BSI

NIS2-Registrierungsanalyse

Rund 30.000 betroffene Einrichtungen in Deutschland. Die Registrierungsfrist lief am 6. März 2026 ab — ein erheblicher Teil der Unternehmen hat sich noch nicht registriert.

§33 BSIG verpflichtet alle besonders wichtigen und wichtigen Einrichtungen, sich beim BSI zu registrieren. Diese Pflicht ist eine Selbstidentifikationspflicht – das BSI informiert Unternehmen nicht proaktiv darüber, ob sie betroffen sind. Jede Organisation muss selbst feststellen, ob sie in den Anwendungsbereich fällt, und sich innerhalb der gesetzlichen Frist registrieren.

Das BSI-Registrierungsportal (muk.bsi.bund.de) ging am 6. Januar 2026 online — einen Monat nach Inkrafttreten des BSIG. Die Registrierungsfrist nach §33 BSIG war der 6. März 2026 (3 Monate nach Inkrafttreten). Trotz klarer Vorgaben und eines zweimonatigen Zeitfensters hat ein erheblicher Teil der geschätzten 30.000 betroffenen Einrichtungen die Frist versäumt. Eine G DATA-Umfrage ergab, dass 44% der betroffenen Unternehmen von ihren NIS2-Pflichten gar nichts wussten.

Diese Analyse untersucht die aktuelle Registrierungssituation, identifiziert die Ursachen für die geringe Quote und erläutert die Konsequenzen für nicht registrierte Einrichtungen. Die Daten basieren auf BSI-Veröffentlichungen, Branchenberichten und Fachmedienanalysen.

Registrierungsstand in Zahlen
Die Diskrepanz zwischen geschätzter Betroffenheit und tatsächlicher Registrierung zeigt das Ausmaß der Compliance-Lücke.

~30.000

Geschätzt betroffene Einrichtungen

BSI-Schätzung der Gesamtzahl betroffener Einrichtungen in Deutschland

44%

NIS2-Pflichten unbekannt

G DATA-Umfrage (2024): 44% der deutschen Mittelstandsunternehmen wussten nicht, dass NIS2 für sie gilt — noch vor Inkrafttreten des Gesetzes.

2 Monate

Registrierungsfenster

BSI-Portal seit 6. Januar 2026. Registrierungsfrist: 6. März 2026 — ein zweimonatiges Zeitfenster für ~30.000 Einrichtungen.

6. März 2026

Registrierungsfrist (abgelaufen)

3 Monate nach Inkrafttreten des BSIG (§33 Abs. 1). Frist ist abgelaufen — Portal bleibt offen.

Ursachen der Registrierungslücke

Vier zentrale Faktoren erklären, warum die Mehrheit der betroffenen Einrichtungen die Registrierungspflicht noch nicht erfüllt hat.

Mangelndes Bewusstsein

Viele Unternehmen im Mittelstand wissen nicht, dass sie unter NIS2 fallen. Die Betroffenheitskriterien – Sektorzugehörigkeit kombiniert mit Schwellenwerten für Mitarbeiterzahl und Umsatz – sind für Geschäftsführer ohne Compliance-Hintergrund nicht intuitiv. Insbesondere Unternehmen in neu aufgenommenen Sektoren wie Abfallwirtschaft, Lebensmittelproduktion und verarbeitendes Gewerbe erkennen ihre Betroffenheit oft nicht.

Komplexität der Betroffenheitsprüfung

Die Feststellung, ob ein Unternehmen als besonders wichtige oder wichtige Einrichtung gilt, erfordert die Analyse von BSIG-Anlage 1 und 2, kombiniert mit den Schwellenwerten aus §28 und §29. Für Konzernstrukturen mit mehreren Tochtergesellschaften in verschiedenen Sektoren wird diese Prüfung zusätzlich komplex.

Fehlende Ressourcen

Mittelständische Unternehmen mit 50–250 Mitarbeitern haben selten eine Compliance-Abteilung. Die Registrierung wird häufig als zusätzliche Verwaltungsaufgabe wahrgenommen, die neben dem operativen Geschäft erledigt werden muss. Ohne dedizierte Verantwortlichkeit bleibt die Registrierung liegen.

Rechtsunsicherheit

Die verzögerte Umsetzung des NIS2UmsuCG und die anfänglich unklare Abgrenzung zwischen besonders wichtigen und wichtigen Einrichtungen haben bei vielen Unternehmen eine Abwartehaltung erzeugt. Einige warten auf BSI-Aufforderungen, die das Gesetz jedoch nicht vorsieht – die Registrierung ist eine Bringschuld.

Konsequenzen fehlender Registrierung
Die Nichtregistrierung ist keine formale Lücke – sie ist ein eigenständiger Rechtsverstoß mit konkreten Sanktionsfolgen.

Bußgelder

§65 BSIG sieht für Registrierungsverstöße Bußgelder bis zu 500.000 EUR vor. Dies gilt unabhängig davon, ob das Unternehmen die materiellen Compliance-Anforderungen des §30 BSIG erfüllt. Die Registrierung ist eine eigenständige Pflicht.

Geschäftsführerhaftung

§38 BSIG begründet die persönliche Haftung der Geschäftsleitung für die Einhaltung der NIS2-Pflichten. Die Registrierung ist die erste und grundlegendste dieser Pflichten. Ein Geschäftsführer, der die Registrierungspflicht ignoriert, kann schwerlich argumentieren, seine Überwachungspflicht erfüllt zu haben.

Anordnungsbefugnis des BSI

Das BSI kann nach §64 BSIG Unternehmen zur Registrierung verpflichten, wenn es feststellt, dass eine Einrichtung in den Anwendungsbereich fällt. In diesem Fall kann das BSI die Kosten der Feststellung dem Unternehmen auferlegen. Proaktive Registrierung ist wirtschaftlich immer vorteilhafter.

Reputationsrisiko

Im Falle eines Sicherheitsvorfalls wird die fehlende BSI-Registrierung öffentlich bekannt – über das BSI-Lagebild, Branchenmeldungen und ggf. Gerichtsverfahren. Für Unternehmen in regulierten Lieferketten kann dies Geschäftsbeziehungen gefährden, da NIS2 auch Lieferkettensorgfalt verlangt.

Quellen
  • BSI – NIS-2-Betroffenheitsprüfung und Registrierungsportal (bsi.bund.de)
  • G DATA CyberDefense – NIS2-Umfrage: 44% der Mittelstandsunternehmen kannten ihre Pflichten nicht (2024)
  • G DATA – NIS2-Barometer: Awareness-Studie deutscher Unternehmen (2025)
  • BSIG – Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, §33, §38, §65
  • BMI – NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)
Registrierungspflicht erfüllen
Die NIS2-Compliance-Plattform führt Sie durch die BSI-Registrierung und alle weiteren Pflichten des BSIG – strukturiert, nachweisbar und fristgerecht.
NIS2-Compliance starten