← Zurück zum Blog
NIS2 Compliance
⏱️ 10 Min. Lesezeit
NIS2-Compliance-Krise: Warum 60% der deutschen Unternehmen die Frist verpassen werden
In fünf Tagen endet die BSI-Registrierungsfrist für NIS2. Von den geschätzten 30.000 betroffenen deutschen Organisationen haben sich nach aktuellen Hochrechnungen nur 12.000 registriert. Die Konsequenzen: Bußgelder bis zu €10 Millionen, persönliche Haftung der Geschäftsführung und öffentliche Bloßstellung.
📊 Die Fakten: Deutschland im Rückstand
Die NIS2-Richtlinie (EU 2022/2555) verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen zur Registrierung bei ihrer nationalen Cybersicherheitsbehörde. In Deutschland ist dies das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Frist: 6. März 2026.
📈 Aktuelle Registrierungsquote (Stand: 1. März 2026)
| Sektor |
Betroffene Org. |
Registriert |
Quote |
| Energie |
~4.200 |
2.680 |
64% |
| Gesundheitswesen |
~8.500 |
2.210 |
26% |
| Digitale Infrastruktur |
~3.800 |
1.900 |
50% |
| Finanzwesen |
~2.100 |
1.680 |
80% |
| Verkehr & Logistik |
~5.600 |
1.680 |
30% |
| Trinkwasser/Abwasser |
~3.200 |
960 |
30% |
| Öffentliche Verwaltung |
~2.600 |
890 |
34% |
| Gesamt |
~30.000 |
~12.000 |
40% |
Das Gesundheitswesen schneidet mit nur 26% Registrierungsquote am schlechtesten ab—ausgerechnet der Sektor, der in den letzten Monaten am stärksten von Ransomware-Angriffen betroffen war.
⚠️ Warum scheitern so viele Organisationen?
1. Fehlende Awareness in der Geschäftsführung
Eine Umfrage des Digitalverbands Bitkom vom Februar 2026 zeigt: 37% der betroffenen Unternehmen wissen nicht, dass sie unter NIS2 fallen. Insbesondere bei "wichtigen Einrichtungen" (nicht KRITIS-Betreiber) herrscht massive Unwissenheit.
Typische Fehleinschätzungen:
- "Wir sind kein KRITIS-Betreiber, also betrifft uns das nicht." → Falsch. NIS2 erfasst deutlich mehr Organisationen als die alte KRITIS-Regulierung.
- "Wir haben nur 45 Mitarbeiter, das gilt nicht für uns." → Falsch. Die Schwellenwerte sind sektorspezifisch. Im Gesundheitswesen fallen bereits Praxen mit 10+ Ärzten darunter.
- "Wir sind eine GmbH, nicht börsennotiert—keine Compliance nötig." → Falsch. Rechtsform ist irrelevant. Die Umsatz- und Mitarbeiterzahlen entscheiden.
2. Technische Komplexität der Anforderungen
Die BSI-Registrierung ist nur der erste Schritt. Die eigentlichen Herausforderungen liegen in den Umsetzungspflichten:
- Schwachstellen-Management: Kontinuierliches Scanning aller IT-Assets, priorisierte Patch-Zyklen (kritische CVEs innerhalb von 48h)
- Incident Response: 24-Stunden-Meldepflicht bei erheblichen Sicherheitsvorfällen (erstes Early Warning innerhalb von 24h, detaillierter Bericht innerhalb von 72h)
- Supply-Chain-Sicherheit: Dokumentation und Risikobewertung aller Lieferanten und Dienstleister (inkl. Software-Anbieter)
- Business Continuity: Getestete Disaster-Recovery-Pläne, Backup-Konzepte mit verschlüsselten Offline-Kopien
- Multi-Faktor-Authentifizierung: Für alle privilegierten Zugänge verpflichtend
Viele Organisationen haben diese Anforderungen unterschätzt und kommen jetzt nicht rechtzeitig zur Umsetzung.
3. Ressourcenmangel: Fachkräfte und Budget
Deutschland hat bereits einen Mangel an 137.000 IT-Sicherheitsfachkräften (Bitkom, 2025). NIS2 verschärft diese Krise dramatisch:
💰 Durchschnittliche Compliance-Kosten (erste 12 Monate)
- Kleine Einrichtungen (50-99 MA): €85.000 - €180.000
- Mittlere Einrichtungen (100-249 MA): €220.000 - €450.000
- Große Einrichtungen (250+ MA): €680.000 - €1.8 Mio.
Quelle: PwC NIS2-Readiness-Studie Deutschland, Januar 2026
Viele mittelständische Unternehmen haben diese Budgets nicht eingeplant—und können sie auch kurzfristig nicht aufbringen.
💥 Die Konsequenzen: Was passiert ab dem 7. März?
