Die NIS2-Frist hat sich verschoben, aber nicht so, wie es viele Unternehmen gehofft hatten. Der gesetzliche Registrierungstermin vom 6. März 2026 ist bereits verstrichen, und das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun eine verbindliche Nachfrist gesetzt, die am 31. Juli 2026 endet. Wenn Ihr Unternehmen in den Anwendungsbereich fällt und sich noch nicht registriert hat, ist dies das Zeitfenster, das Sie nicht ignorieren dürfen. Das BSI hat deutlich gemacht, dass Nachsicht ihre Grenzen hat, und die Arbeit für eine saubere Registrierung dauert länger, als die meisten Teams erwarten. Die gute Nachricht: Mit dem richtigen Ansatz für NIS2-Compliance ist diese Bereitschaft lange vor dem Stichtag erreichbar.
Dieser Artikel erklärt, was die neue Frist bedeutet, für wen sie gilt, was bei Versäumnis passiert und wie Sie von einer einmaligen Registrierung zur kontinuierlichen Compliance gelangen, die NIS2 tatsächlich verlangt.
Was die neue NIS2-Frist konkret bedeutet
Die neue NIS2-Frist ist eine Nachfrist, kein Neuanfang. Die rechtliche Pflicht zur Registrierung gilt bereits seit Monaten, und der 31. Juli 2026 ist das Datum, bis zu dem das BSI ausstehende Registrierungen erwartet, bevor es mit der Durchsetzung beginnt.
Deutschland hat die EU-Richtlinie über ein novelliertes BSI-Gesetz in nationales Recht umgesetzt, das am 6. Dezember 2025 in Kraft trat. Im Gesetzestext ist keine Übergangsfrist vorgesehen, was bedeutet, dass die Pflichten vom ersten Tag an galten. Den vollständigen Rechtstext der Richtlinie können Sie über die offizielle EU-Rechtsdatenbank einsehen und erkennen, wie wenig Spielraum für Verzögerungen bleibt.
Die Zahlen erklären, warum das BSI eingegriffen hat. Bis Ende Mai 2026 hatten sich nur rund 18.500 von geschätzt 29.000 bis 40.000 betroffenen Organisationen registriert. Mehr als die Hälfte der Unternehmen im Anwendungsbereich war noch nicht compliant. Angesichts dieser Lücke entschied sich die Behörde für eine letzte Mahnung statt für sofortige Sanktionen, und diese Mahnung trägt das Datum 31. Juli. Für tiefergehenden Hintergrund zu den Pflichten hinter der Registrierung führt Sie unser Leitfaden zu den NIS2-Anforderungen durch das vollständige Bild.
Betrachten Sie die Verlängerung als Atempause, nicht als Signal, dass die Durchsetzung milde ausfällt. Der Rechtsverstoß durch eine verspätete Registrierung besteht weiter; die Nachfrist verschiebt lediglich die Konsequenzen.
Wer sich vor der NIS2-Registrierungsfrist registrieren muss
Sie müssen sich registrieren, wenn Ihre Organisation als wesentliche oder wichtige Einrichtung im Sinne von NIS2 gilt, in einem der regulierten Sektoren tätig ist und die Größenschwelle erreicht. In der Praxis bedeutet das: 50 oder mehr Beschäftigte oder Jahresumsatz und Bilanzsumme über 10 Millionen Euro, verteilt auf 18 definierte Sektoren.
NIS2 teilt betroffene Organisationen in zwei Stufen ein, und diese Unterscheidung bestimmt, wie genau das BSI Sie beobachtet. Wesentliche Einrichtungen unterliegen einer strengeren, proaktiven Aufsicht, während wichtige Einrichtungen reaktiv nach einem Vorfall beaufsichtigt werden. Beide müssen sich registrieren, und beide tragen dieselben Risikomanagementpflichten. Der Überblick der europäischen Cybersicherheitsagentur zeigt, wie die Mitgliedstaaten diese Kategorien anwenden sollen.
Ein entscheidendes Detail bringt viele Teams ins Straucheln: Es gibt kein offizielles Schreiben, das Ihnen mitteilt, dass Sie betroffen sind. Die Pflicht zur Selbstidentifikation liegt vollständig bei Ihnen, und ein Fehler in beide Richtungen ist teuer. Wenn Sie unsicher sind, wo Sie stehen, liefert Ihnen der NIS2 Checker eine schnelle, strukturierte Einschätzung Ihrer Betroffenheit, bevor Sie Zeit im BSI-Portal investieren.
Die folgende Tabelle fasst die beiden Stufen und die Sektoren zusammen, die wachsende Technologieunternehmen am häufigsten überraschen.
Wenn Ihr Unternehmen Cloud-Software verkauft, eine verwaltete Plattform betreibt oder einen regulierten Kundenstamm beliefert, gehen Sie davon aus, dass Sie betroffen sind, bis eine saubere Bewertung das Gegenteil belegt.
