NIS-2-Registrierung: Frist bis 31. Juli für 30.000 Unternehmen
19.06.2026 - 07:10:27 | boerse-global.de
Juli 2026 verlängert. Der Grund: Von den rund 29.000 bis 30.000 betroffenen Organisationen in Deutschland hatten bis Ende Mai erst etwa 18.500 den Meldeprozess abgeschlossen. Ursprünglich war die Frist bereits am 6. März 2026 abgelaufen.
Neue gesetzliche Anforderungen und die rasant wachsende Bedrohung durch KI-generierte Angriffe stellen Unternehmen vor enorme Herausforderungen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Cyberrisiken Unternehmer jetzt kennen müssen, um ihre Firma langfristig abzusichern. Gratis-E-Book: Cyber-Security-Trends und Gesetze entdecken
Warum die Wirtschaft hinterherhinkt
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft. Übergangsfristen für die Sicherheitsvorgaben gibt es nicht. Dennoch waren zum ersten Stichtag im März nur rund 11.500 Unternehmen registriert. Bis Ende Mai stieg die Zahl auf 18.500 – über 10.000 Betriebe fehlen also noch.
Betroffen sind Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro, sofern sie in einem der 18 definierten Sektoren tätig sind. Wer bei der Registrierung noch offene Fragen klären muss, kann eine sechswöchige Frist zur Finalisierung nutzen.
Bußgelder bis 10 Millionen Euro
Die Nichteinhaltung der NIS-2-Vorgaben wird teuer. Allein für eine unterlassene Registrierung drohen Bußgelder von bis zu 500.000 Euro. Bei schwerwiegenderen Verstößen hängen die Strafen von der Einstufung ab:
- Besonders wichtige Einrichtungen: Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: Bußgelder bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes
Ein zentrales Element: Die persönliche Haftung der Geschäftsführung. Führungskräfte müssen die Cybersicherheitsmaßnahmen billigen und deren Umsetzung überwachen. Bei grober Fahrlässigkeit haftet das Management direkt. Cybersicherheit ist damit Chefsache.
Bedrohungslage verschärft sich dramatisch
Die Dringlichkeit der Umsetzung zeigt die aktuelle Bedrohungslage. Cyberangriffe verursachen in Deutschland jährliche Schäden von rund 200 Milliarden Euro. Besonders alarmierend: Angriffe zur Umgehung der Multi-Faktor-Authentifizierung (MFA) sind seit Jahresbeginn um das 37-Fache gestiegen. Im Finanzsektor haben sich Phishing-Versuche vervierfacht – etwa 82 Prozent der Angriffe sind mittlerweile KI-generiert.
Besonders betroffen ist das Gesundheitswesen. Einer Studie des Deutschen Krankenhausinstituts (DKI) aus dem Jahr 2025 zufolge waren 20 Prozent der Allgemeinkrankenhäuser mit mehr als 100 Betten in den vorangegangenen drei Jahren von meldepflichtigen Vorfällen betroffen. 86 Prozent der Einrichtungen rechnen mit einer weiteren Verschärfung. Für den Finanzsektor gilt: Die DORA-Verordnung hat Vorrang vor NIS-2, BSI und BaFin arbeiten bei der Aufsicht eng zusammen.
Da immer mehr Cyberangriffe mittlerweile KI-gestützt ablaufen, verschärft auch der Gesetzgeber die Regeln für den Einsatz dieser Technologien massiv. Ein kostenloser Umsetzungsleitfaden zum EU AI Act hilft Ihnen dabei, Risikoklassen richtig einzustufen und alle relevanten Dokumentationspflichten fristgerecht zu erfüllen. Kostenloses E-Book zum EU AI Act herunterladen
Strenge Meldepflichten im Ernstfall
Bei einem Sicherheitsvorfall schreibt das Gesetz einen mehrstufigen Meldeprozess vor. Die Frist beginnt mit der Kenntnisnahme durch das Management:
- 24 Stunden: Erste Frühwarnung an das BSI
- 72 Stunden: Vollständige Vorfallsmeldung
- 1 Monat: Abschlussbericht
Da es Überschneidungen mit der Datenschutz-Grundverordnung (DSGVO) gibt, müssen Unternehmen ihre Prozesse abstimmen. Meldungen müssen sowohl an das BSI als auch an die zuständigen Datenschutzbehörden fristgerecht erfolgen. Als Basis empfehlen Experten etablierte Standards wie die ISO 27001 oder den BSI IT-Grundschutz. Sie decken Risikomanagement, Incident Response und Business Continuity ab – die Kernbereiche der NIS-2-Anforderungen.
