Die gesetzliche Frist zur NIS2-Registrierung beim BSI ist bereits am 6. März 2026 abgelaufen. Trotzdem hatten sich Ende Mai erst rund 18.500 von geschätzt 29.000 betroffenen Unternehmen gemeldet. Das BSI reagiert jetzt mit einer faktischen Nachfrist bis zum 31. Juli 2026 – danach dürfte es mit der Kulanz vorbei sein.
In diesem Artikel bekommst du:
- Den aktuellen Stand zur NIS2-Registrierungspflicht
- Warum die Nachfrist keine neue gesetzliche Frist ist
- Was du bis Ende Juli konkret erledigen solltest
- Welche Bußgelder bei weiterem Zögern drohen
Warum das Thema gerade jetzt akut wird
Seit Inkrafttreten des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) am 6. Dezember 2025 gilt für rund 29.000 Unternehmen in Deutschland eine Registrierungspflicht nach § 33 BSIG. Die gesetzliche Frist von drei Monaten endete am 6. März 2026. Das Portal dafür läuft seit dem 6. Januar 2026 unter portal.bsi.bund.de.
Zum Ablauf der ursprünglichen Frist hatten sich nur rund 11.500 Unternehmen registriert – deutlich weniger als erwartet. Bis Ende Mai stieg die Zahl auf etwa 18.500. Das bedeutet: Rund 10.500 Organisationen waren zu diesem Zeitpunkt weiterhin säumig. Das BSI hat daraufhin Wirtschaftsverbände informiert, dass es bis zum 31. Juli 2026 mit einer vollständigen Nachmeldung rechnet.
Wichtig zu verstehen: Die Nachfrist ist keine neue gesetzliche Frist, sondern eine Kulanzregelung der Behörde. Die eigentliche Pflicht bestand bereits seit dem 6. März 2026 unverändert fort. Wer sich jetzt registriert, holt ein bereits bestehendes Versäumnis nach – was das Bußgeldrisiko senkt, es aber nicht automatisch auf null setzt.
Was du bis zum 31. Juli konkret erledigen solltest
1. Betroffenheit prüfen und dokumentieren
Auch wenn du zu dem Schluss kommst, nicht betroffen zu sein: Die Entscheidung sollte dokumentiert sein, falls das BSI nachfragt. Nutze dafür die Betroffenheitsprüfung zu NIS2 als Ausgangspunkt.
2. Konto bei „Mein Unternehmenskonto“ (MUK) einrichten
Voraussetzung für die eigentliche Registrierung ist ein ELSTER-Organisationszertifikat über MUK. Falls das noch nicht existiert, ist das der erste Schritt – und dauert erfahrungsgemäß länger als gedacht, weil der Aktivierungsbrief postalisch an die ELSTER-Kontaktadresse geht, nicht an die zuständige Person direkt.
3. Registrierung im BSI-Portal abschließen
Stammdaten, Sektorzuordnung und eine benannte Kontaktperson eintragen. Bei Unklarheiten zur eigenen Einstufung können offene Fragen gebündelt beim BSI eingereicht werden – nach Antwort der Behörde gilt dann eine zusätzliche Frist von sechs Wochen für die Registrierung.
4. Risikomanagement nach § 30 BSIG angehen
Die Registrierung ist nur der erste Schritt. Parallel verlangt das Gesetz zehn Kernmaßnahmen zum Risikomanagement – unter anderem Risikoanalyse, Vorfallmanagement, Lieferkettensicherheit und Multi-Faktor-Authentifizierung. Besonders wichtige Einrichtungen müssen die Umsetzung bis Dezember 2028 nachweisen können, was nach einer langen Zeitspanne klingt, aber ohne strukturierten Aufbau schnell knapp wird.
Was bei weiterem Zögern droht
Eine unterlassene Registrierung kann nach § 65 BSIG mit einem Bußgeld von bis zu 500.000 Euro geahndet werden. Bei Verstößen gegen die Risikomanagement- und Meldepflichten selbst sind die Sanktionen deutlich höher: Für besonders wichtige Einrichtungen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Nach § 38 BSIG haftet zudem die Geschäftsleitung persönlich für die Umsetzung der Maßnahmen – eine Delegation an die IT-Abteilung allein reicht rechtlich nicht aus.
Der häufigste Fehler, den wir in Gesprächen hören: die Annahme, ein verstrichener Stichtag mache die Pflicht hinfällig. Das Gegenteil ist der Fall – die Nachfrist ist die letzte Gelegenheit, ohne aktives Vollzugsrisiko nachzuziehen.
Fazit
Der 31. Juli 2026 ist keine neue gesetzliche Deadline, aber faktisch die letzte Chance, ein bestehendes Versäumnis geräuschlos zu heilen. Wer jetzt Betroffenheit klärt, sich registriert und mit dem Risikomanagement nach § 30 BSIG startet, ist danach nicht nur compliant, sondern auch strukturell besser aufgestellt für die nächsten Meldepflichten.
Willst du Betroffenheitsprüfung, Registrierungsstatus und die zehn Maßnahmenbereiche nach § 30 BSIG an einem Ort dokumentieren – statt über E-Mails und Excel-Listen verteilt? Teste deveca GRC kostenlos.
