Frist für die NIS‑2‑Registrierung 2026

Die aktuell auslaufende Frist für die NIS‑2‑Registrierung beim BSI bis zum 6. März 2026, auf die etwa Heise hinweist, ist nicht nur ein IT‑Termin, sondern ein sehr handfestes Compliance‑Thema für die Geschäftsleitung. Rund 29.000 Unternehmen und Organisationen in Deutschland müssen bis dahin registriert sein – andernfalls drohen Aufsichtsmassnahmen und Bußgelder.

Was hinter der Registrierungsfrist steckt

Mit der NIS2-Umsetzung ist das novellierte BSI‑Gesetz seit Dezember 2025 in Kraft; es dehnt den Kreis der regulierten Unternehmen massiv aus. Erfasst werden nun nicht nur klassische KRITIS‑Betreiber, sondern sämtliche „besonders wichtigen“ und „wichtigen“ Einrichtungen in zentralen Sektoren – von Energie, Transport, Gesundheitswesen und Trinkwasser bis hin zu Produktion, Logistik, digitaler Infrastruktur und Forschung, jeweils regelmäßig ab 50 Beschäftigten oder ab 10 Millionen Euro Umsatz und Bilanzsumme.

Die Heise‑Meldung bringt das Problem pointiert auf den Punkt: Bis zum 6. März 2026 läuft die dreimonatige Registrierungsfrist, die mit Inkrafttreten des Gesetzes am 6. Dezember 2025 begonnen hat. Viele der betroffenen Einrichtungen haben bislang keine Regulierungserfahrung mit dem BSI – müssen nun aber in kurzer Zeit prüfen, ob sie unter NIS‑2 fallen und, wenn ja, den Registrierungsprozess sauber durchlaufen.

Cybersicherheit bei uns im Blog

Aufgrund unserer Spezialisierung auf Cybersecurity-Rechtsfragen (RA JF ist zertifizierter Experte für Cybersicherheit, SRH) sowie Managerhaftung beschäftigen wir uns regelmäßig in Beiträgen mit dem IT-Sicherheitsrecht:

• NIS2-Umsetzung in Deutschland 2026
• NIS2-Richtlinie und NIS-Richtlinie
• CER-Richtlinie und DORA
• IT-Sicherheitgesetz 2.0 und IT-Sicherheitsgesetz 1.0
• Cybersecurity-Act und Cyber Solidarity Act
• EU-Verordnung zur Informationssicherheit
• BSI-Gesetz als Grundlage der Cybersecurity (derzeit veraltet)
• Haftung der Geschäftsführung für Sicherheitsmängel
• Softwareupdates gesetzlich geregelt
• Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
• Bug-Bounty-Programme
• Wirksame Kündigung bei Verstoß gegen Richtlinie zur Informationssicherheit
• Fahrlässige Tötung durch Schadsoftware im Krankenhaus?
• Haftung des Arbeitnehmers für Installation von Ransomware oder Virus
• Ransomware-Angriffe im Alltag
• Vertrag über Penetrationstest

Wer sich registrieren muss

Die Registrierungspflicht knüpft an die Einordnung als „besonders wichtige“ oder „wichtige“ Einrichtung nach dem neuen BSI‑Gesetz an. Maßgeblich sind dabei zwei Achsen: die Zugehörigkeit zu einem durch Gesetz und Rechtsverordnung definierten Sektor bzw. einer Einrichtungsart und die Unternehmensgröße nach den EU‑KMU‑Kriterien.

Besonders wichtige Einrichtungen sind insbesondere große Unternehmen aus Sektoren wie Energie, Verkehr und Transport, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser oder digitale Infrastruktur sowie bestimmte Betreiber kritischer Anlagen und vertrauenswürdiger Dienste. Wichtige Einrichtungen sind typischerweise mittlere Unternehmen in diesen Sektoren sowie mittlere und große Unternehmen in weiteren Bereichen wie Logistik, Siedlungsabfall, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe oder Forschung.

Für die Geschäftsleitung bedeutet dies: Die Betroffenheitsprüfung ist kein „nice to have“, sondern der Einstieg in die Regulierung. Wer sich irrtümlich nicht als NIS‑2‑Einrichtung versteht und untätig bleibt, verstößt zugleich gegen Registrierungs‑, Risiko­management‑ und Meldepflichten – mit einem Bündel von Sanktionsrisiken gegenüber Unternehmen und Organmitgliedern.

