Rund 29.000 Unternehmen in Deutschland sind betroffen – doch viele haben ihre Registrierung noch immer nicht abgeschlossen. Jetzt setzt das BSI eine letzte Frist.
Letzte Chance bis Ende Juli
Seit Dezember 2025 sind kritische und wichtige Einrichtungen gesetzlich zur Registrierung verpflichtet. Eigentlich endete die Frist bereits am 6. März 2026. Doch die Realität sieht anders aus: Nur rund 11.500 Unternehmen hatten sich bis dahin angemeldet. Bis Ende Mai stieg die Zahl zwar auf etwa 18.500 – doch das bedeutet: Rund 10.500 Organisationen sind weiterhin säumig.
Die NIS2-Richtlinie verschärft die gesetzlichen Anforderungen an die IT-Sicherheit massiv und fordert von Unternehmen neue Schutzkonzepte. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um gesetzeskonform zu agieren. Neue KI-Gesetze und Cyberrisiken jetzt verstehen
Das BSI fordert nun alle betroffenen Unternehmen auf, ihren Status spätestens bis zum 31. Juli 2026 zu klären. Wer diese Frist verstreichen lässt, muss mit empfindlichen Strafen rechnen. Die Bußgelder können bis zu 500.000 Euro betragen.
Fachleute wie die Analysten Kipker und Hessel kritisieren die bisherige Umsetzung als zu lasch. Ihrer Einschätzung nach braucht es strengere Kontrollen, um die Sicherheit der deutschen kritischen Infrastruktur tatsächlich zu gewährleisten.
Chefs haften persönlich
Die NIS2-Richtlinie verändert die Unternehmensführung grundlegend. Cybersicherheit wird zur Chefsache – und zwar im wahrsten Sinne des Wortes. Nach Artikel 20 der Richtlinie können Führungskräfte persönlich haftbar gemacht werden, wenn sie notwendige Sicherheitsmaßnahmen vernachlässigen.
Gefordert ist ein ganzheitlicher Sicherheitsansatz, der organisatorische Prozesse und technische Umsetzungen gleichermaßen umfasst. Branchenstandards wie IEC 62443 gelten als Maßstab für die Absicherung von Betriebstechnologie (OT), bei der die Verfügbarkeit im Vordergrund steht. Für spezielle Sektoren hat das BSI zudem eigene Empfehlungen veröffentlicht – etwa die TR-03184, die Sicherheitsmethoden für Raumfahrtsysteme auf Basis von ISO 27001 und IT-Grundschutz definiert.
Neben der Registrierung müssen Unternehmen ein risikobasiertes Sicherheitsmanagement aufbauen. Dazu gehören Meldepflichten bei Sicherheitsvorfällen und die sogenannte „Zorgplicht“ – eine niederländische Rechtsfigur, die kontinuierliche Risikoanalysen und Schutzmaßnahmen vorschreibt.
Da die persönliche Haftung der Geschäftsführung bei Sicherheitsmängeln immer stärker in den Fokus rückt, ist proaktives Handeln gefragt. Experten erklären in diesem kostenlosen E-Book, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen ohne teure Investitionen erfüllen. Gratis-E-Book zur IT-Sicherheit herunterladen
Deutschland und Europa rüsten auf
Die verschärfte Gangart in Deutschland fällt nicht zufällig mit breiteren europäischen Anstrengungen zusammen. Erst am 17. Juni 2026 besiegelten das BSI und das Land Schleswig-Holstein eine Kooperationsvereinbarung zur Stärkung der Cybersicherheit.
Auch die Nachbarn ziehen nach: In den Niederlanden tritt am 1. Juli 2026 das Cyberbeveiligingswet (Cbw) in Kraft. Es ersetzt das bisherige Wbni und weitet den Regelungsbereich auf 18 Sektoren aus. Die Europäische Kommission hatte bereits Mitte 2025 19 Mitgliedsstaaten abgemahnt, weil sie die Richtlinie nicht rechtzeitig in nationales Recht umgesetzt hatten.
Hilfe für Unternehmen – und alarmierende Zahlen
Um Unternehmen bei der Umsetzung zu unterstützen, laufen in den kommenden Tagen mehrere Schulungsangebote an. Die Deutsche Energie-Agentur (dena) veranstaltet am 18. Juni 2026 ein Webinar speziell für kleine und mittlere Industrieunternehmen. Die Kanzlei Luther informiert am 22. Juni 2026 über die spezifischen Pflichten und Haftungsrisiken für den Gesundheitssektor.
Wie dringend der Handlungsbedarf ist, zeigen Zahlen des TÜV SÜD: Die jährlichen Schäden durch Cyberangriffe in Deutschland belaufen sich auf rund 200 Milliarden Euro. Beobachter stellen fest, dass die Grenzen zwischen klassischer IT und industrieller Betriebstechnologie zunehmend verschwimmen. Das zwingt Unternehmen aller Größen dazu, mehr Ressourcen in die Cybersicherheit zu stecken und Zero Trust als Standardmodell zu etablieren.