Was passiert, wenn Sie die Frist versäumen
Wer die NIS2-Frist versäumt, setzt das Unternehmen Bußgeldern, behördlichen Anordnungen und der persönlichen Haftung der Geschäftsleitung aus. Schon die verspätete Registrierung allein kann Strafen von bis zu 500.000 Euro auslösen, und Verstöße gegen andere NIS2-Pflichten tragen höhere Obergrenzen.
Das finanzielle Risiko ist nur die Schlagzeile. NIS2 knüpft die Verantwortlichkeit ausdrücklich an die Führungsebene, was bedeutet, dass Geschäftsführer und leitende Organe persönlich für Versäumnisse in der Cyber-Risiko-Governance haftbar gemacht werden können. Das ist eine bewusste Entscheidung im Gesetz, die Sicherheit von einer Backoffice-Aufgabe zu einer Aufgabe der Geschäftsleitung machen soll. Unsere Aufschlüsselung der Geschäftsleiterhaftung unter NIS2 erklärt genau, wo diese Verantwortung liegt und wie Sie ihr nachkommen.
Über Bußgelder hinaus kann das BSI verbindliche Anordnungen erlassen, Compliance-Nachweise verlangen und die Aufsicht verschärfen. Für eine wesentliche Einrichtung kann das Prüfungen und externe Audits auf eigene Kosten umfassen. Die Bundesbehörde legt ihre Durchsetzungshaltung in ihrer offiziellen Orientierung für regulierte Unternehmen dar, und der Ton ist seit dem Frühjahr spürbar härter geworden.
Es gibt auch einen leiseren Preis. Enterprise-Kunden, Versicherer und Partner verlangen während der Beschaffung zunehmend Nachweise über den NIS2-Status. Eine fehlende Registrierung wird zum Deal-Blocker, lange bevor eine Behörde überhaupt anklopft, und einen ins Stocken geratenen Enterprise-Vertrag wieder aufzunehmen ist weit teurer als eine rechtzeitige Registrierung. Für einen regulierten Kunden ist Ihre Compliance-Lücke seine Compliance-Lücke, und genau deshalb prüft er darauf.
Die Registrierung ist der Anfang, nicht das Ende: kontinuierliche NIS2-Compliance aufbauen
Die Registrierung beim BSI erfüllt eine Pflicht, doch NIS2 ist ein fortlaufendes Programm, kein einzelnes Formular. Die Richtlinie verlangt laufendes Risikomanagement, Meldung von Vorfällen, Lieferkettensicherheit und eine nachweisbare Governance, die über die Zeit Bestand hat.
Die Meldepflicht ist die schärfste Kante. NIS2 schreibt eine Erstmeldung innerhalb von 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls vor, gefolgt von einer ausführlicheren Meldung und einem Abschlussbericht. Diese Frist lässt sich unter Druck nicht improvisieren, weshalb Incident Response und Business Continuity im Voraus aufgebaut sein müssen. Unser Leitfaden zu Notfallplanung und Business Continuity bei NIS2 zeigt, wie ein funktionierender Plan in der Praxis aussieht.
Dann ist da die Substanz der Sicherheitsmaßnahmen selbst. Das Gesetz erwartet Risikoanalyse, Zugriffskontrolle, Kryptografie, Lieferantenbewertung, Mitarbeiterschulungen und regelmäßige Tests, wie gut Ihre Kontrollen tatsächlich wirken. Viele davon decken sich eng mit etablierten Standards, und NIS2 durch die Brille von ISO 27001 zu lesen ist einer der effizientesten Wege, beides zugleich zu erfüllen.
Die Lieferkettensicherheit verdient besondere Aufmerksamkeit, denn hier unterschätzen viele Organisationen ihre Exposition. NIS2 macht Sie für die Sicherheitslage Ihrer direkten Lieferanten und Dienstleister verantwortlich, nicht nur für Ihre eigenen Systeme. Das bedeutet vertragliche Sicherheitsklauseln, Risikobewertungen von Anbietern und einen klaren Überblick darüber, welche Dritten zum Einfallstor für einen Angriff werden könnten. Wenn Sie von Cloud-Anbietern oder verwalteten Diensten abhängen, werden deren Schwächen zu Ihrem regulatorischen Problem, und das BSI wird Nachweise erwarten, dass Sie dieses Risiko bewertet und gesteuert haben.
Ein realistischer Weg zur Bereitschaft sieht so aus:
- Klären Sie, ob Sie betroffen sind und welche Stufe gilt.
- Registrieren Sie sich vor dem 31. Juli 2026 im BSI-Portal.
- Führen Sie eine Gap-Analyse gegen die NIS2-Sicherheitsmaßnahmen durch.
- Schließen Sie die Lücken mit dokumentierten Richtlinien, technischen Kontrollen und Lieferantenprüfungen.
