3. Mai 2026 | Artikel drucken |

NIS2-Enforcement 2026: BSI-Prüfphase und DACH-Checkliste

6 Min. Lesezeit

Am 18. April 2026 lief in Belgien die erste NIS2-Enforcement-Frist für besonders wichtige Einrichtungen ab. In Deutschland ist die BSI-Registrierungsfrist seit dem 6. März 2026 verstrichen. Wer bis dahin nicht registriert hat, steht jetzt im Fokus eines Aufsichtssystems, das Bußgelder bis 10 Mio. EUR oder 2 Prozent des Jahresumsatzes kennt und Geschäftsführer persönlich haftbar machen kann. Die Enforcement-Welle ist keine Androhung mehr.

Das Wichtigste in Kürze

  • 29.500 regulierte Einrichtungen in Deutschland. Das NIS2UmsuCG hat den deutschen Scope von 4.500 auf 29.500 Einrichtungen ausgeweitet. Viele wissen noch nicht, dass sie betroffen sind.
  • Enforcement-Phase aktiv seit Mai 2026. Belgiens erste Deadline war der 18. April 2026. Das BSI ist ab Mai 2026 in der operativen Prüfphase. Österreich folgt mit Inkrafttreten am 1. Oktober 2026.
  • Bußgeldrahmen: 10 Mio. EUR oder 2 Prozent. Für besonders wichtige Einrichtungen. Dazu kommt in Deutschland persönliche Managerhaftung bis 500.000 EUR – nicht die juristische Person, sondern die Einzelperson.
  • 84 Prozent nicht bereit. Laut CyberSmart (April 2026) sind 84 Prozent der enforcement-exponierten Organisationen nicht compliance-ready. Der Abstand zwischen regulatorischem Anspruch und operativer Realität ist nicht kleiner geworden.

VerwandtEU AI Act: Hochrisiko-Systeme ab 2. August 2026  /  BePrime-Breach April 2026: Was fehlende MFA kostet

Was die Enforcement-Phase konkret bedeutet

Enforcement ist keine Orientierungsphase mehr. In Deutschland lief die BSI-Registrierungsfrist für regulierte Einrichtungen am 6. März 2026 ab. Wer nicht registriert hat, hat eine Fristpflicht versäumt. Das ist im NIS2-Kontext kein Formfehler, sondern ein formaler Verstoß – bereits ohne weiteres Tatbestandsmerkmal bis zu 100.000 EUR Bußgeld möglich.

In Belgien lief am 18. April 2026 die erste Compliance-Nachweispflicht für besonders wichtige Einrichtungen ab. CyFun-Konformität, ISO 27001-Zertifizierung oder Direktinspektion durch das Centre for Cybersecurity Belgium – eine davon musste nachgewiesen sein. Das Muster, das sich dort zeigt, wird in Deutschland, Österreich und der Schweiz zum Referenzpunkt. Was in Belgien als Mindeststandard gilt, wird sich als Benchmark durchsetzen.

Das BSI hat in Q4 2025 formale Hinweise an 47 Einrichtungen wegen fehlender Registrierung versandt. Das ist keine abschließende Maßnahme, sondern der Beginn einer Eskalationskette. Ab Mai 2026 ist der BSI in der operativen Prüfphase – Schwerpunkte sind Registrierungsstatus, Risikomanagementmaßnahmen nach Art. 21 NIS2 und Incident-Meldeprozesse.

Regulierte Einrichtungen in Deutschland nach NIS2UmsuCG
29.500
vorher: 4.500 | Quelle: BSI, Dezember 2025

Was NIS2 von regulierten Einrichtungen verlangt

Was ist NIS2? Die EU-Richtlinie zur Netz- und Informationssicherheit (NIS2, Richtlinie 2022/2555) legt verbindliche Cybersicherheitspflichten für kritische Sektoren fest. Sie ersetzt die NIS-Richtlinie von 2016, weitet den Geltungsbereich erheblich aus und führt ein einheitliches Sanktionsregime mit persönlicher Managerhaftung ein.

Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft. Die oft zitierte „angemessene Sicherheit“ ist durch die ENISA Technical Implementation Guidance (Juni 2025) inzwischen konkretisiert – das ist der Unterschied zu älteren Compliance-Rahmenwerken, die mehr Interpretationsspielraum ließen. Wer argumentiert, er habe keine Klarheit darüber gehabt, was konkret zu tun sei, hat ein Rechercheproblem, kein Regelungsproblem.

Art. 21 NIS2 definiert zehn Maßnahmenkategorien, die eine regulierte Einrichtung umgesetzt und dokumentiert haben muss. Die ENISA hat in Q1 2026 zusätzlich klargestellt: MFA für privilegierte Zugänge, Remote-Access-Konten und Vendor-Accounts ist „praktisch immer appropriate“ – Spielraum durch „where appropriate“ besteht dort kaum noch.

Was viele bereits haben

  • Firewall und Endpoint-Schutz
  • Backup-Routine (meist ohne Recovery-Test)
  • Patch-Management – irgendwie
  • Antivirus auf Endpoints
  • Grundlegende Passwort-Richtlinie

Was typischerweise fehlt

  • Dokumentierter Incident-Response-Plan
  • ISMS mit Risikoregister
  • 24h-BSI-Meldeprozess (Kontaktstelle, Eskalationskette)
  • MFA auf allen privilegierten Accounts
  • Supply-Chain-Risikoanalyse für IT-Dienstleister

Wie DACH beim Umsetzungsstand steht

Deutschland hat als eines der letzten EU-Mitglieder umgesetzt. Das NIS2UmsuCG trat am 6. Dezember 2025 in Kraft, fast 15 Monate nach der europäischen Umsetzungsfrist. Zwischen der Verabschiedung und dem operativen BSI-Enforcement blieben betroffenen Unternehmen rund 13 Wochen – das ist weniger als ein Quartal für Risikomanagementaufbau, Dokumentation und Registrierung.

Österreich verabschiedete das NISG 2026 am 12. Dezember 2025. Inkrafttreten: 1. Oktober 2026. Betroffene österreichische Unternehmen haben damit ein kurzes Fenster, um ihre Compliance-Grundlagen zu setzen, bevor die neue Aufsichtsbehörde – das Bundesamt für Cybersicherheit – in die operative Phase geht. Scope: rund 4.000 Unternehmen aus 18 Sektoren.

Polen hat mit dem KSC Act am 3. April 2026 eine der weitreichendsten Umsetzungen in der EU vollzogen: 42.000 regulierte Einrichtungen, ausgeweitet von zuvor rund 400. Das ist kein Tippfehler. Für deutsch-polnische Lieferketten und Nearshoring-Partner bedeutet das unmittelbaren Compliance-Druck auf beiden Seiten.

Schweiz: Kein EU-Mitglied, keine direkte NIS2-Pflicht. Für Schweizer Unternehmen, die als IT-Dienstleister für NIS2-regulierte EU-Einrichtungen tätig sind, entsteht indirekter Druck über die Supply-Chain-Anforderungen der Auftraggeber-Seite.

Was IT-Teams jetzt prüfen müssen

Fünf Arbeitsschritte decken die häufigsten Compliance-Lücken ab. Keine dieser Punkte setzt ISO 27001 voraus – aber alle erfordern schriftliche Nachweise.

