Die Meldefrist für die Registrierung betroffener Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ist am 6. März 2026 abgelaufen. Da das entsprechende NIS-2-Umsetzungsgesetz (NIS2UmsuCG) am 6. Dezember 2025 in Kraft getreten ist, galt eine gesetzliche Frist von drei Monaten für die Erstregistrierung.

 

Hier ist die aktuelle Situation im Überblick:

1. Wichtige Stichtage

• Inkrafttreten des Gesetzes: 6. Dezember 2025.
• Freischaltung des BSI-Portals: 6. Januar 2026.
• Ende der Registrierungsfrist: 6. März 2026.

 

2. Was gilt, wenn Sie die Frist verpasst haben?

Falls Ihr Unternehmen unter die NIS2-Regularien fällt (in der Regel ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in kritischen Sektoren) und noch nicht registriert ist, sollten Sie dies unverzüglich nachholen.

• Rechtliche Konsequenzen: Seit dem 7. März 2026 können theoretisch Bußgelder verhängt werden. Eine verspätete Registrierung wird jedoch oft als „tätige Reue“ gewertet und ist besser, als gar nicht im System erfasst zu sein.
• Haftung: Die Geschäftsführung haftet persönlich für die Einhaltung der Risikomanagement-Maßnahmen. Eine fehlende Registrierung ist ein klares Indiz für mangelnde Compliance.

 

3. Der Registrierungsprozess

Die Registrierung ist zweistufig und erfolgt rein digital:

1. Mein Unternehmenskonto (MUK): Sie benötigen ein ELSTER-Organisationszertifikat, um sich bei MUK anzumelden.
2. BSI-Portal: Über die Schnittstelle von MUK erfolgt dann die eigentliche Registrierung im Fachportal des BSI.

 

4. Laufende Meldepflichten (Vorfälle)

Unabhängig von der einmaligen Registrierung gelten für Sicherheitsvorfälle sehr strikte, fortlaufende Fristen:

• Erstmeldung: Innerhalb von 24 Stunden nach Kenntniserlangung eines erheblichen Vorfalls.
• Update/Bestätigung: Innerhalb von 72 Stunden.
• Abschlussbericht: Innerhalb von einem Monat.

 

Hinweis: Da wir uns aktuell im April 2026 befinden, ist die Schonfrist offiziell vorbei. Wenn Sie unsicher sind, ob Ihr Unternehmen betroffen ist, bietet das BSI ein Online-Tool zur Betroffenheitsprüfung an.

 

Infos unter:  https://mip2.bsi.bund.de/de/info-nis2-registrierung/

 

Hier finden Sie mehr Informationen zum Thema Cyber-Versicherung.

Die größte Gefahr für Unternehmen liegt im Jahr 2026 nicht mehr ausschließlich in der eigenen Firewall, sondern in den vielfältigen digitalen Abhängigkeiten. Durch die zunehmende Vernetzung greifen Firmen auf gemeinsame Softwarelösungen, Cloud-Dienste und externe IT-Dienstleister zurück. Diese Strukturen schaffen Effizienz, erhöhen jedoch gleichzeitig die Anfälligkeit für großflächige Cyberangriffe. Wird beispielsweise ein zentraler Software-Baustein manipuliert, kann sich Schadcode über Updates in zahlreiche Systeme verbreiten.

Besonders kritisch sind auch Dienstleister mit umfangreichen Zugriffsrechten, da ein einzelner Angriff schnell mehrere Kunden gleichzeitig betreffen kann. Ein weiterer Trend zeigt sich in der missbräuchlichen Nutzung von Cloud-Infrastrukturen, etwa wenn Angreifer Rechenleistung für Krypto-Mining verwenden. Solche Vorfälle bleiben oft zunächst unbemerkt, verursachen jedoch innerhalb kurzer Zeit erhebliche Kosten.

Unternehmen stehen deshalb vor der Herausforderung, nicht nur ihre technische Sicherheit zu stärken, sondern auch ihre Abhängigkeiten systematisch zu analysieren. Dazu gehören transparente Zugriffsrechte, klare Prozesse und ein besseres Verständnis der eigenen Lieferkette. Ebenso entscheidend sind funktionierende Notfallpläne und Frühwarnsysteme, um schnell auf ungewöhnliche Aktivitäten reagieren zu können.

Letztlich zeigt sich: Moderne Cybersicherheit endet nicht an der eigenen Unternehmensgrenze, sondern umfasst das gesamte Netzwerk aus Partnern, Dienstleistern und Plattformen. Nur wer diese Zusammenhänge versteht und aktiv managt, kann Risiken wirksam minimieren.

Hier finden Sie mehr Informationen zum Thema Cyber-Versicherung.

Die Cybersicherheitslandschaft in Europa erfährt gerade eine radikale Veränderung. Mit der NIS2-Richtlinie (Network and Information Security Directive) verschärft die EU die Anforderungen an die digitale Resilienz massiv. Doch was bedeutet das konkret für den deutschen Mittelstand und die Führungsetagen von Aktiengesellschaften?

