Zum Inhalt springen
← Alle Beiträge
· 5 Min. Lesezeit·Emre Yurtbay

NIS2-Registrierung: Letzte Chance bis 31. Juli 2026 – so holen Betriebe die BSI-Anmeldung jetzt noch nach

Das BSI hat eine Nachfrist bis 31. Juli 2026 gesetzt. Wer noch nicht registriert ist, muss jetzt handeln – konkrete Schritte und was bei Versäumnis droht.

NIS2IT-SicherheitComplianceKMUBSIRecht

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft. Damit gilt auch die gesetzliche Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI) – mit ursprünglicher Frist zum 6. März 2026. Wer diese Frist verpasst hat: Das BSI hat nach aktuellem Stand (Juli 2026) eine Nachfrist bis zum 31. Juli 2026 eingeräumt. Das sind noch gut vier Wochen – rund 30 Tage.

Hinweis: Dieser Beitrag ist keine Rechtsberatung. Er gibt einen Überblick über die aktuelle Rechtslage und empfohlene nächste Schritte. Bitte ziehen Sie für Ihre individuelle Situation einen Fachanwalt oder zertifizierten IT-Sicherheitsberater hinzu. Stand: Juli 2026.

Wer die Frist jetzt erneut verstreichen lässt, riskiert empfindliche Bußgelder – und die Geschäftsführung haftet im Zweifel persönlich.

Wer muss sich beim BSI registrieren?

Die Registrierungspflicht nach § 33 BSIG gilt für besonders wichtige Einrichtungen und wichtige Einrichtungen. Die Schwellenwerte:

  • Besonders wichtige Einrichtungen: ab ca. 250 Beschäftigte oder 50 Mio. € Umsatz und 43 Mio. € Bilanzsumme – in Sektoren wie Energie, Wasser, Verkehr, Gesundheit, Finanzwesen und digitale Infrastruktur.
  • Wichtige Einrichtungen: ab ca. 50 Beschäftigte oder 10 Mio. € Umsatz – in Sektoren wie Logistik, Maschinenbau, Lebensmittelproduktion, Chemie, Post- und Kurierdienste sowie digitale Dienste.

Das BSI schätzt rund 29.000 registrierungspflichtige Einrichtungen in Deutschland. Viele davon haben die Anmeldung noch nicht vorgenommen – und erhalten seit Frühjahr 2026 direkte Post vom BSI. Wenn Ihr Unternehmen ein solches Schreiben erhalten hat: Das ist eine Aufforderung zum Handeln, keine Einladung zur Diskussion.

Was droht, wenn die Frist am 31. Juli verstreicht?

Zwei Risiken stehen im Vordergrund:

1. Bußgelder nach § 60 BSIG Für besonders wichtige Einrichtungen drohen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – je nachdem, was höher ausfällt. Für wichtige Einrichtungen liegt der Rahmen bei bis zu 7 Mio. € oder 1,4 % des Jahresumsatzes. Bußgelder können bereits für das bloße Versäumnis der Registrierung verhängt werden – ein konkreter Sicherheitsvorfall ist dafür nicht Voraussetzung.

2. Persönliche Haftung der Geschäftsleitung nach § 38 BSIG § 38 BSIG verpflichtet Geschäftsleitungen, die Umsetzung der vorgeschriebenen Risikomanagementmaßnahmen persönlich zu billigen und zu überwachen. Entscheidend: Diese Haftung kann vertraglich nicht ausgeschlossen werden. Wer als Geschäftsführer die Pflichten kennt und trotzdem untätig bleibt, trägt das Risiko persönlich.

Der zweistufige Registrierungsprozess beim BSI

Die Anmeldung beim BSI ist kein einfaches Online-Formular. Sie verläuft in zwei Schritten – und beide brauchen Vorlaufzeit:

Schritt 1: ELSTER-Unternehmenskonto (MUK) beantragen

Der erste Schritt ist die Identifizierung über das ELSTER-Unternehmenskonto (MUK). Falls Ihr Unternehmen noch kein gültiges ELSTER-Zertifikat besitzt, beantragen Sie es jetzt unter www.elster.de. Der Postweg für die Aktivierungsdaten dauert erfahrungsgemäß bis zu zwei Wochen. Wer heute noch keines hat und wartet, hat am 31. Juli möglicherweise keinen Zugang zum Portal.

