← Alle Beiträge
· Claus Lindemann

NIS-2-Registrierung: Die Quote enttäuscht — auch „gewöhnliche" Branchen sollten jetzt prüfen

NIS2CybersicherheitComplianceBSIRisikomanagement

Die Frist zur NIS-2-Registrierung beim BSI ist am 6. März 2026 abgelaufen — und die Bilanz fällt ernüchternd aus. Von rund 29.500 betroffenen Einrichtungen in Deutschland hatten sich bis zum Stichtag nur etwa 6.600 im BSI-Portal gemeldet. Die Registrierungsquote bleibt damit deutlich hinter den Erwartungen zurück.

Der häufigste Irrtum: „Das betrifft uns nicht”

Woran liegt das? Ein wesentlicher Grund ist ein verbreiteter Denkfehler. Viele Unternehmen verbinden NIS-2 reflexartig mit „kritischer Infrastruktur” — mit Energieversorgern, Krankenhäusern, Telekommunikationsanbietern. Wer sich selbst in einer „gewöhnlichen” Branche sieht, hakt das Thema gedanklich ab.

Genau hier liegt das Problem. NIS-2 reicht weit über die klassische KRITIS-Welt hinaus. Die Richtlinie unterscheidet zwischen „Sektoren mit hoher Kritikalität” und „sonstigen kritischen Sektoren” — und gerade die zweite Gruppe enthält Branchen, die sich selbst kaum als sicherheitskritisch einordnen würden:

  • Verarbeitendes Gewerbe — etwa Maschinenbau, Fahrzeugbau, Elektrotechnik, Medizinprodukte, Datenverarbeitungsgeräte
  • Produktion, Verarbeitung und Vertrieb von Lebensmitteln
  • Herstellung und Handel mit chemischen Stoffen
  • Abfallwirtschaft
  • Post- und Kurierdienste
  • Anbieter digitaler Dienste sowie Forschungseinrichtungen

Ein mittelständischer Maschinenbauer, ein regionaler Lebensmittelproduzent, ein Logistikdienstleister — sie alle können unter NIS-2 fallen, ohne sich jemals als „kritisch” verstanden zu haben.

Größe entscheidet — und die Selbsteinschätzung liegt bei Ihnen

Ob ein Unternehmen tatsächlich betroffen ist, hängt neben dem Sektor von der Größe ab. Als Faustregel gilt: Wer mehr als 50 Beschäftigte hat oder einen Jahresumsatz bzw. eine Bilanzsumme von über 10 Mio. Euro erreicht und in einem der erfassten Sektoren tätig ist, sollte sehr genau hinschauen. Je nach Sektor und Größe greift die Einstufung als „wichtige” oder „wesentliche” Einrichtung.

Der entscheidende Punkt: Die Pflicht zur Selbsteinschätzung liegt beim Unternehmen. Das BSI verschickt keine Einladungsschreiben und keine Bescheide. Wer nicht selbst prüft, ob er betroffen ist, erfährt es im Zweifel erst, wenn es zu spät ist.

Niemand wird Sie auf Ihre NIS-2-Pflicht hinweisen. Die Registrierung — und alles, was daran hängt — ist eine Bringschuld.

Was bei Versäumnis droht

Die Registrierung ist dabei nur der erste, sichtbarste Schritt. Wer betroffen ist, muss anschließend Risikomanagement-Maßnahmen umsetzen, Meldepflichten bei Sicherheitsvorfällen einhalten und die Geschäftsleitung in die Verantwortung nehmen. Schon das Versäumnis der Registrierung kann als Verstoß gewertet werden — die Bußgeldrahmen reichen bis in den zweistelligen Millionenbereich.

Was Unternehmen jetzt tun sollten

  1. Betroffenheit prüfen: Gleichen Sie Ihre Tätigkeit mit den NIS-2-Sektoren ab — ehrlich und nicht entlang der eigenen Wunschvorstellung. Beziehen Sie auch Tochtergesellschaften und Konzernstrukturen ein.
  2. Größenschwellen bewerten: Beschäftigtenzahl, Umsatz, Bilanzsumme — und zwar nach den Berechnungsregeln der Richtlinie, nicht nach Bauchgefühl.
  3. Registrierung nachholen: Die Registrierung erfolgt zweistufig — zunächst über „Mein Unternehmenskonto” (MUK), dann im BSI-Portal. Wer die Frist verpasst hat, sollte die Meldung nicht weiter aufschieben.
  4. Maßnahmen aufsetzen: Risikomanagement, Incident-Meldewege, Business Continuity und die Einbindung der Geschäftsleitung gehören zum Pflichtprogramm.
  5. Im Zweifel beraten lassen: Die Abgrenzung ist in Grenzfällen anspruchsvoll. Eine fundierte Einschätzung schützt vor teuren Fehlentscheidungen in beide Richtungen.

Fazit

Die niedrige Registrierungsquote ist kein Zeichen dafür, dass NIS-2 die Unternehmen nicht betrifft — sie ist ein Zeichen dafür, dass viele Unternehmen ihre Betroffenheit schlicht nicht geprüft haben. Wer in einer vermeintlich „gewöhnlichen” Branche tätig ist, sollte sich nicht in falscher Sicherheit wiegen. Die ehrliche Prüfung kostet wenig Zeit. Sie zu unterlassen, kann teuer werden.

Sie sind unsicher, ob Ihr Unternehmen unter NIS-2 fällt? Kontaktieren Sie uns für eine unverbindliche Ersteinschätzung Ihrer Betroffenheit.

Haben Sie Fragen zu diesem Thema?

Kontakt aufnehmen