Von /
NIS2 News

NIS2-Registrierung:
Nachfrist bis 31. Juli 2026.

Aktuelle Entwicklung | KW 25 | 18. Juni 2026
Das BSI hat Wirtschaftsverbänden schriftlich mitgeteilt, dass es bis zum 31. Juli 2026 mit der vollständigen Umsetzung der Registrierungspflicht rechnet. Was das für betroffene Unternehmen jetzt konkret bedeutet.

Betroffene DE
29.000
Unternehmen verpflichtet
(§ 28 BSIG)
Registriert bis März
~11.500
zum Fristablauf
6. März 2026
Max. Bußgeld
500.000 €
für fehlende Registrierung
(§ 65 BSIG)
Persönliche Haftung
§ 38
BSIG — Pflicht der
Geschäftsleitung
Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland. Die Registrierungspflicht beim BSI nach § 33 BSIG war für rund 29.000 Unternehmen bis zum 6. März 2026 umzusetzen. Zum Fristablauf lagen jedoch lediglich rund 11.500 Registrierungen vor — deutlich unter der Hälfte der verpflichteten Einrichtungen. Das BSI hat daraufhin Wirtschaftsverbänden signalisiert, bis zum 31. Juli 2026 auf aktive Sanktionsmaßnahmen zu verzichten — mit der klaren Erwartung, dass ausstehende Registrierungen bis dahin vollständig nachgeholt werden.
1 — Was die Nachfrist bedeutet

Der Verstoß gegen § 33 BSIG besteht formal seit dem 6. März 2026. Die Nachfrist des BSI ist keine gesetzliche Verlängerung — sie ist ein Signal, dass das BSI betroffenen Unternehmen noch Gelegenheit zur Nachregistrierung gibt, bevor aktive Sanktionsverfahren eingeleitet werden.

Registrierungspflicht besteht — unabhängig von der Nachfrist

Unternehmen, die sich bis zum 31. Juli registrieren, können dies als aktive Mitarbeit belegen — was bei einem späteren Bußgeldverfahren mildernd gewertet werden kann. Eine vollständige Schutzwirkung entfaltet die Nachregistrierung jedoch nicht: Der formale Verstoß bestand bereits seit März.

Selbsteinstufung hat weitreichende Konsequenzen

Die Unterscheidung zwischen wesentlicher und wichtiger Einrichtung (§ 28 BSIG) bestimmt unmittelbar die Höhe möglicher Bußgelder und die Intensität künftiger Prüfungen. Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des Jahresumsatzes. Wesentliche Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Eine falsche Selbsteinstufung kann erhebliche Folgen haben — im Zweifel ist fachliche Beratung einzuholen.

Registrierung ist der erste Schritt — nicht der letzte

Mit der Registrierung im BSI-Portal sind die NIS2-Pflichten nicht erfüllt. Es folgen: Risikomanagementmaßnahmen nach § 30 BSIG (10 Mindestmaßnahmen), Meldepflichten bei erheblichen Sicherheitsvorfällen nach § 32 BSIG (24h/72h-Fristen) sowie Nachweispflichten gegenüber dem BSI nach § 39 BSIG innerhalb von drei Jahren.

2 — Die nächsten Schritte — strukturiert
  • 01
    Betroffenheit prüfen — Unternehmen ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz in einem der 18 BSIG-Sektoren (Anlage 1 und 2) sind grundsätzlich betroffen. Konzernumsätze verbundener Unternehmen werden eingerechnet.
  • 02
    Einstufung festlegen — Wesentliche oder wichtige Einrichtung? Die Selbsteinstufung beeinflusst Prüfintensität und Bußgeldhöhe direkt. Im Zweifel sollte eine fachliche Einschätzung eingeholt werden.
  • 03
    ELSTER-Zertifikat und MUK-Konto beantragen — Ohne gültiges ELSTER-Organisationszertifikat ist die Registrierung im BSI-Portal (portal.bsi.bund.de) nicht möglich. Die Beantragung nimmt mehrere Werktage in Anspruch — jetzt starten.
  • 04
    Registrierung im BSI-Portal abschließen — Stammdaten, Kontaktstelle, IP-Adressbereiche und Sektorzugehörigkeit vollständig und korrekt angeben. Unvollständige Angaben können den Prozess verzögern.
  • 05
    Folgepflichten einplanen — Risikomanagement (§ 30), Meldeverfahren (§ 32) und Nachweise (§ 39) parallel strukturieren — idealerweise eingebettet in ein bestehendes oder neu aufzusetzendes ISMS nach ISO 27001:2022.
3 — Hintergrund: Warum so viele Registrierungen fehlen

Das BSI-Portal zur NIS2-Registrierung ging erst am 6. Januar 2026 online — einen Monat nach Inkrafttreten des Gesetzes. Das BSI hatte daraufhin zunächst auf Sanktionen verzichtet. Hinzu kamen unklare Ausnahmetatbestände, die Rechtsunsicherheit erzeugten, und ein erheblicher operativer Aufwand: Die Registrierung setzt ein gültiges ELSTER-Organisationszertifikat und ein Unternehmenskonto voraus, dessen Beantragung mehrere Werktage in Anspruch nimmt.

