Tausende Firmen in Deutschland sind zwei Wochen nach der Meldefrist für das IT-Sicherheitsgesetz NIS2 nicht registriert. Gleichzeitig tritt ein weiteres Gesetz für physische Sicherheit in Kraft.

Die große Lücke: 18.000 Firmen noch nicht gemeldet

Die Zahlen sind alarmierend: Von schätzungsweise 30.000 betroffenen Unternehmen haben nur etwa 11.500 die Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI) fristgerecht bis zum 6. März erfüllt. Rund zwei Drittel der als „wesentlich“ oder „wichtig“ eingestuften Einrichtungen operieren damit aktuell rechtswidrig. Der Kreis der regulierten Unternehmen hat sich im Vergleich zum alten KRITIS-Regime etwa versiebenfacht.

Anzeige

Warum 73% der deutschen Unternehmen auf Cyberangriffe und neue gesetzliche Regularien nicht vorbereitet sind, zeigt die Brisanz der aktuellen Lage. Dieser kostenlose Experten-Report unterstützt Sie dabei, effektive Schutzstrategien für Ihren Betrieb zu entwickeln. Cyber Security Strategien für den Mittelstand entdecken

Nicht nur klassische Kritische Infrastrukturen (KRITIS) sind nun betroffen. Die Pflicht erfasst erstmals auch Branchen wie Abfallwirtschaft, Chemie, Lebensmittelproduktion und digitale Dienstleister. Viele mittelständische Unternehmen mit über 50 Beschäftigten oder einem Umsatz von mehr als 10 Millionen Euro stehen zum ersten Mal im Fokus der Cybersicherheits-Regulierung. Diese Ausweitung gilt als Hauptgrund für den aktuellen Registrierungsstau.

Rechtsexperten warnen: Die Frist ist abgelaufen. Zwar könnte das BSI zunächst auf Aufklärung setzen, doch der rechtliche Schutz für Nachzügler ist weg. Unternehmen riskieren Bußgelder und verschärfte Kontrollen, sobald die Behörde von der Einführungs- in die Durchsetzungsphase übergeht.

Doppelbelastung: Neues KRITIS-Dachgesetz tritt in Kraft

Die Lage wird zusätzlich kompliziert durch das KRITIS-Dachgesetz, das am 17. März in Kraft trat. Es setzt eine EU-Richtlinie zur physischen Resilienz kritischer Einrichtungen um. Während NIS2 den digitalen Schutz regelt, fordert dieses Gesetz Maßnahmen gegen physische Gefahren wie Naturkatastrophen oder Sabotage.

Für viele Betreiber überschneiden sich die Pflichten nun. Wer nach dem neuen Gesetz als kritisch eingestuft wird, gilt automatisch auch als „wesentliche Einrichtung“ unter NIS2. Eine doppelte Compliance-Strategie wird nötig. Bis zum 17. Juli müssen sich diese Einrichtungen zusätzlich beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren.

Die parallele Einführung zeigt den Willen der Politik zu einem ganzheitlichen Sicherheitskonzept. Doch Verbände kritisieren die administrative Last, besonders für den Mittelstand. Analysten fordern ein abgestimmtes Vorgehen von BSI und BBK, um Doppelarbeit bei den Meldepflichten zu vermeiden.

Haftung trifft die Chefetage persönlich

Die wohl tiefgreifendste Veränderung durch NIS2: Cybersicherheit ist Chefsache geworden. Nach Paragraf 38 des BSIG sind die Leitungsorgane jetzt gesetzlich verpflichtet, Maßnahmen des Cyber-Risikomanagements umzusetzen und zu überwachen. Das geht weit über die bloße Budgetfreigabe hinaus.

Die Geschäftsführung muss sich nun regelmäßig in IT-Sicherheit schulen lassen. Ziel ist, dass Vorstände und Geschäftsführer Risiken eigenständig erkennen und steuern können. Bei Pflichtverletzungen droht persönliche Haftung. Kommt es aufgrund grober Versäumnisse zu einem schwerwiegenden Sicherheitsvorfall, können Führungskräfte persönlich für Schäden haftbar gemacht werden.

Die finanziellen Risiken für Unternehmen sind enorm. Für „wesentliche Einrichtungen“ sind Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes möglich. „Wichtige Einrichtungen“ riskieren bis zu 7 Millionen Euro oder 1,4 Prozent. Die Sanktionen orientieren sich an der Schlagkraft der DSGVO.

Anzeige

Angesichts der neuen gesetzlichen Anforderungen und der drohenden persönlichen Haftung müssen Geschäftsführer jetzt handeln. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie die IT-Sicherheit Ihres Unternehmens ohne hohe Investitionen proaktiv stärken können. Gratis Cyber Security Leitfaden für Geschäftsführer

Warum so viele Unternehmen zögern

Die komplexe „Size-Cap-Rule“ und unklare Branchendefinitionen bremsen viele Unternehmen aus. Besonders in Produktion und Logistik fällt die Selbsteinstufung schwer. Die deutsche Umsetzung enthält zudem Ausnahmen für „vernachlässigbare Tätigkeiten“, die es in der EU-Richtlinie nicht gab – was zusätzlich verunsichert.

Das BSI reagiert mit Aufklärung. Am 18. März veröffentlichte es ein aktualisiertes FAQ für die öffentliche Verwaltung. Zuvor hatte bereits das Institut der Wirtschaftsprüfer (IDW) ein entsprechendes Papier vorgelegt. Diese Leitfäden sollen Klarheit über das dreistufige Meldeverfahren schaffen: Erste Warnung binnen 24 Stunden, detaillierter Vorfallbericht nach 72 Stunden und ein Abschlussbericht einen Monat später.

Der Markt spürt den Druck: Beratungs- und Cyberversicherer verzeichnen eine starke Nachfrage. Die Registrierung ist nur der erste Schritt. Die Pflicht, ein modernes Informationssicherheits-Managementsystem (ISMS) zu betreiben, bleibt eine dauerhafte und ressourcenintensive Aufgabe.

Was jetzt auf die Unternehmen zukommt

Das BSI wird seinen Fokus voraussichtlich von der Registrierungshilfe auf die Compliance-Überwachung verlagern. Stichprobenartige Audits und gezielte Prüfungen in risikoreichen Branchen noch in diesem Jahr sind angekündigt. Für die über 18.000 säumigen Unternehmen heißt die Devise: Nachmeldung über das Melde- und Informationsportal (MIP) des BSI – und zwar schnell.

Der weitere Fahrplan für 2026 ist voll: Bis zum Sommer soll die Registrierung für das KRITIS-Dachgesetz abgeschlossen sein. Das BSI will zudem branchenspezifische Leitlinien veröffentlichen, um die technischen Maßnahmen am „Stand der Technik“ auszurichten – ein Ziel, das mit der Bedrohungslage stets wandert.

NIS2 markiert eine Zeitenwende in der deutschen Unternehmensführung. Der Übergang von freiwilligen Standards zu einem streng regulierten Umfeld mit persönlicher Haftung soll die Resilienz stärken. Die aktuellen Meldezahlen zeigen eine holprige Übergangsphase. Doch die juristischen und finanziellen Konsequenzen dürften in den kommenden Wochen für einen schnellen Anstieg der Registrierungen sorgen. Unternehmen sollten umgehend eine Gap-Analyse starten und ihre Führungskräfte über die neuen Pflichten informieren.