NIS-2-Registrierung: Frist endet 31. Juli, 11.500 Betriebe in Verzug
23.06.2026 - 01:12:52 | boerse-global.de
Dabei endet die Frist am 31. Juli.
Das deutsche Gesetz zur Umsetzung der NIS-2-Richtlinie ist seit Dezember 2025 in Kraft. Doch die Realität in den Unternehmen sieht anders aus. Erhebungen aus dem Frühjahr zeigen: Von den rund 30.000 meldepflichtigen Firmen hatten sich bis Mai gerade einmal 18.500 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert.
Rund 11.500 Betriebe müssen sich also sputen. Die offizielle Frist läuft am 31. Juli 2026 ab. Wer sie verstreichen lässt, riskiert richtig Ärger.
Anzeige: Wer die Erstregistrierung beim BSI noch nicht abgeschlossen hat, riskiert ab September verschärfte Meldepflichten und persönliche Haftung. Dieser Report liefert die Checkliste für die Registrierung in 5 Schritten, eine ISO-27001-Vorlage und den aktuellen Fristenkalender. Jetzt kostenlosen NIS-2-Report anfordern
Ab September gelten verschärfte Regeln
Doch die Registrierung ist nur der Anfang. Ab dem 11. September 2026 greifen strengere Meldepflichten für erhebliche Sicherheitsvorfälle. Unternehmen müssen erste Meldungen innerhalb von 24 Stunden abgeben – gefolgt von einer detaillierten Analyse nach 72 Stunden.
Die Richtlinie unterscheidet zwischen wesentlichen und wichtigen Einrichtungen. Die Strafen sind happig: Bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes drohen bei Verstößen. Für wichtige Betriebe sind es immerhin bis zu sieben Millionen Euro oder 1,4 Prozent des Umsatzes.
Ein zentraler Punkt: Die Cybersicherheit wird zur Führungsaufgabe. Geschäftsführer haften persönlich bei Pflichtverletzungen. Betroffen sind Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz von mehr als zehn Millionen Euro – in insgesamt 18 Sektoren.
Rekordschäden durch Cyberkriminalität
Dass die verschärften Regeln dringend nötig sind, zeigt der BKA Cybercrime-Lagebericht 2025. Demnach wurden 333.922 Fälle registriert. Der wirtschaftliche Gesamtschaden: rund 202,4 Milliarden Euro – etwa vier Prozent des deutschen Bruttoinlandsprodukts.
Besonders alarmierend: Ransomware-Angriffe stiegen um zehn Prozent auf 1.041 Fälle. 90 Prozent der Opfer sind kleine und mittlere Unternehmen (KMU). Und die Bedrohung wird immer raffinierter: 82,6 Prozent aller Phishing-E-Mails werden mittlerweile KI-automatisiert erstellt.
Laut dem ESET SMB Cyber Readiness Index 2026 ist Phishing für 43 Prozent der Vorfälle bei KMU verantwortlich. Paradox: Nur etwa ein Viertel der Betriebe sieht darin eine große Bedrohung.
Neue Verordnung für kritische Infrastrukturen
Parallel zur NIS-2-Umsetzung konkretisiert das Bundesinnenministerium den Schutz kritischer Anlagen. Ein Entwurf für die neue Kritisverordnung (KritisV) vom 26. Mai setzt die europäische CER-Richtlinie um. Der Schwellenwert: Versorgung von 500.000 Personen.
Neu aufgenommen wurden unter anderem Fernkälteversorgungen und spezifische Anbindungsanlagen für Erzeugungsbetriebe. Auch Rechenzentren ab einer IT-Anschlussleistung von 3,5 Megawatt fallen unter die Verordnung.
KI-Verordnung erhöht den Druck
Zusätzlichen Compliance-Druck bringt der EU AI Act. Unternehmen mit Hochrisiko-KI-Systemen müssen dessen Auflagen bis zum 2. August 2026 erfüllen. Bei Nichtbeachtung drohen Strafen von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes.
Dass KI-Ausfälle reale Geschäftsrisiken darstellen, zeigt eine IBM-Studie: 81 Prozent der Führungskräfte befürchten bei einem siebentägigen Ausfall von KI-Modellen schwere Schäden.
IT-Dokumentation als Basis der Resilienz
Anzeige: Geschäftsführer haften persönlich bei NIS-2-Verstößen – und die Frist endet am 31. Juli. Wer jetzt nicht handelt, riskiert Strafen bis zu 10 Mio. Euro. Dieser Report zeigt, wie Sie mit einer revisionssicheren IT-Dokumentation die Auflagen erfüllen und Haftungsrisiken minimieren. Haftungsrisiko jetzt minimieren – Report anfordern
Um die Anforderungen von NIS-2 zu erfüllen, ist eine revisionssichere IT-Dokumentation unerlässlich. Eine Zertifizierung nach ISO 27001 deckt bereits etwa 80 Prozent der gesetzlichen Anforderungen ab.
Zu den obligatorischen Maßnahmen gehören Netzwerksegmentierung, Multi-Faktor-Authentisierung (MFA), ein konsequentes Patch-Management und die Analyse der Sicherheit in der gesamten Lieferkette.
Relevant wird auch der Cyber Resilience Act (CRA): Ab September 2026 gelten erste Meldepflichten, ab Dezember 2027 soll er vollständig zur Anwendung kommen. Laut aktuellen Reports nutzt knapp die Hälfte der betroffenen Firmen noch kein spezialisiertes System für das Risikomanagement in der Lieferkette. Hier besteht dringender Handlungsbedarf.
