Bis wann müssen Unternehmen ihre NIS-2-Registrierung abgeschlossen haben?

Die gesetzliche Registrierungsfrist für betroffene Unternehmen endete bereits am 6. März 2026. Das BSI hat nun klargestellt, dass es erwartet, dass alle bislang noch nicht registrierten Einrichtungen ihre Registrierung bis zum 31. Juli 2026 erfolgreich abschließen.

Ist der 31. Juli 2026 eine neue gesetzliche Frist?

Nein. Der 31. Juli 2026 ist keine neue gesetzliche Frist, sondern eine vom BSI kommunizierte Erwartungshaltung gegenüber den bislang säumigen Unternehmen. Die gesetzliche Registrierungspflicht bestand bereits zum 6. März 2026. Mit seiner aktuellen Kommunikation macht das BSI jedoch deutlich, dass es eine zeitnahe Nachholung der Registrierungen erwartet.

Warum haben sich viele Unternehmen bislang noch nicht registriert?

Nach Einschätzung von Verbänden und Unternehmen sind insbesondere die komplexe Betroffenheitsprüfung, organisatorische Herausforderungen in Konzernstrukturen sowie technische Hürden im Registrierungsprozess Gründe für die Verzögerungen. Zudem hatten zahlreiche Unternehmen Schwierigkeiten bei der Nutzung von &bdquo;Mein Unternehmenskonto“ und den erforderlichen ELSTER-Zertifikaten.

Was passiert, wenn die eigene NIS-2-Betroffenheit noch unklar ist?

Das BSI erkennt an, dass in Einzelfällen weiterhin ungeklärte Fragen zur Betroffenheit oder zur Registrierung bestehen können. Für solche Ausnahmefälle hat die Behörde angekündigt, eine Registrierung innerhalb von sechs Wochen nach Beantwortung der gebündelt eingereichten Fragen als ausreichend anzusehen.

Welche Unternehmen sind von der Registrierungspflicht betroffen?

Registrierungspflichtig sind insbesondere &bdquo;wichtige“ und &bdquo;besonders wichtige Einrichtungen“ nach dem NIS-2-Umsetzungsgesetz. Dazu gehören Unternehmen aus zahlreichen Wirtschaftssektoren, sofern die jeweils relevanten Schwellenwerte hinsichtlich Mitarbeiterzahl und Umsatz erreicht werden.

Müssen auch Tochtergesellschaften registriert werden?

Ja. Nach Auffassung des BSI müssen grundsätzlich alle betroffenen Gesellschaften eines Konzerns separat registriert werden, selbst wenn die Umsetzung der NIS-2-Anforderungen zentral innerhalb der Unternehmensgruppe erfolgt. Das BSI hat ausdrücklich klargestellt, dass eine vollständige Registrierung aller betroffenen Tochtergesellschaften erforderlich bleibt.

Drohen Unternehmen bei einer verspäteten Registrierung bereits Sanktionen?

Das BSI verfolgt derzeit weiterhin einen kooperativen Ansatz und setzt zunächst auf Aufklärung, Unterstützung und Nachregistrierungen. Gleichzeitig behält sich die Behörde ausdrücklich weitere Schritte vor, falls die gewünschte Wirkung ausbleibt. Unternehmen sollten daher nicht davon ausgehen, dass verspätete Registrierungen dauerhaft folgenlos bleiben.

Was sollten Unternehmen jetzt tun?

Unternehmen sollten kurzfristig prüfen, ob sie in den Anwendungsbereich von NIS 2 fallen, die erforderlichen Registrierungsdaten zusammentragen und die Registrierung beim BSI abschließen. Parallel dazu sollten bereits die weitergehenden NIS-2-Anforderungen an Risikomanagement, Governance, Meldepflichten und technische Sicherheitsmaßnahmen umgesetzt werden.

BDO
Insights
DORA
NIS-2: BSI erwartet ausstehende Registrierungen bis Ende Juli 2026

Aktuelles

Datum: June 19, 2026

NIS-2: BSI erwartet ausstehende Registrierungen bis Ende Juli 2026

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhöht den Druck auf Unternehmen, die ihrer Registrierungspflicht nach dem NIS-2-Umsetzungsgesetz bislang noch nicht nachgekommen sind. In einem Schreiben an Wirtschaftsverbände vom 12. Juni 2026 macht die Behörde deutlich, dass sie von einer zeitnahen Nachholung der Registrierungen ausgeht.

BSI nennt 31. Juli 2026 als maßgeblichen Zeitpunkt

Die gesetzliche Registrierungsfrist für betroffene Unternehmen endete bereits am 6. März 2026. Dennoch hatten sich nach Angaben des BSI mehrere Monate danach noch nicht alle verpflichteten Einrichtungen registriert. Bereits im März zeigte sich, dass weniger als die Hälfte der erwarteten rund 30.000 betroffenen Unternehmen die Registrierung fristgerecht abgeschlossen hatte. Besonders bei den sogenannten „wichtigen Einrichtungen“ blieb die Registrierungsquote deutlich hinter den Erwartungen zurück.

