← Zurück zum Blog
NIS2 Compliance ⏱️ 10 Min. Lesezeit

NIS2-Compliance-Krise: Warum 60% der deutschen Unternehmen die Frist verpassen werden

In fünf Tagen endet die BSI-Registrierungsfrist für NIS2. Von den geschätzten 30.000 betroffenen deutschen Organisationen haben sich nach aktuellen Hochrechnungen nur 12.000 registriert. Die Konsequenzen: Bußgelder bis zu €10 Millionen, persönliche Haftung der Geschäftsführung und öffentliche Bloßstellung.


📊 Die Fakten: Deutschland im Rückstand

Die NIS2-Richtlinie (EU 2022/2555) verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen zur Registrierung bei ihrer nationalen Cybersicherheitsbehörde. In Deutschland ist dies das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Frist: 6. März 2026.

📈 Aktuelle Registrierungsquote (Stand: 1. März 2026)

Sektor Betroffene Org. Registriert Quote
Energie ~4.200 2.680 64%
Gesundheitswesen ~8.500 2.210 26%
Digitale Infrastruktur ~3.800 1.900 50%
Finanzwesen ~2.100 1.680 80%
Verkehr & Logistik ~5.600 1.680 30%
Trinkwasser/Abwasser ~3.200 960 30%
Öffentliche Verwaltung ~2.600 890 34%
Gesamt ~30.000 ~12.000 40%

Das Gesundheitswesen schneidet mit nur 26% Registrierungsquote am schlechtesten ab—ausgerechnet der Sektor, der in den letzten Monaten am stärksten von Ransomware-Angriffen betroffen war.

⚠️ Warum scheitern so viele Organisationen?

1. Fehlende Awareness in der Geschäftsführung

Eine Umfrage des Digitalverbands Bitkom vom Februar 2026 zeigt: 37% der betroffenen Unternehmen wissen nicht, dass sie unter NIS2 fallen. Insbesondere bei "wichtigen Einrichtungen" (nicht KRITIS-Betreiber) herrscht massive Unwissenheit.

Typische Fehleinschätzungen:

2. Technische Komplexität der Anforderungen

Die BSI-Registrierung ist nur der erste Schritt. Die eigentlichen Herausforderungen liegen in den Umsetzungspflichten:

Viele Organisationen haben diese Anforderungen unterschätzt und kommen jetzt nicht rechtzeitig zur Umsetzung.

3. Ressourcenmangel: Fachkräfte und Budget

Deutschland hat bereits einen Mangel an 137.000 IT-Sicherheitsfachkräften (Bitkom, 2025). NIS2 verschärft diese Krise dramatisch:

💰 Durchschnittliche Compliance-Kosten (erste 12 Monate)

Quelle: PwC NIS2-Readiness-Studie Deutschland, Januar 2026

Viele mittelständische Unternehmen haben diese Budgets nicht eingeplant—und können sie auch kurzfristig nicht aufbringen.

💥 Die Konsequenzen: Was passiert ab dem 7. März?

⚖️ Bußgeldkatalog NIS2 (Deutschland)

Verstoß Wesentliche Einrichtungen Wichtige Einrichtungen
Fehlende Registrierung Bis zu €10 Mio. oder 2% des Umsatzes Bis zu €7 Mio. oder 1,4% des Umsatzes
Unzureichende Sicherheitsmaßnahmen Bis zu €10 Mio. oder 2% des Umsatzes Bis zu €7 Mio. oder 1,4% des Umsatzes
Versäumte Meldepflicht (Incident) Bis zu €10 Mio. oder 2% des Umsatzes Bis zu €7 Mio. oder 1,4% des Umsatzes
Falsche Angaben gegenüber BSI Bis zu €5 Mio. oder 1% des Umsatzes Bis zu €3,5 Mio. oder 0,7% des Umsatzes

Persönliche Haftung der Geschäftsführung

Neu und besonders brisant: Art. 20 Abs. 2 NIS2 ermöglicht die persönliche strafrechtliche und zivilrechtliche Haftung von Vorständen und Geschäftsführern. Konkret bedeutet das:

Öffentliche Bekanntmachung

Das BSI ist berechtigt, Listen nicht-konformer Organisationen öffentlich zu machen. Die reputationellen Schäden können existenzbedrohend sein:

🚀 Was können Sie in den letzten 5 Tagen noch tun?

Sofortmaßnahmen für Nicht-Registrierte

  1. Registrierung beim BSI (noch heute!):
    • Portal: www.bsi.bund.de/nis2
    • Benötigte Daten: Firmierung, Handelsregisternummer, Ansprechpartner IT-Sicherheit, betroffene Sektoren
    • Dauer: ca. 45-90 Minuten (wenn alle Daten vorliegen)
  2. Notfall-Schwachstellenscan durchführen:
    • Das BSI wird innerhalb von 30 Tagen einen Erstbericht zur Sicherheitslage verlangen
    • Automatisierte Scans identifizieren kritische Schwachstellen in Stunden statt Wochen
  3. Incident-Response-Kontakt definieren:
    • Benennen Sie einen 24/7-Ansprechpartner für das BSI
    • Stellen Sie sicher, dass dieser die 24-Stunden-Meldepflicht kennt

Für bereits Registrierte: Compliance-Lücken schließen

Registrierung ist nicht gleich Compliance. Prüfen Sie:

Automatisierter NIS2-Compliance-Check in 60 Sekunden

KENSAI scannt Ihre gesamte Codebasis und Infrastruktur auf über 332.000 CVEs. Sie erhalten einen BSI-kompatiblen Compliance-Bericht mit priorisierten Handlungsempfehlungen—in Minuten, nicht Monaten. Kostenloser Scan für NIS2-pflichtige Organisationen bis 6. März 2026.

Jetzt kostenlos scannen →

🔮 Ausblick: Was kommt nach der Registrierungsfrist?

Die BSI-Registrierung ist nur der Anfang. Ab dem 7. März beginnt die Aufsichts- und Durchsetzungsphase:

Parallel dazu tritt am 17. Januar 2027 die Digital Operational Resilience Act (DORA) in Kraft—mit noch strengeren Anforderungen für den Finanzsektor. Organisationen sollten beide Regulierungen integriert betrachten.

📚 Ressourcen und weiterführende Links


Die Zeit läuft.
KENSAI Compliance & Legal Team
1. März 2026