Schritt 2: Registrierung im BSI-Portal

Das Registrierungsportal unter portal.bsi.bund.de steht seit Juni 2026 vollständig für alle betroffenen Einrichtungen zur Verfügung. Dort geben Sie Stammdaten, Sektor und Kategorie ein. Halten Sie folgende Informationen bereit:

  • Firmenstammdaten und Handelsregisternummer
  • Zuordnung zum zutreffenden KRITIS-Sektor (ggf. mehrere, wenn Ihr Betrieb sektorübergreifend tätig ist)
  • Kontaktdaten des Sicherheitsansprechpartners (SPOC) – eine konkret erreichbare Person, kein Sammelpostfach
  • ELSTER-Zertifikat zur sicheren Identifizierung

Registrierung ist nicht dasselbe wie Compliance

Die Anmeldung im BSI-Portal ist Pflicht – aber nur der Anfang. NIS2 verlangt darüber hinaus:

  • Risikomanagementmaßnahmen: Risikoanalyse, Sicherheitskonzept, Zugriffskontrolle, MFA, Verschlüsselung, Patch-Management.
  • Meldepflichten: Erhebliche Sicherheitsvorfälle müssen dem BSI innerhalb von 24 Stunden (Erstmeldung) und innerhalb von 72 Stunden (vorläufige Meldung) gemeldet werden.
  • Lieferkettensicherheit: Betroffene Unternehmen sind verpflichtet, Sicherheitsanforderungen an ihre Zulieferer und Dienstleister weiterzugeben – das betrifft auch KMU unterhalb der Schwellenwerte, wenn sie für NIS2-pflichtige Kunden tätig sind.
  • Dokumentation: Alle Maßnahmen müssen nachweisbar sein.

Kurz gesagt: Wer registriert ist, aber keine getesteten Backups, kein aktuelles Sicherheitskonzept und keine MFA hat, bleibt trotzdem non-compliant.

Typische Fehler, die jetzt Zeit kosten

In der Praxis stolpern viele Betriebe über dieselben Punkte:

  • ELSTER-Zertifikat fehlt noch: Die Beantragung dauert bis zu zwei Wochen – sofort starten.
  • Falscher Sektor ausgewählt: Wer in mehreren Sektoren tätig ist, muss alle zutreffenden angeben; fehlerhafte Angaben können nachträglich korrigiert werden, kosten aber Zeit.
  • Kein SPOC benannt: Das BSI erwartet eine namentliche, erreichbare Ansprechperson für Sicherheitsvorfälle.
  • Registrierung mit NIS2-Compliance verwechselt: Die Portal-Anmeldung erfüllt § 33 BSIG – aber nicht die inhaltlichen Anforderungen der §§ 30–37 BSIG.

Was bedeutet das für Betriebe im Ruhrgebiet?

Die Schwellenwerte schließen die meisten kleinen Handwerksbetriebe, Einzelhändler und Praxen in Recklinghausen und der Umgebung von der direkten Pflicht aus. Für mittelständische Betriebe ab 50 Mitarbeitern oder über 10 Mio. € Umsatz – besonders in Logistik, Lebensmittelproduktion, Chemie oder als IT-Dienstleister – ist die Frage der Betroffenheit jedoch ernst zu nehmen.

Auch kleinere KMU sollten wissen: Wenn Ihre Großkunden NIS2-pflichtig sind, werden diese Sicherheitsanforderungen per Vertrag an Sie weitergegeben. Die Frage ist dann nicht mehr, ob Sie betroffen sind, sondern wann der nächste Auditor anklopft.

Fazit: Jetzt anfangen, nicht abwarten

Bis zum 31. Juli 2026 bleiben noch gut vier Wochen – rund 30 Tage. Die Registrierung ist machbar – aber nur, wenn das ELSTER-Zertifikat rechtzeitig beantragt wird. Wer heute startet, kommt noch durch.

Prüfen Sie zuerst: Überschreiten Sie die Schwellenwerte? Haben Sie Post vom BSI erhalten? Dann beginnen Sie sofort mit der ELSTER-Beantragung, benennen Sie einen SPOC und rufen Sie das BSI-Portal auf.

Sie sind unsicher, ob Ihr Betrieb registrierungspflichtig ist – oder möchten die Registrierung gleich mit einem soliden NIS2-Fundament verbinden? Wir unterstützen Unternehmen im Ruhrgebiet bei beidem. Sprechen Sie uns gern an.

Hinweis: Die Beiträge dieses Blogs werden unter Einsatz von KI erstellt und vor der Veröffentlichung redaktionell geprüft. Die redaktionelle Verantwortung trägt Emre Yurtbay (siehe Impressum).

Projekt besprechen