NIS2-Registrierungspflicht verpasst? Die Praxis-Checkliste nach § 30 BSIG
7 Min. Lesezeit
Am 6. März 2026 lief die Frist ab. Drei Monate nach Inkrafttreten des NIS2-Umsetzungsgesetzes mussten sich rund 29.500 Unternehmen beim BSI registrieren. Ergebnis: Nur 38,5 Prozent haben es geschafft. Wer jetzt noch nicht registriert ist, riskiert Bußgelder bis 10 Millionen Euro und persönliche Geschäftsführerhaftung. Dieser Artikel erklärt, was § 30 BSIG konkret verlangt, wo die häufigsten Lücken liegen und was IT-Security-Teams jetzt tun müssen.
Das Wichtigste in Kürze
- 🔒 Nur 11.500 von 29.500 pflichtigen Unternehmen haben sich fristgerecht beim BSI registriert (Security Insider 2026).
- ⚠️ § 30 BSIG definiert zehn Mindestmaßnahmen für Risikomanagement, von Incident Response bis Kryptografie.
- 🛡️ Persönliche GF-Haftung nach § 38 BSIG: Geschäftsführer müssen Maßnahmen genehmigen, überwachen und sich schulen lassen.
- 📊 Bußgelder: bis 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen (§ 65 BSIG).
- 🔧 Das BSI setzt aktuell auf Einsicht statt Sofortstrafen, führt aber seit Januar 2026 bereits Vor-Ort-Prüfungen durch.
Die Registrierungsfrist ist abgelaufen
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) trat am 6. Dezember 2025 ohne Übergangsfristen in Kraft. Ab diesem Tag galten alle Pflichten. Drei Monate später, am 6. März 2026, endete die Frist für die BSI-Registrierung. Das BSI hatte das Registrierungsportal am 6. Januar 2026 freigeschaltet.
Die Zahlen nach Fristablauf sind ernüchternd: Von rund 29.500 pflichtigen Einrichtungen haben sich laut Branchenberichten nur etwa 11.500 registriert. Das entspricht 38,5 Prozent. Die Mehrheit der betroffenen Unternehmen ist damit formal im Verzug.
Zum Vergleich: Unter dem alten IT-Sicherheitsgesetz beaufsichtigte das BSI rund 4.500 Organisationen. Mit NIS2 hat sich der Kreis mehr als versechsfacht. Viele der neu betroffenen Unternehmen haben bisher keine Berührungspunkte mit BSI-Regulierung gehabt und unterschätzen den Aufwand für die Umsetzung der Mindestmaßnahmen erheblich.
Quellen: BSI Pressemitteilung Dez. 2025, Security Insider März 2026, § 65 BSIG
Wer ist betroffen? Der Betroffenheits-Check
NIS2 unterscheidet zwei Kategorien. Wer in eine davon fällt, ist registrierungspflichtig.
Besonders wichtige Einrichtungen: Ab 250 Mitarbeitende oder ab 50 Millionen Euro Jahresumsatz bei mindestens 43 Millionen Euro Bilanzsumme. Diese Unternehmen werden vom BSI proaktiv und regelmäßig geprüft. Bußgelder: bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Wichtige Einrichtungen: Ab 50 Mitarbeitende oder ab 10 Millionen Euro Jahresumsatz. Das BSI prüft hier nur reaktiv, also bei Verdacht auf Verstoß oder nach einem Sicherheitsvorfall. Bußgelder: bis 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.
Insgesamt erfasst NIS2 18 Sektoren. Elf davon gelten als wesentlich: Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienste, öffentliche Verwaltung und Weltraum. Sieben weitere Sektoren sind als wichtig eingestuft: Post, Abfallwirtschaft, Chemie, Lebensmittelwirtschaft, produzierendes Gewerbe, Digitalanbieter und Forschung.