Wie die Registrierung beim BSI abläuft

Die NIS‑2‑Registrierung ist als zweistufiger, vollständig digitaler Prozess ausgestaltet. Im ersten Schritt muss die Organisation über „Mein Unternehmenskonto“ auf ELSTER‑Basis angebunden werden; dort werden die grundlegenden Unternehmensdaten erfasst, die anschließend in das BSI‑Portal übernommen werden. Ohne dieses Unternehmenskonto ist eine Registrierung beim BSI technisch nicht möglich – wer sich erst kurz vor dem 6. März mit dem Thema befasst, läuft somit in vermeidbare Zeitprobleme.

Im zweiten Schritt erfolgt die eigentliche Registrierung im BSI‑Portal, das seit dem 6. Januar 2026 produktiv ist. Hier verlangt das BSI unter anderem Angaben zur Einordnung als wichtige oder besonders wichtige Einrichtung, zu Sektor und Branche, zur Unternehmensgröße, zu den betroffenen EU‑Mitgliedstaaten, zu öffentlich erreichbaren IP‑Adressbereichen sowie die Benennung einer 24/7 erreichbaren NIS‑2‑Kontaktstelle und einer fachkundigen Kontaktperson. Darüber hinaus müssen Änderungen der Stammdaten nach der Erstregistrierung unverzüglich, spätestens innerhalb von zwei Wochen, im Portal nachgezogen werden.

Die Registrierung ist damit der organisatorische Sockel der künftigen Aufsicht: Sie schafft Transparenz für das BSI und ist Voraussetzung für die Erfüllung der mehrstufigen Meldepflichten bei erheblichen Sicherheitsvorfällen.

Konkrete Aufgaben für das Management

Für die Geschäftsleitung ist die NIS‑2‑Registrierung der sichtbare erste echte Test, ob Cybersicherheit tatsächlich als Chefsache verstanden und gelebt wird. Zunächst braucht es eine belastbare Betroffenheitsanalyse entlang der Sektorzugehörigkeit und der Größenkriterien, idealerweise konzernweit und unter Einbeziehung von Tochtergesellschaften und ausländischen Betriebsstätten. Wo Betroffenheit naheliegt oder nicht eindeutig ausgeschlossen werden kann, sollte die Registrierung nicht auf die lange Bank geschoben werden – das Zeitfenster bis Anfang März 2026 ist angesichts interner Abstimmungswege und technischer Vorarbeiten enger, als es auf den ersten Blick scheint.

Parallel zur Registrierung empfiehlt sich eine strategische Betrachtung der übrigen NIS‑2‑Pflichten: Aufbau bzw. Anpassung eines risikobasierten Informationssicherheitsmanagements, klare Verknüpfung von Geschäftsleitung, IT, Compliance und Krisenstab, Überprüfung von Lieferketten, Incident‑Response‑Strukturen und Meldeprozessen sowie die frühzeitige Einbindung externer Spezialisten, etwa für Audits, Notfallunterstützung und rechtliche Begleitung. Hier zahlt sich ein proaktiver Ansatz doppelt aus: Er reduziert nicht nur die Eintrittswahrscheinlichkeit und Schadenshöhe von Cybervorfällen, sondern ist zugleich ein zentraler Verteidigungsbaustein in Bußgeld- und Strafverfahren.

Die Uhr zur Registrierung mag am 6. März 2026 ablaufen – die Verantwortung der Geschäftsleitung für ein tragfähiges Cybersicherheitsniveau endet dort aber nicht. Cybersicherheit wird mit NIS‑2 zum festen Bestandteil moderner Unternehmensführung und damit zur Visitenkarte eines verantwortungsvoll handelnden Managements.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (mit Schwerpunkt Wirtschaftskriminalität und Cybercrime) sowie Spezialist im IT-Recht mit Schwerpunkt Softwarerecht und digitale Beweismittel. Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren, speziell an der Schnittstelle von Strafrecht & IT-Recht und berät in komplexen Softwareprojekten.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.

Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• KI-Agenten als Innentäter: Wie OpenClaw & Co. zum Haftungs- & Sicherheitsrisiko werden - 14. März 2026
• Retrograde Telegram-Überwachung als Quellen-TKÜ - 13. März 2026
• Cyber Resilience Act als Ende der analogen Fabrik - 11. März 2026