§33 BSIG

Sie haben die BSI-Registrierungsfrist verpasst. Was nun?

Rund 18.000 deutsche Unternehmen haben die §33 BSIG-Registrierungsfrist verpasst. Das BSI-Portal ist weiterhin offen. Hier erfahren Sie, was jetzt wichtig ist – und was tatsächlich passiert, wenn Sie schnell handeln.

Die kurze Antwort

Keine Panik. Sie sind nicht allein – und es ist nicht zu spät, das zu korrigieren. Das BSI schätzt, dass rund 30.000 Unternehmen in Deutschland unter NIS2 fallen. Die Registrierungsfrist lief am 6. März 2026 ab, aber eine erhebliche Anzahl von Unternehmen hat sich noch nicht registriert. Sie sind bei weitem nicht der einzige in dieser Situation.

Das Registrierungsportal nach §33 BSIG ist weiterhin offen. Sie können sich heute registrieren. Das BSI hat signalisiert, dass es die Durchsetzung gegen Unternehmen priorisiert, die ihre Pflichten vollständig ignorieren – nicht gegen solche, die sich verspätet registriert haben, aber in gutem Glauben handeln. Verspätet ist besser als nie, und ‚nie' ist die einzig wirklich gefährliche Option.

Entscheidend ist, jetzt zu handeln, den Beginn zu dokumentieren und mit der eigentlichen Compliance-Arbeit zu beginnen. Eine verspätete Registrierung mit sichtbarem Fortschritt sieht für eine Aufsichtsbehörde grundlegend anders aus als gar keine Registrierung.

Fünf Schritte zurück auf Kurs
Folgen Sie dieser Reihenfolge. Jeder Schritt baut auf dem vorherigen auf, und zusammen schaffen sie eine dokumentierte Nachweiskette, die dem BSI zeigt, dass Sie Compliance ernst nehmen.
1

1. Bestätigen Sie, dass Sie tatsächlich betroffen sind

Bevor Sie sich registrieren, prüfen Sie, ob NIS2 auf Ihr Unternehmen zutrifft. Die Kriterien stehen in §28 BSIG: Sie müssen in einem der 18 aufgelisteten Sektoren tätig sein UND die Größenschwelle erreichen (50+ Mitarbeiter oder 10 Mio. EUR+ Jahresumsatz). Bei Unsicherheit prüfen Sie die BSI-Sektorlisten in Anhang I und Anhang II der NIS2-Richtlinie. Viele Unternehmen nehmen an, dass sie nicht betroffen sind, obwohl sie es sind – und umgekehrt. Bei echter Unsicherheit holen Sie eine rechtliche Einschätzung ein, aber nutzen Sie Unsicherheit nicht als Vorwand zum Aufschieben.

2

2. Sofort über das BSI-Portal registrieren

Gehen Sie zum NIS2-Registrierungsportal des BSI und schließen Sie Ihre Registrierung nach §33 BSIG ab. Sie benötigen: Ihre Unternehmensdaten, Sektorklassifizierung, Ansprechperson für Cybersicherheit und IP-Adressbereiche Ihrer kritischen Systeme. Die Registrierung selbst dauert etwa 30 Minuten, wenn Sie die Informationen bereit haben. Tun Sie dies heute – jeder Tag Wartezeit vergrößert die Lücke zwischen Fristablauf und Ihrem Registrierungsdatum.

3

3. Dokumentieren Sie, dass Sie begonnen haben

Erstellen Sie eine schriftliche Dokumentation – auch ein einfaches internes Memo reicht – die festhält, wann Sie von Ihren NIS2-Pflichten erfahren haben, wann Sie sich registriert haben und welche Schritte Sie unternehmen. Dies schafft eine Nachweiskette, die guten Glauben demonstriert. Wenn das BSI jemals fragt, warum Sie verspätet waren, ist ‚Wir haben die Pflicht erkannt, uns sofort registriert und am [Datum] mit der Compliance-Arbeit begonnen' eine starke Antwort.