- Richten Sie einen Meldeprozess für Vorfälle innerhalb von 24 Stunden ein und testen Sie ihn.
- Halten Sie Nachweise aktuell, damit Sie Compliance jederzeit belegen können.
Die Europäische Kommission versteht NIS2 als eine Mindestlinie, die mit der Zeit steigt, und ihre Zusammenfassung der Politik macht deutlich, dass die Aufsicht mit der Reife des Regimes nur strenger wird.
Wie Sie mit Kertos vor dem 31. Juli NIS2-Bereitschaft erreichen
Kertos existiert, um genau dieses Rennen gewinnbar zu machen. Die Plattform verbindet agentische Automatisierung mit akkreditierten Compliance-Experten, sodass Sie innerhalb des vom BSI gesetzten Zeitfensters von einem unklaren Anwendungsbereich zu einem belastbaren NIS2-Programm gelangen.
Geschwindigkeit zählt jetzt am meisten, und genau hier verändert Automatisierung die Rechnung. Kertos automatisiert die Erfassung von Nachweisen, das Mapping von Kontrollen und die Dokumentation, was die manuelle Arbeit verdichtet, die ein NIS2-Projekt sonst über viele Monate streckt. Teams, die die Kertos-Plattform nutzen, reduzieren den Aufwand bis zur Bereitschaft typischerweise erheblich und behalten zugleich eine zentrale Wahrheitsquelle für jede Kontrolle.
Ebenso wichtig: Kertos behandelt NIS2 als kontinuierliche Compliance statt als einmaliges Projekt. Sobald Sie registriert sind, hält die Plattform Ihr Risikoregister, Ihre Richtlinien und Ihre Vorfallsprozesse aktuell, sodass die 24-Stunden-Meldeuhr und das nächste Audit Sie nie unvorbereitet treffen. Wenn Sie einen konkreten Ausgangspunkt suchen, beantworten die NIS2 FAQ die Fragen, die die meisten Teams in der ersten Woche stellen, und eine maßgeschneiderte NIS2-Readiness-Demo bildet die Plattform auf Ihren konkreten Anwendungsbereich ab.
Die Unternehmen, die den Stichtag am 31. Juli souverän schaffen, sind jene, die die nächsten Wochen als entscheidend behandeln. Mit Expertenbegleitung und Automatisierung im Zusammenspiel wird NIS2-Bereitschaft zu einem überschaubaren Sprint statt zu einem endlosen Kraftakt.
Häufige Fragen zur NIS2-Frist
Wann ist die NIS2-Registrierungsfrist in Deutschland?
Das BSI hat den 31. Juli 2026 als Nachfrist für die Registrierung gesetzt. Der ursprüngliche gesetzliche Termin vom 6. März 2026 ist bereits verstrichen, sodass jede Registrierung jetzt technisch verspätet ist, auch wenn Sanktionen bis nach dem 31. Juli aufgeschoben werden.
Wie hoch ist das Bußgeld bei Versäumnis der Frist?
Schon die verspätete Registrierung allein kann bis zu 500.000 Euro kosten. Verstöße gegen andere NIS2-Pflichten, etwa Versäumnisse beim Risikomanagement oder bei der Meldung von Vorfällen, tragen höhere Obergrenzen, und die Geschäftsleitung kann persönlich haftbar gemacht werden.
Benachrichtigt mich das BSI, wenn mein Unternehmen betroffen ist?
Nein. Es gibt keine offizielle Benachrichtigung. Ihre Organisation muss selbst bewerten, ob sie als wesentliche oder wichtige Einrichtung gilt. Eine strukturierte Betroffenheitsprüfung ist der sicherste erste Schritt.
Reicht die Registrierung beim BSI für NIS2-Compliance aus?
Nein. Die Registrierung ist eine Pflicht unter vielen. Sie müssen außerdem Risikomanagementmaßnahmen, Sicherheitsprüfungen von Lieferanten, Mitarbeiterschulungen und einen Meldeprozess innerhalb von 24 Stunden umsetzen und diese fortlaufend pflegen.
Wie lange dauert es, NIS2-bereit zu werden?
Manuell kann ein vollständiges Programm sechs bis zwölf Monate dauern. Mit Automatisierung und Expertenunterstützung können Organisationen, die jetzt starten, vor dem 31. Juli 2026 eine belastbare Position erreichen.
Die NIS2-Frist ist kein abstraktes politisches Datum am fernen Horizont mehr. Sie ist nur noch wenige Wochen entfernt, die Strafen sind real, und die Registrierungslücke bedeutet, dass das BSI genau hinschaut. Die Unternehmen, die in diesem Monat handeln, vermeiden nicht nur ein Bußgeld; sie bauen die kontinuierliche Compliance-Haltung auf, die NIS2 von einer Bedrohung in einen Nachweis verwandelt. Beginnen Sie damit, Ihre Betroffenheit zu klären, und kommen Sie dann ins Handeln.






.png)