Der Irrtum, der am häufigsten vorkommt: „Wir sind zu klein.“ Tatsächlich liegt die Schwelle bei 50 Mitarbeitenden oder 10 Millionen Euro Umsatz. Viele Mittelständler, die sich nie als KRITIS-relevant gesehen haben, fallen unter diese Grenze. Besonders tückisch: Auch Tochtergesellschaften und verbundene Unternehmen können die Schwellenwerte durch Konzernzugehörigkeit überschreiten.
§ 30 BSIG: Die zehn Mindestmaßnahmen im Detail
Der Kern des NIS2-Umsetzungsgesetzes für die Praxis steht in § 30 Absatz 2 BSIG. Dort definiert der Gesetzgeber zehn Bereiche, die jede betroffene Einrichtung abdecken muss. Keine dieser Maßnahmen ist optional.
1. Risikoanalyse und Sicherheitskonzepte. Unternehmen brauchen dokumentierte Konzepte für Risikoanalyse und Informationssicherheit. Kein Papiertiger: Das BSI prüft, ob diese Konzepte aktuell, vollständig und an die tatsächliche IT-Landschaft angepasst sind.
2. Incident Management. Sicherheitsvorfälle müssen erkannt, klassifiziert und bewältigt werden können. Das BSI erwartet definierte Meldewege, Eskalationsprozesse und dokumentierte Nachbereitung. Die Erfahrung zeigt: Viele Unternehmen haben Incident-Response-Pläne, die im Ernstfall nicht funktionieren.
3. Business Continuity. Betriebsaufrechterhaltung, Backup-Management, Wiederherstellung nach Notfällen und Krisenmanagement. Nicht nur technisch: Auch organisatorische Abläufe für den Notfall müssen definiert und regelmäßig in Übungen getestet sein. Ein Backup-Konzept auf dem Papier nützt nichts, wenn die Wiederherstellung nie geprobt wurde.
4. Supply Chain Security. Die Sicherheit der Lieferkette einschließlich direkter Anbieter und Dienstleister. Hier liegt eine der größten Lücken: Viele Unternehmen kennen die Sicherheitspraktiken ihrer IT-Dienstleister nicht. NIS2 verlangt, dass diese Risiken systematisch erfasst und vertraglich gesteuert werden. Das betrifft auch Cloud-Provider, Managed-Service-Anbieter und Softwarezulieferer.
5. Sichere Beschaffung und Entwicklung. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IT-Systemen. Für Unternehmen mit eigener Softwareentwicklung bedeutet das: Security by Design wird Pflicht, nicht Kür. Der SBOM-Praxischeck zeigt, wie die Software-Stückliste dabei hilft.
6. Wirksamkeitsbewertung. Unternehmen müssen nicht nur Maßnahmen umsetzen, sondern deren Wirksamkeit regelmäßig bewerten. Penetrationstests, Audits und Security-Metriken werden damit zur Pflicht. Die Bewertung muss dokumentiert und der Geschäftsleitung vorgelegt werden.
7. Schulung und Sensibilisierung. Grundlegende Cybersecurity-Schulungen für alle Mitarbeitenden. Nicht einmalig, sondern kontinuierlich. Die Geschäftsführung hat eine eigene Schulungspflicht nach § 38 BSIG, die nicht delegierbar ist.
„Unternehmen brauchen verlässliche Rahmenbedingungen.“
Ralf Wintergerst, Präsident Bitkom (Bitkom Presseinformation, 2025)
8. Kryptografie. Konzepte und Prozesse für den Einsatz kryptografischer Verfahren. Das betrifft Verschlüsselung im Transit, at Rest und in der Kommunikation. Unternehmen müssen dokumentieren, welche Algorithmen sie einsetzen und warum. Veraltete Verfahren wie SHA-1 oder RSA mit weniger als 2048 Bit sind nicht mehr akzeptabel.
