Am 6. März 2026 ist die BSI-Registrierungsfrist abgelaufen. Wenn Sie sich nicht registriert haben, verstoßen Sie ab sofort gegen geltendes Recht — unabhängig davon, ob ein Cybervorfall passiert oder nicht.
Die meisten Geschäftsführer im deutschen Mittelstand haben NIS2 als "IT-Thema" abgelegt. Ein Fehler, der persönliche Konsequenzen hat. Denn die NIS2-Umsetzung in Deutschland — das NIS2UmsuCG — macht eines unmissverständlich klar: Die Verantwortung liegt nicht bei der IT-Abteilung. Sie liegt bei Ihnen.
Die Zahlen, die Sie kennen müssen
Die erste NIS-Richtlinie betraf rund 4.500 Unternehmen in Deutschland. NIS2 betrifft zwischen 29.000 und 40.000. Das ist eine Verachtfachung.
Die Schwellenwerte sind bewusst niedrig angesetzt:
- Ab 50 Mitarbeiter oder
- Ab 10 Millionen Euro Jahresumsatz
Wenn Ihr Unternehmen eines dieser beiden Kriterien erfüllt und in einem der 18 regulierten Sektoren tätig ist, sind Sie mit hoher Wahrscheinlichkeit betroffen. Die Sektorenliste ist lang: Energie, Transport, Gesundheit, digitale Infrastruktur, Abfallwirtschaft, Lebensmittel, Chemie, Maschinenbau, verarbeitendes Gewerbe — und viele mehr.
Was "Registrierungsfrist abgelaufen" konkret bedeutet
Der 6. März 2026 war kein weiches Datum. Es war eine gesetzliche Frist. Das BSI hat die Registrierungsplattform geschlossen und prüft jetzt aktiv, welche Unternehmen sich registriert haben — und welche nicht.
Schätzungen zufolge haben rund 18.500 Unternehmen die Frist verpasst. Einige aus Unwissenheit. Viele, weil sie dachten, es betreffe sie nicht. Und manche, weil ihr IT-Dienstleister gesagt hat: "Da müssen wir mal schauen."
Die Konsequenz: Wer sich nicht registriert hat, verstößt jetzt schon gegen das NIS2UmsuCG. Nicht irgendwann. Jetzt. Und zwar unabhängig davon, ob ein Cybervorfall eintritt.
Die persönliche Haftung — nicht delegierbar
Hier wird es für Geschäftsführer unangenehm. §38 BSIG regelt unmissverständlich:
Die Geschäftsleitung ist persönlich verantwortlich für die Umsetzung der Risikomanagement-Maßnahmen.
Das bedeutet:
- Sie können die Verantwortung nicht delegieren. Nicht an den IT-Leiter. Nicht an den externen Dienstleister. Nicht an den Datenschutzbeauftragten.
- Ein Haftungsverzicht per Satzung oder Gesellschaftervertrag ist ausgeschlossen. Das Gesetz schließt diese Möglichkeit explizit aus.
- Bei anhaltender Nichterfüllung kann das BSI Ihnen die Leitungstätigkeit untersagen. Sie lesen richtig: Das BSI kann Ihnen verbieten, Ihr eigenes Unternehmen zu führen.
Bußgelder: Bis zu 10 Millionen Euro
Die Bußgeldrahmen sind gestaffelt, aber die Obergrenze ist eindeutig: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes — je nachdem, was höher ist.
Und das sind nicht nur theoretische Maximalsummen. Das BSI hat in seiner jüngsten Kommunikation deutlich gemacht, dass es Verstöße verfolgen wird. Die ersten Prüfverfahren laufen bereits.
Die D&O-Falle
Viele Geschäftsführer glauben, ihre D&O-Versicherung schütze sie. Die Realität sieht anders aus.
Die meisten D&O-Policen enthalten Cyber-Ausschlussklauseln. Und selbst wenn nicht: Vorsatz und grobe Fahrlässigkeit sind generell nicht versicherbar. Wenn Sie als Geschäftsführer von der NIS2-Pflicht wussten (oder hätten wissen müssen) und nichts unternommen haben, gehen Versicherer von Fahrlässigkeit aus.
Die Konsequenz laut Branchenexperten: Eine Schadensregulierung wird "mit sehr hoher Wahrscheinlichkeit" verweigert. Sie haften dann mit Ihrem Privatvermögen — ohne Versicherungsschutz.
Die Lieferketten-Falle
Selbst wenn Ihr Unternehmen unter den Schwellenwerten liegt: NIS2 enthält eine Lieferketten-Verpflichtung. Betroffene Unternehmen müssen die Cybersicherheit ihrer Zulieferer überprüfen und sicherstellen.
Das bedeutet: Ihr größter Kunde kann morgen einen NIS2-Nachweis von Ihnen verlangen. Ohne diesen Nachweis verlieren Sie den Auftrag. Nicht irgendwann. Jetzt.
Was Sie jetzt tun müssen
Die Frist ist abgelaufen, aber das bedeutet nicht, dass es zu spät ist. Es bedeutet, dass Handeln jetzt dringender ist als je zuvor.
Schritt 1: Betroffenheit klären. Fallen Sie unter NIS2? Das lässt sich in 15 Minuten feststellen.
Schritt 2: Registrierung nachholen. Das BSI akzeptiert verspätete Registrierungen. Jeder Tag ohne Registrierung verlängert den Zeitraum der Nicht-Compliance.
Schritt 3: Risikomanagement-Maßnahmen implementieren. §30 BSIG definiert konkret, was Sie umsetzen müssen: Incident Response, Business Continuity, Supply Chain Security, Zugriffsmanagement, Vulnerability Management, Schulungen.
Schritt 4: Dokumentation aufbauen. Compliance ohne Nachweis ist keine Compliance. Wenn das BSI prüft, müssen Sie Unterlagen vorlegen können.
Schritt 5: Geschäftsführer-Schulung absolvieren. Nicht delegierbar. Alle drei Jahre. Das Gesetz verlangt, dass Sie persönlich geschult werden.
Die unbequeme Wahrheit
NIS2 ist nicht das letzte Regulierungsgesetz. DORA, KRITIS-Dachgesetz, EU AI Act — die Compliance-Anforderungen werden jedes Jahr mehr. Unternehmen, die jetzt keine Strukturen aufbauen, werden in zwei Jahren unter der Last zusammenbrechen.
Compliance wird der Credit Score Ihres Unternehmens. Banken, Versicherer und Auftraggeber werden ihn abfragen. Wer ihn nicht hat, ist raus.
Kengo prüft Ihren NIS2-Status in 60 Minuten. Kostenlos. Unverbindlich.
Bereit, Ihr Unternehmen autonom zu betreiben?
15 Minuten. Keine Verpflichtung. Kein Verkaufsdruck.
Gespräch vereinbaren →