1
Geltungsbereich prüfen. Fällt das Unternehmen in einen der 18 NIS2-Sektoren nach Anlage 1 oder 2 BSIG? Schwellenwert: ab 50 Mitarbeiter ODER 10 Mio. EUR Jahresumsatz, kombiniert mit Sektorzugehörigkeit. Einstufung als „wichtige“ oder „besonders wichtige“ Einrichtung bestimmt den Bußgeldrahmen.
2
BSI-Registrierung nachholen. Die Frist lief am 6. März 2026 ab. Das BSI hat bislang Kulanz signalisiert, aber der Spielraum wird enger. Registrierung im BSI-Portal ist Schritt eins, bevor irgendein weiterer Compliance-Nachweis relevant wird.
3
Risikomanagementmaßnahmen dokumentieren. Die zehn Kategorien aus Art. 21 NIS2 müssen nachweisbar umgesetzt sein. Kein Risikoregister bedeutet im Prüfkontext: kein Nachweis. Keine vollständige ISO 27001-Zertifizierung nötig, aber das Dokument muss existieren.
4
Meldeprozess aktivieren. Wer ist der BSI-Ansprechpartner im Unternehmen? Gibt es eine schriftliche Eskalationskette für die 24h-Meldepflicht bei significanten Vorfällen? BSI-Meldeportal kennen, intern kommunizieren, Verantwortlichen benennen.
5
Lieferanten bewerten. Welche IT-Dienstleister haben direkten Zugang zu kritischen Systemen? Supply-Chain-Sicherheit ist kein optionaler Baustein, sondern Teil der Risikoanalyse. Schriftliche Sicherheitsnachweise von Schlüssellieferanten einholen.

Häufige Fragen

Was gilt als „besonders wichtige Einrichtung“ nach NIS2?

Besonders wichtige Einrichtungen (essential entities) sind Unternehmen in Sektoren hoher Kritikalität (Anlage 1 BSIG) mit mindestens 250 Mitarbeitern oder 50 Mio. EUR Jahresumsatz und 43 Mio. EUR Bilanzsumme. Für sie gilt der höhere Bußgeldrahmen von bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Wichtige Einrichtungen (important entities) aus Anlage 2 oder mit niedrigeren Schwellenwerten haben einen Rahmen von 7 Mio. EUR oder 1,4 Prozent.

Was kostet es konkret, die BSI-Registrierungsfrist zu verpassen?

Das NIS2UmsuCG sieht für das Unterlassen der Registrierung beim BSI einen Bußgeld-Festbetrag von bis zu 100.000 EUR vor – unabhängig vom Jahresumsatz. Das ist kein Umsatzprozentsatz, sondern ein Tatbestand per se. Zusätzlich kann das BSI Auskunftsersuchen stellen und bei fehlender Kooperation weitere Maßnahmen einleiten.

Gilt NIS2 auch für Schweizer Unternehmen?

Nicht direkt. Die Schweiz ist kein EU-Mitglied. Schweizer Unternehmen, die aber als IT-Dienstleister für NIS2-regulierte EU-Einrichtungen tätig sind, geraten über die Supply-Chain-Anforderungen der Auftraggeber unter Druck. Wer für eine deutsche Klinik, einen Energieversorger oder eine Behörde Systeme betreibt, muss damit rechnen, dass der Auftraggeber Sicherheitsnachweise einfordert.

Was ist die 24-Stunden-Meldepflicht im Detail?

Bei einem significanten Sicherheitsvorfall – definiert als Vorfall mit erheblichen Auswirkungen auf den Dienst – muss innerhalb von 24 Stunden eine Erstmeldung an das BSI erfolgen. Innerhalb von 72 Stunden folgt eine detailliertere Bewertung, nach einem Monat ein Abschlussbericht. Die Meldung erfolgt über das BSI-Meldeportal. Ein „significanter Vorfall“ ist ein Begriff, den das BSI noch weiter konkretisieren wird – im Zweifel gilt: melden, nicht warten.

Müssen Lieferanten selbst NIS2-konform sein?

Nicht zwingend in der Form, dass Lieferanten selbst registriert sein müssen. Aber regulierte Einrichtungen sind verpflichtet, Sicherheitsrisiken in ihrer Lieferkette zu bewerten und zu managen. Das bedeutet: schriftliche Nachweise über die Sicherheitspraktiken von IT-Dienstleistern mit kritischem Zugang, vertragliche Mindestanforderungen und Auditrechte. Wer das nicht tut, trägt das Haftungsrisiko selbst.

Mehr aus dem MBF Media Netzwerk

Foto: Pexels / cottonbro studio

Quelle Titelbild: Wikimedia Commons / Wolkenkratzer (CC BY-SA 3.0)

Artikel drucken
SecurityToday Redaktionsteam

Hier schreibt SecurityToday Redaktionsteam für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañolEnglish
Ein Magazin der Evernine Media GmbH