9. Zugriffskontrolle und Personalmanagement. Sicherheit des Personals, Zugriffskontrolle auf Systeme und Verwaltung von IKT-Systemen. Identity and Access Management (IAM) wird damit zum Compliance-Thema, nicht nur zum Security-Thema. Das Prinzip der minimalen Berechtigung muss konsequent umgesetzt und nachweisbar dokumentiert sein.
10. Multi-Faktor-Authentifizierung und sichere Kommunikation. MFA oder kontinuierliche Authentifizierung sowie gesicherte Sprach-, Video- und Textkommunikation. Wer noch keine MFA für kritische Systeme hat, ist ab sofort nicht mehr compliant. Besonders relevant für Unternehmen, die Microsoft Teams oder ähnliche Plattformen für vertrauliche Kommunikation nutzen.
§ 38 BSIG: Warum Geschäftsführer persönlich haften
Die vielleicht einschneidendste Neuerung von NIS2 steht in § 38 BSIG. Geschäftsführer und Vorstände haften persönlich für die Umsetzung der Risikomanagementmaßnahmen. Drei Pflichten sind gesetzlich verankert.
Genehmigungspflicht: Die Risikomanagementmaßnahmen nach § 30 müssen von der Geschäftsführung formell genehmigt werden. Delegation an den CISO oder die IT-Leitung reicht nicht. Die Geschäftsleitung muss nachweislich entschieden haben.
Überwachungspflicht: Geschäftsführer müssen die Umsetzung aktiv überwachen. Nicht nur informiert werden, sondern steuern. Das BSI kann Nachweise verlangen, dass diese Überwachung stattfindet.
Schulungspflicht: Leitungsorgane müssen sich regelmäßig in Cybersicherheit schulen lassen. Diese Pflicht ist nicht delegierbar. Mindestens alle drei Jahre ist eine Auffrischung fällig.
Besonders relevant: Ein Haftungsverzicht durch das Unternehmen ist gesetzlich ausgeschlossen. Auch wer einen CISO bestellt hat, bleibt persönlich verantwortlich für die strategische Steuerung. Wer nach einem Vorfall nicht belegen kann, dass er die drei Pflichten erfüllt hat, haftet mit seinem Privatvermögen.
Was das BSI nach dem 6. März tut
Das BSI hat nach Ablauf der Registrierungsfrist signalisiert, dass es zunächst auf Einsicht statt auf sofortige Strafen setzt. Bußgeldbescheide sind bisher nicht öffentlich bekannt geworden. Das bedeutet allerdings nicht, dass nichts passiert.
Seit Januar 2026 führt das BSI bereits Vor-Ort-Prüfungen bei besonders wichtigen Einrichtungen durch. Die ersten Ergebnisse zeigen drei wiederkehrende Schwachstellen: Meldeprozesse, die im Ernstfall nicht funktionieren. Unbekannte Abhängigkeiten in der Lieferkette. Und Logging-Systeme, die für BSI-Prüfungen nicht ausreichen.
Für Unternehmen, die noch nicht registriert sind, heißt das: Die Schonfrist ist kein Freibrief. Die Registrierung selbst dauert wenige Stunden. Aber die Maßnahmen nach § 30 umzusetzen, braucht Wochen bis Monate. Wer jetzt erst anfängt, sollte priorisieren: Registrierung sofort, dann Incident Management und Zugriffskontrolle als Quick Wins, parallel den vollständigen Compliance-Fahrplan aufsetzen.
Sofort-Checkliste: Was IT-Security-Teams jetzt tun müssen
Schritt 1: Betroffenheits-Check. Prüfen Sie: Mehr als 50 Mitarbeitende oder mehr als 10 Millionen Euro Umsatz? In einem der 18 Sektoren tätig? Wenn ja: Sie sind betroffen.
Schritt 2: BSI-Registrierung. Falls noch nicht geschehen: Sofort über das BSI-Portal registrieren. Die Registrierung selbst ist unkompliziert. Jeder Tag Verzögerung erhöht das Bußgeldrisiko.