⚖️ Bußgeldkatalog NIS2 (Deutschland)
| Verstoß |
Wesentliche Einrichtungen |
Wichtige Einrichtungen |
| Fehlende Registrierung |
Bis zu €10 Mio. oder 2% des Umsatzes |
Bis zu €7 Mio. oder 1,4% des Umsatzes |
| Unzureichende Sicherheitsmaßnahmen |
Bis zu €10 Mio. oder 2% des Umsatzes |
Bis zu €7 Mio. oder 1,4% des Umsatzes |
| Versäumte Meldepflicht (Incident) |
Bis zu €10 Mio. oder 2% des Umsatzes |
Bis zu €7 Mio. oder 1,4% des Umsatzes |
| Falsche Angaben gegenüber BSI |
Bis zu €5 Mio. oder 1% des Umsatzes |
Bis zu €3,5 Mio. oder 0,7% des Umsatzes |
Persönliche Haftung der Geschäftsführung
Neu und besonders brisant: Art. 20 Abs. 2 NIS2 ermöglicht die persönliche strafrechtliche und zivilrechtliche Haftung von Vorständen und Geschäftsführern. Konkret bedeutet das:
- Strafrechtliche Verfolgung bei grober Fahrlässigkeit oder Vorsatz
- Zivilrechtliche Schadensersatzforderungen durch geschädigte Dritte
- D&O-Versicherungen schließen vorsätzliche NIS2-Verstöße zunehmend aus
Öffentliche Bekanntmachung
Das BSI ist berechtigt, Listen nicht-konformer Organisationen öffentlich zu machen. Die reputationellen Schäden können existenzbedrohend sein:
- Verlust von Geschäftspartnern (die selbst NIS2-pflichtig sind und ihre Lieferkette nachweisen müssen)
- Ausschluss von öffentlichen Ausschreibungen
- Kundenabwanderung (insbesondere im B2B-Bereich)
- Höhere Versicherungsprämien oder Versicherungsausschlüsse
🚀 Was können Sie in den letzten 5 Tagen noch tun?
Sofortmaßnahmen für Nicht-Registrierte
- Registrierung beim BSI (noch heute!):
- Portal: www.bsi.bund.de/nis2
- Benötigte Daten: Firmierung, Handelsregisternummer, Ansprechpartner IT-Sicherheit, betroffene Sektoren
- Dauer: ca. 45-90 Minuten (wenn alle Daten vorliegen)
- Notfall-Schwachstellenscan durchführen:
- Das BSI wird innerhalb von 30 Tagen einen Erstbericht zur Sicherheitslage verlangen
- Automatisierte Scans identifizieren kritische Schwachstellen in Stunden statt Wochen
- Incident-Response-Kontakt definieren:
- Benennen Sie einen 24/7-Ansprechpartner für das BSI
- Stellen Sie sicher, dass dieser die 24-Stunden-Meldepflicht kennt
Für bereits Registrierte: Compliance-Lücken schließen
Registrierung ist nicht gleich Compliance. Prüfen Sie:
- Schwachstellen-Management: Scannen Sie alle IT-Assets, nicht nur Internet-facing Systeme. Interne Applikationen, Container, APIs, Dependencies.
- Lieferanten-Risikobewertung: Dokumentieren Sie alle Software-Lieferanten. Erfragen Sie deren NIS2-Status und Sicherheitsmaßnahmen.
- Backup-Tests: Wann haben Sie das letzte Mal einen vollständigen Restore getestet? NIS2 verlangt nachweislich funktionierende Wiederherstellungsverfahren.
Automatisierter NIS2-Compliance-Check in 60 Sekunden
KENSAI scannt Ihre gesamte Codebasis und Infrastruktur auf über 332.000 CVEs. Sie erhalten einen BSI-kompatiblen Compliance-Bericht mit priorisierten Handlungsempfehlungen—in Minuten, nicht Monaten. Kostenloser Scan für NIS2-pflichtige Organisationen bis 6. März 2026.
Jetzt kostenlos scannen →
🔮 Ausblick: Was kommt nach der Registrierungsfrist?
Die BSI-Registrierung ist nur der Anfang. Ab dem 7. März beginnt die Aufsichts- und Durchsetzungsphase:
- Q2 2026: BSI beginnt mit Compliance-Audits registrierter Organisationen. Stichproben zunächst, später risikobasiert.
- Q3 2026: Erste Bußgeldbescheide für schwerwiegende Verstöße (z.B. fehlende Meldung von Sicherheitsvorfällen).
- Q4 2026: Veröffentlichung der ersten Liste nicht-konformer Organisationen.
Parallel dazu tritt am 17. Januar 2027 die Digital Operational Resilience Act (DORA) in Kraft—mit noch strengeren Anforderungen für den Finanzsektor. Organisationen sollten beide Regulierungen integriert betrachten.
📚 Ressourcen und weiterführende Links
Die Zeit läuft.
KENSAI Compliance & Legal Team
1. März 2026