4

4. Mit der tatsächlichen Compliance-Arbeit beginnen

Die Registrierung ist nur der erste Schritt – §30 BSIG verlangt die Umsetzung von Cybersicherheits-Risikomanagementmaßnahmen. Beginnen Sie mit den Grundlagen: Asset-Inventar, Risikobewertungsmethodik und Vorfallmeldeverfahren. Sie müssen nicht über Nacht vollständig compliant sein, aber Sie müssen sichtbar darauf hinarbeiten. Das BSI wird die Entwicklung bewerten, nicht nur den aktuellen Stand.

5

5. Rechtliche Beratung erwägen, wenn der Geltungsbereich unklar ist

Wenn Ihr Unternehmen nahe an der Schwelle liegt (um 50 Mitarbeiter oder 10 Mio. EUR Umsatz), in einem Sektor tätig ist, der mehrfach interpretiert werden kann, oder eine komplexe Konzernstruktur hat, konsultieren Sie einen auf IT-Recht spezialisierten Anwalt. Die Kosten einer rechtlichen Einschätzung (2.000–5.000 EUR) sind marginal im Vergleich zu den Kosten von Nicht-Compliance oder unnötiger Compliance. Einige Branchenverbände (wie Bitkom oder BDI) bieten auch NIS2-Betroffenheitsberatung für Mitglieder an.

Was sind die tatsächlichen Risiken einer verspäteten Registrierung?

Ehrlichkeit über die Risiken hilft Ihnen, verhältnismäßige Entscheidungen zu treffen. Die Konsequenzen sind real, aber nicht katastrophal – wenn Sie jetzt handeln.

Verwaltungsrechtliche Bußgelder

§65 BSIG sieht Bußgelder von bis zu 500.000 EUR speziell für Registrierungsverstöße vor. In der Praxis hat das BSI begrenzte Durchsetzungskapazitäten und konzentriert sich darauf, Unternehmen ins System zu bringen, nicht Nachzügler zu bestrafen. Ein Unternehmen, das sich verspätet registriert und aktive Compliance-Bemühungen nachweist, wird mit hoher Wahrscheinlichkeit nicht die Höchststrafe erhalten. Ein Unternehmen, das sich nie registriert, ist eine andere Geschichte.

Compliance-Anordnungen

Das BSI kann verbindliche Anordnungen erlassen, die Sie zur Registrierung und Umsetzung bestimmter Maßnahmen innerhalb einer gesetzten Frist verpflichten. Die Nichtbefolgung einer solchen Anordnung verschärft die Rechtslage erheblich. Eine proaktive Registrierung – wenn auch verspätet – vermeidet diesen Eskalationspfad vollständig.

Persönliche Haftung der Geschäftsleitung

§38 BSIG macht die Geschäftsleitung persönlich haftbar für die Sicherstellung der NIS2-Compliance. Wenn Ihr Unternehmen betroffen ist und Sie als Geschäftsleitung die Registrierung wissentlich verzögert haben, entsteht ein persönliches Haftungsrisiko. Die Haftung kann nicht durch Gesellschafterbeschluss ausgeschlossen werden. Die Dokumentation, dass Sie gehandelt haben, sobald Sie Kenntnis erlangt haben, ist ein wichtiger Schutz.

Erhöhte Prüfungsintensität bei künftigen Audits

Für besonders wichtige Einrichtungen führt das BSI regelmäßige Prüfungen durch. Eine verspätete Registrierung wird in Ihrer Compliance-Zeitlinie sichtbar sein. Allerdings wird ein gut dokumentierter Nachholprozess, der systematische Verbesserung zeigt, ganz anders bewertet als ein Muster der Vernachlässigung. Prüfer bewerten die Entwicklung, nicht nur den Ausgangspunkt.

Warum so viele Unternehmen die Frist verpasst haben

Die NIS2-Registrierungslücke ist nicht primär auf Fahrlässigkeit zurückzuführen. Der deutsche Gesetzgebungsprozess hat sich wiederholt verzögert – das NIS2UmsuCG wurde Monate nach der ursprünglichen EU-Umsetzungsfrist verabschiedet. Viele Unternehmen haben verständlicherweise auf die Finalisierung des deutschen Gesetzes gewartet, bevor sie aktiv wurden. Andere wussten nicht, dass sie betroffen sind, weil die Sektordefinitionen im Vergleich zum alten KRITIS-Regime drastisch erweitert wurden.