Schritt 3: Gap-Analyse gegen § 30. Die zehn Mindestmaßnahmen einzeln durchgehen. Wo gibt es bereits Prozesse? Wo fehlt Dokumentation? Wo fehlt die Maßnahme komplett? Ergebnis: Eine priorisierte Liste mit Handlungsbedarf.
Schritt 4: Geschäftsführung einbinden. Vorstandsbeschluss zur Genehmigung der Risikomanagementmaßnahmen einholen. Schulungstermin für die Geschäftsleitung festlegen. Überwachungsrhythmus definieren. Alles dokumentieren.
Schritt 5: Lieferkette kartieren. Welche IT-Dienstleister nutzen Sie? Welche Sicherheitsstandards gelten dort? Gibt es vertragliche Regelungen? Supply Chain Security ist der Bereich, den die meisten Unternehmen unterschätzen.
Schritt 6: Meldeprozesse testen. Einen simulierten Sicherheitsvorfall durchspielen. Funktionieren die Eskalationswege? Weiß jeder, wen er wann informieren muss? Erreicht die Meldung das BSI in der vorgeschriebenen Frist?
Fazit: Registrieren ist der einfache Teil
Die BSI-Registrierung ist in wenigen Stunden erledigt. Die eigentliche Arbeit steckt in § 30 BSIG: zehn Maßnahmenbereiche, die dokumentiert, implementiert und regelmäßig überprüft werden müssen. Mit § 38 BSIG kommt die persönliche Haftung der Geschäftsführung dazu.
Wer jetzt noch nicht angefangen hat, sollte nicht auf die Schonfrist des BSI vertrauen. Die Vor-Ort-Prüfungen laufen bereits. Und die Frage ist nicht ob, sondern wann das erste Bußgeld verhängt wird.
Häufige Fragen
Wer muss sich beim BSI registrieren?
Unternehmen ab 50 Mitarbeitenden oder ab 10 Millionen Euro Jahresumsatz, die in einem der 18 NIS2-Sektoren tätig sind. Die Registrierungspflicht gilt seit dem 6. März 2026.
Was passiert wenn ich die Registrierungsfrist verpasst habe?
Das BSI setzt aktuell auf Einsicht statt sofortige Strafen. Bußgelder sind aber jederzeit möglich: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen. Registrieren Sie sich umgehend.
Haftet der Geschäftsführer persönlich?
Ja. § 38 BSIG verpflichtet Geschäftsführer zur Genehmigung, Überwachung und eigenen Schulung in Cybersicherheit. Ein Haftungsverzicht durch das Unternehmen ist gesetzlich ausgeschlossen. Die Pflicht ist nicht an den CISO delegierbar.
Was sind die zehn Mindestmaßnahmen nach § 30 BSIG?
Risikoanalyse, Incident Management, Business Continuity, Supply Chain Security, sichere Beschaffung und Entwicklung, Wirksamkeitsbewertung, Schulung, Kryptografie, Zugriffskontrolle und Multi-Faktor-Authentifizierung. Alle zehn Bereiche müssen dokumentiert und implementiert sein.
Gilt NIS2 auch für den Mittelstand?
Ja. Die Schwelle liegt bei 50 Mitarbeitenden oder 10 Millionen Euro Umsatz. Viele Mittelständler, die sich nie als KRITIS-relevant gesehen haben, fallen unter NIS2. Besonders betroffen: produzierendes Gewerbe, Lebensmittelwirtschaft und Digitalanbieter.
Lesetipps der Redaktion
Mehr aus dem MBF Media Netzwerk
- → Cybersecurity-Boom: NIS2 als Wachstumsmotor (MyBusinessFuture)
- → Sovereignty-Washing: Cloud Act und Datensouveränität (cloudmagazin)
Quelle Titelbild: Pexels / Tima Miroshnichenko