 

1. Was ist NIS2 eigentlich?

NIS2 ist die Nachfolgerin der ersten NIS-Richtlinie aus dem Jahr 2016. Ziel ist es, ein einheitlich hohes Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu schaffen. Im Gegensatz zur alten Regelung deckt NIS2 deutlich mehr Branchen ab und führt strenge Aufsichtsmaßnahmen sowie persönliche Haftungsrisiken ein.

 

2. Wer ist betroffen? (Der Anwendungsbereich)

Die Betroffenheit wird nicht mehr nur über die „Kritikalität“ definiert, sondern primär über die Größe des Unternehmens und den Sektor.

Grundsätzlich sind Unternehmen betroffen, die:

 

• • In einem der 18 definierten Sektoren tätig sind (z.B. Energie, Gesundheit, Bankwesen, aber auch Abfallwirtschaft, Lebensmittel und Chemie).

• • Mehr als 50 Mitarbeiter haben oder einen Jahresumsatz/eine Jahresbilanz von über 10 Mio. EUR aufweisen.
    
    

3. Welche Maßnahmen müssen umgesetzt werden?

Unternehmen müssen ein Risikomanagement für die Cybersicherheit implementieren. Dazu gehören unter anderem:

 

• • Kryptografie und Verschlüsselung.

• • Sicherheit der Lieferkette: Unternehmen müssen auch die Sicherheit ihrer Zulieferer prüfen.

• • Business Continuity: Pläne für das Backup-Management und die Krisenbewältigung im Ernstfall.

• • Meldepflichten: Vorfälle müssen innerhalb von 24 Stunden (Frühwarnung) gemeldet werden.
    
    

4. Die Auswirkungen bei Nichtbeachtung

Wer die Maßnahmen ignoriert, spielt mit der Existenz des Unternehmens. Die Konsequenzen sind zweigeteilt:

 

• • Hohe Bußgelder: Ähnlich wie bei der DSGVO drohen Sanktionen von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist).

• • Betriebsunterbrechungen: Ohne Schutz drohen nach Ransomware-Angriffen wochenlange Stillstände.

• • Reputationsverlust: Der Vertrauensverlust bei Kunden und Partnern ist oft schwerwiegender als das Bußgeld selbst.
    
    

5. Fokus Geschäftsführung & Vorstand: Die persönliche Haftung

Dies ist der wohl kritischste Punkt für Aktiengesellschaften und GmbHs. NIS2 macht Cybersicherheit zur Chefsache.

Was die Führungsebene wissen muss:

 

1. 1. Billigungs- und Überwachungspflicht: Die Geschäftsführung muss die Cybersecurity-Maßnahmen nicht nur absegnen, sondern deren Umsetzung aktiv überwachen.
   2. Fortbildungspflicht: Vorstände und Geschäftsführer sind gesetzlich verpflichtet, regelmäßig an Schulungen teilzunehmen, um die Risiken einschätzen zu können.
   3. Persönliche Haftung: Bei schuldhafter Verletzung der Sorgfaltspflichten sieht NIS2 vor, dass die Leitungsorgane mit ihrem Privatvermögen für Schäden haften können, die dem Unternehmen durch die Vernachlässigung der Sicherheit entstehen.
   4. Regressansprüche: Aktiengesellschaften können (und müssen oft) ihre Vorstände in Regress nehmen, wenn Bußgelder aufgrund mangelnder Aufsicht verhängt wurden.
      
      

1.  

1.  

1.  

Wichtig: Eine Delegation der Aufgabe an die IT-Abteilung entbindet die Geschäftsführung nicht von der Gesamtverantwortung.

Fazit:

NIS2 ist kein reines IT-Projekt, sondern ein Compliance- und Haftungsthema. Für Vorstände von Aktiengesellschaften bedeutet dies, dass Cybersecurity fest in die Unternehmensstrategie integriert werden muss, um rechtliche und finanzielle Konsequenzen abzuwenden.

Unsere Empfehlung – Die Cyber-Versicherung

Im Ernstfall zählt jede Minute. Wir bieten Ihnen passgenauen Versicherungsschutz:

Soforthilfe im Notfall 24/7

Direkter Zugang zu einem Krisendienstleister für eine schnelle Experteneinschätzung. Sie erhalten sofortige Unterstützung durch IT-Forensiker, PR-Berater und Datenschutzanwälte zur professionellen Schadenbegrenzung und Ursachenermittlung.

Cyber-Betriebsunterbrechung & Eigenschäden

Schutz und Kostenübernahme bei Geschäftsstillstand durch IT-Ausfälle. Wir erstatten den Ertragsausfall während des Stillstands und übernehmen die immensen Kosten für die Wiederherstellung von Daten und Systemen.

Cyber-Haftpflichtversicherung

Umfassende Absicherung bei Ansprüchen Dritter (z. B. bei DSGVO-Verstößen oder unbewusst weitergegebenen Viren) sowie Abmahnschutz bei Rechtsverletzungen durch Werbung und Marketing.

Hier finden Sie mehr Informationen zum Thema Cyber-Versicherung.