Das BSI selbst hat das Ausmaß der Registrierungslücke öffentlich anerkannt. Die Behörde verfolgt einen pragmatischen Ansatz: Die Priorität liegt darauf, alle 30.000 Einrichtungen registriert und ins Compliance-System zu bringen, nicht die erste Welle verspäteter Registrierungen zu bestrafen. Dieser Pragmatismus hat Grenzen – er gilt für Unternehmen, die aktiv an der Compliance arbeiten, nicht für solche, die die Geduld des BSI als Ausrede nutzen, nichts zu tun.

Häufig gestellte Fragen

Ist das BSI-Registrierungsportal noch offen?

Ja. Das §33 BSIG-Registrierungsportal bleibt offen. Es gibt keine Frist, nach der Sie sich nicht mehr registrieren können – die Pflicht besteht fortlaufend. Die Frist war, wann Sie sich hätten registrieren sollen, nicht wann Sie es konnten. Registrieren Sie sich jetzt.

Welches Bußgeld droht bei verspäteter Registrierung?

§65 BSIG sieht Bußgelder von bis zu 500.000 EUR für Registrierungsverstöße vor. Allerdings werden Bußgelder im Einzelfall unter Berücksichtigung der Schwere, Dauer und des guten Willens des Unternehmens bemessen. Ein Unternehmen, das sich wenige Monate verspätet registriert und aktive Compliance-Bemühungen zeigt, hat ein völlig anderes Risikoprofil als eines, das die Pflicht vollständig ignoriert.

Wirkt sich die verspätete Registrierung auf meine anderen NIS2-Pflichten aus?

Nein. Ihre Pflichten nach §30 BSIG (Cybersicherheitsmaßnahmen), §32 (Vorfallmeldung) und §38 (Geschäftsführerhaftung) bestehen unabhängig davon, ob Sie sich registriert haben. Die Registrierung schafft die Pflichten nicht – sie erfüllt eine davon. Die anderen Pflichten gelten ab dem Moment, in dem Sie die Betroffenheitskriterien erfüllen, unabhängig vom Registrierungsstatus.

Kann ich mich registrieren, wenn ich nicht sicher bin, ob wir betroffen sind?

Ja, und das BSI empfiehlt, im Zweifel zu registrieren. Eine Registrierung, die sich als nicht erforderlich herausstellt, hat keine negativen Konsequenzen – die Registrierung kann korrigiert werden. Keine Registrierung bei tatsächlicher Betroffenheit birgt ein echtes rechtliches Risiko. Im Zweifel registrieren.

Was, wenn wir registriert sind, aber noch nicht mit der Compliance-Arbeit begonnen haben?

Registrierung ohne Compliance-Arbeit ist wie eine Steuererklärung abzugeben, aber die Steuer nicht zu zahlen – Sie haben eine Pflicht erfüllt, aber nicht die inhaltlichen. Beginnen Sie jetzt mit den §30 BSIG-Maßnahmen: Asset-Inventar, Risikobewertung, Vorfallmeldeverfahren. Das BSI erwartet von registrierten Einrichtungen, dass sie aktiv an der Compliance arbeiten, nicht nur auf einer Registrierungsnummer sitzen.

Quellen
  • BSI – NIS2-Registrierungsstatistiken und öffentliche Stellungnahmen zum Durchsetzungsansatz (2025)
  • G DATA CyberDefense – NIS2-Umfrage: 44 % der Mittelstandsunternehmen kannten ihre Pflichten nicht (2024)
  • BSIG – §33 (Registrierungspflicht), §65 (Bußgeldvorschriften), §38 (Geschäftsführerhaftung)
  • NIS2UmsuCG – Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit
  • BMI – Parlamentarische Dokumentation und Leitlinien zur NIS2UmsuCG-Umsetzung
Registrieren, dann Compliance-Nachweise aufbauen
Die Plattform führt Sie von der Registrierung bis zur vollständigen §30 BSIG-Compliance – und schafft die dokumentierte Nachweiskette, die dem BSI zeigt, dass Sie die Sache ernst nehmen.
NIS2-Compliance starten