Viele Geschäftsführer wissen bis heute nicht, ob ihr Unternehmen überhaupt unter NIS2 fällt — und riskieren damit nicht nur Bußgelder, sondern auch die persönliche Haftung nach § 38 BSIG.

Die Kombination aus technischen Hürden, unklaren Schwellenwerten und fehlender Kommunikation hat dazu geführt, dass weniger als 40 % der verpflichteten Einrichtungen fristgerecht registriert haben. Das BSI setzt nun mit der Nachfrist ein deutliches Signal: Die Phase des Nicht-Wissens ist vorbei.

Einordnung

Die Nachfrist ist kein Freifahrtschein. Der Verstoß besteht formal seit dem 6. März — eine Registrierung bis zum 31. Juli mindert das Risiko, hebt es aber nicht auf.

Wer sich jetzt registriert, zeigt aktive Kooperation mit der Behörde — und schafft die Grundlage für die weiteren NIS2-Pflichten, die parallel aufgebaut werden müssen.

Wer nach dem 31. Juli noch nicht registriert ist, muss mit aktiven Sanktionsmaßnahmen durch das BSI rechnen — inklusive öffentlicher Bekanntmachung nach § 66 BSIG.

OMNI Inform Pro · NIS2-Beratung DACH
Wie wir Sie konkret unterstützen

OMNI Inform Pro begleitet Unternehmen strukturiert durch den gesamten NIS2-Prozess — von der ersten Betroffenheitsprüfung bis zur dokumentierten Nachweisführung gegenüber dem BSI. Bernadette Ammer, zertifizierte ICO und ISMS-Spezialistin (ISO 27001:2022 + NIS2), übernimmt die fachliche Verantwortung.

Betroffenheitsprüfung und Selbsteinstufung — Strukturierte Analyse nach Anlage 1 und 2 BSIG inkl. Konzernbetrachtung und Dokumentation
Registrierungsbegleitung — Vorbereitung der vollständigen Unterlagen, Durchführung der BSI-Portal-Registrierung und Nachbereitung
ISMS-Aufbau nach ISO 27001:2022 — Als Grundlage für alle zehn NIS2-Mindestmaßnahmen nach § 30 BSIG und die Nachweispflicht nach § 39 BSIG
Meldeprozesse und Incident Response — Aufbau der 24h/72h-Meldestruktur nach § 32 BSIG inkl. interner und externer Eskalationsprozesse
Schulung der Geschäftsleitung — Nachweis der Pflichterfüllung nach § 38 BSIG, Dokumentation der Maßnahmen und Verantwortlichkeiten
Für eine erste Einschätzung Ihrer Betroffenheit stehen wir gerne zur Verfügung.
thomas.holzer@omni-informpro.de
Quellenverzeichnis

heise online (17.06.2026): BSI setzt Nachfrist — NIS2-Registrierung bis Ende Juli. Aus einem Schreiben des BSI an Branchenverbände.

it-daily.net (17.06.2026): BSI setzt Nachfrist: NIS2-Registrierung bis Ende Juli.

Börse Express (18.06.2026): NIS2-Registrierung: Nachfrist bis 31. Juli für 29.000 Unternehmen.

Bundesamt für Sicherheit in der Informationstechnik (BSI): #nis2know — NIS-2-Pflichten. bsi.bund.de

§ 28, 30, 32, 33, 38, 39, 65, 66 BSIG (NIS2UmsuCG), BGBl. 2025 I Nr. 301, in Kraft seit 06.12.2025.

ADVANT Beiten (12.06.2026): NIS-2-Umsetzungsgesetz in Kraft: Neue Cybersicherheitspflichten für Unternehmen.

SKW Schwarz Rechtsanwälte (06.03.2026): NIS2: Registrierungsfrist läuft aus — was jetzt gilt.

OpenKRITIS: Registrierung unter NIS2 und KRITIS. openkritis.de

Name
Nach oben scrollen

Entdecke mehr von OMNI Inform Pro GmbH

Jetzt abonnieren, um weiterzulesen und auf das gesamte Archiv zuzugreifen.

Weiterlesen