Attacken pro Woche. Besonders kleine und mittelständische Unternehmen geraten ins Visier von Ransomware-Banden.
Anzeige: Ab dem 2. August 2026 drohen zusätzliche AI-Act-Strafen von bis zu 35 Millionen Euro. Wer seine KI-Anwendungen nicht inventarisiert, riskiert doppelte Haftung. Dieser Report zeigt, wie Sie NIS-2- und AI-Act-Pflichten parallel umsetzen. Doppelter Compliance-Report jetzt sichern
Nächste Frist: AI Act
Wer jetzt durchatmet, irrt. Ab dem 2. August greifen zusätzlich die Regeln für Hochrisiko-KI-Systeme aus dem EU AI Act. Die Strafen sind noch drastischer: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes. Unternehmen sollten ihre KI-Anwendungen jetzt inventarisieren und Governance-Strukturen aufbauen.
Derweil diskutiert der Bundestag über schärfere Cybersicherheitsgesetze. Am 25. Juni steht die erste Lesung eines Entwurfs an, der Hackbacks unter bestimmten Bedingungen erlauben soll. Die Kosten für die Wirtschaft? Einmalig rund 2,2 Milliarden Euro – plus ähnlich hohe jährliche Folgekosten.