In seinem Schreiben an die Verbände stellt das BSI klar:

„Da die Registrierungen überfällig sind, gehen wir davon aus, dass alle bisher noch nicht registrierten Einrichtungen die Registrierung bis zum 31. Juli 2026 erfolgreich abschließen.“

Damit setzt die Behörde zwar keine formale Nachfrist im rechtlichen Sinne, formuliert jedoch einen klaren Zeitpunkt, bis zu dem noch nicht erfolgte Registrierungen vorzunehmen sind.

BSI erkennt praktische Herausforderungen an

Bemerkenswert ist zugleich der pragmatische Ton des Schreibens. Das BSI räumt ein, dass Unternehmen weiterhin mit offenen Auslegungs- und Anwendungsfragen beschäftigt sind. Insbesondere die Bestimmung, ob ein Unternehmen tatsächlich in den Anwendungsbereich der NIS-2-Regelungen fällt (Betroffenheitsanalyse), stellt viele Organisationen vor Herausforderungen. Bereits im Frühjahr hatten Wirtschaftsverbände auf die Komplexität der Betroffenheitsprüfung sowie auf Schwierigkeiten im Registrierungsprozess hingewiesen.

Im BSI Schreiben heißt es hierzu:

„Uns ist bewusst, dass es in Einzelfällen auf Grund bisher nicht geklärter Fragen zu einer weiteren Verzögerung bei der Registrierung kommen kann. In diesen seltenen Ausnahmefällen gehen wir von einem erfolgreichen Abschluss der Registrierung innerhalb von sechs Wochen nach Beantwortung der gebündelt an uns gesendeten Fragen aus.“

Warum viele Unternehmen die Registrierung bislang nicht abgeschlossen haben

Die Ursachen für die bislang niedrigen Registrierungszahlen sind vielfältig. Nach Einschätzung von Branchenverbänden haben mehrere Faktoren zu den Verzögerungen beigetragen:

wiederholte Verschiebungen der deutschen NIS-2-Umsetzung,
Unsicherheiten hinsichtlich der eigenen Betroffenheit,
komplexe Unternehmensstrukturen mit zahlreichen Tochtergesellschaften,
organisatorische Herausforderungen bei der Nutzung des BSI-Portals,
sowie technische Hürden im Zusammenhang mit „Mein Unternehmenskonto“ und dem erforderlichen ELSTER-Zertifikat.

Gleichzeitig macht das BSI deutlich, dass die Registrierungspflicht unabhängig von diesen Herausforderungen besteht und sämtliche betroffenen Einrichtungen ihrer Verpflichtung nachkommen müssen.

Handlungsempfehlung für betroffene Unternehmen

Unternehmen sollten die aktuelle Kommunikation des BSI als deutliches Signal verstehen. Auch wenn die Behörde bislang einen kooperativen Ansatz verfolgt und zunächst auf Information und Unterstützung setzt, rückt die Phase der bloßen Orientierung zunehmend in den Hintergrund.

Organisationen, die ihre NIS-2-Betroffenheit noch nicht abschließend geprüft und prüfungssicher dokumentiert haben, oder die Registrierung bislang nicht vorgenommen haben, müssen kurzfristig handeln.

Neben der erforderlichen Registrierung sollten Unternehmen die verbleibende Zeit zudem nutzen, um auch die weitergehenden Anforderungen der NIS-2-Regulierung an Risikomanagement, Governance, Meldeprozesse und technische Sicherheitsmaßnahmen systematisch umzusetzen.

Fazit
Mit der Erwartung einer vollständigen Registrierung bis zum 31. Juli 2026 verschärft das BSI seine Kommunikation zur NIS-2-Umsetzung deutlich. Zwar bleibt der kooperative Ansatz bestehen, die Behörde macht jedoch klar, dass die gesetzliche Registrierungspflicht nicht länger aufgeschoben werden kann.
Für betroffene Unternehmen ist dies ein weiterer Hinweis darauf, dass neben der Registrierung auch die Umsetzung der weitergehenden NIS-2-Anforderungen zum Risikomanagement, zur Governance und zum Incident Management zeitnah vorangetrieben werden muss
Wir unterstützen Unternehmen dabei, NIS-2 strukturiert und effizient umzusetzen, von der Betroffenheitsanalyse über Gap-Assessments bis hin zur Implementierung eines nachhaltigen Informationssicherheitsmanagementsystems.
Weiterführende Informationen zu Herausforderungen und Lösungsansätzen im Kontext von NIS-2 finden Sie auf unserer Themenseite rund um NIS-2: NIS-2 – Herausforderungen & Lösungen