Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 23.06.2026 · 4 min Lesezeit

BSI setzt neue NIS2-Frist: Unternehmen müssen sich bis Ende Juli registrieren

Das BSI setzt eine neue NIS2-Registrierungsfrist bis zum 31. Juli 2026. Noch immer fehlen Tausende betroffene Unternehmen – insbesondere im Mittelstand. Bei Verstößen drohen Bußgelder bis zu 10 Millionen Euro. Der Artikel erklärt die Fristen, die Registrierung und die Pflichten für KMU.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
BSI setzt neue NIS2 Frist bis Ende Juli für Unternehmen mit digitalem Registrierungsportal, Compliance Dashboard, Deutschlandkarte und Deadline Hinweis.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Frist zur NIS2-Registrierung gesetzt: Unternehmen, die unter die Richtlinie fallen, müssen sich bis zum 31. Juli 2026 im BSI-Portal registrieren. Die ursprüngliche gesetzliche Frist war am 6. März 2026 abgelaufen – damals hatten sich jedoch nur rund 11.500 von erwarteten 29.500 betroffenen Einrichtungen registriert. In einem Mahnschreiben an Branchenverbände fordert das BSI nun zum Nachsteürn auf.

Meldung und Einordnung

Die NIS2-Richtlinie (EU 2022/2555) ist die europäische Rechtsgrundlage für Cybersicherheit in kritischen und wichtigen Sektoren. In Deutschland wurde sie durch das NIS2-Umsetzungsgesetz (NIS2UmsuG) zum 6. Dezember 2025 in nationales Recht überführt. Betroffene Unternehmen hatten drei Monate Zeit für die Registrierung beim BSI – eine Frist, die viele verpasst haben. Das BSI reagiert nun mit einer faktischen Gnadenfrist, setzt dabei aber auf öffentlichen Druck über Verbände.

Fristen und Fristverlauf im Überblick

DatumEreignis
17. Oktober 2024Ursprüngliches Datum für nationale Umsetzung der EU-NIS2-Richtlinie (verspätet)
6. Dezember 2025NIS2-Umsetzungsgesetz (NIS2UmsuG) tritt in Deutschland in Kraft
6. März 2026Ursprüngliche Registrierungsfrist – nur ~11.500 von 29.500 erwarteten Einrichtungen registriert
17. Juni 2026BSI setzt neue Erwartungsfrist: 31. Juli 2026
Ende Mai 2026~18.500 Einrichtungen registriert – immer noch rund 11.000 fehlen

Registrierung im BSI-Portal: Zwei Schritte

Die Registrierung beim BSI erfolgt in zwei Schritten über das ELSTER-Verfahren. Unternehmen benötigen zwingend ein ELSTER-Organisationszertifikat.

Schritt 1: ELSTER-Organisationszertifikat beantragen

  1. Portal "Mein Unternehmenskonto" (MUK) aufrufen
  2. ELSTER-Organisationszertifikat für das Unternehmen beantragen – dies dient als digitale Identität
  3. Das Zertifikat wird für die Anmeldung im BSI-Portal benötigt

Schritt 2: Registrierung im BSI-Portal

  1. portal.bsi.bund.de aufrufen
  2. Klick auf "Mit MUK anmelden" → Weiterleitung zu ELSTER
  3. ELSTER-Organisationszertifikat hochladen und Passwort eingeben
  4. Datenweitergabe bestätigen (Unternehmensdaten aus ELSTER werden übernommen)
  5. Zur NIS-2-Registrierung navigieren
  6. Angaben machen zu: Einrichtungstyp (Behörde/privat), KRITIS-Status mit Institutions-ID, Unternehmensgröße (Mitarbeiter, Umsatz, Jahresbilanzsumme), Sektor und Branche, Kontaktdaten der verantwortlichen Leitung

Die 10 zentralen NIS2-Pflichten für KMU

Unternehmen, die unter die NIS2-Regulierung fallen, müssen umfangreiche Cybersicherheitspflichten erfüllen. Die folgende Übersicht fasst die zentralen Anforderungen zusammen:

Nr.PflichtBeschreibung
1RegistrierungspflichtMeldung der Einrichtung beim BSI über das BSI-Portal (ELSTER-Zertifikat erforderlich)
2RisikomanagementEinführung eines angemessenen Cybersicherheits-Risikomanagements nach Stand der Technik
3Meldepflicht bei VorfällenMeldung erheblicher Sicherheitsvorfälle an das BSI (24h/72h/1 Monat je nach Schwere)
4LieferkettensicherheitSicherheitsanforderungen an Lieferanten und Drittanbieter
5Geschäftsführer-HaftungGeschäftsführung trägt persönliche Verantwortung, muss zu Cyberrisiken geschult werden
6Technische MaßnahmenZugangskontrollen, Verschlüsselung, Netzwerksicherheit
7Incident Response & BCMNotfallpläne, Backup-Systeme und Wiederherstellungsprozesse
8SicherheitspersonalBenennung verantwortlicher Personen für Cybersicherheit
9DokumentationVollständige Dokumentation aller Sicherheitsmaßnahmen und Risikoanalysen
10SicherheitskulturSchulung aller Mitarbeiter, regelmäßige Sensibilisierungskampagnen

Geschäftsführer-Haftung und Sanktionen

Die NIS2-Richtlinie macht Cybersicherheit zur Chefsache. BSI-Präsidentin Claudia Plattner betont: "NIS-2 macht Cybersicherheit zur Chefinnen- und Chefsache." Die Geschäftsführung haftet persönlich für die Einhaltung der Vorgaben und ist verpflichtet, Risikomanagementmaßnahmen umzusetzen, die Umsetzung zu überwachen und sich zu Cyberrisiken schulen zu lassen. Zivilrechtlich drohen Schadensersatzansprüche über die allgemeine Geschäftsführer-Haftung (GmbHG/AktG). Die Bußgelder staffeln sich wie folgt:

VerstoßBußgeldrahmenRechtsgrundlage
Nichtregistrierung (Ordnungswidrigkeit)Bis 500.000 Euro§33 BSI-Gesetz
Schwerwiegende Verstöße gegen NIS2-PflichtenBis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes§38 BSI-Gesetz
Falschangaben / unvollständige MeldungenBis 500.000 Euro§38 BSI-Gesetz

Handlungsempfehlung für Unternehmen

Das BSI setzt aktüll auf Kooperation statt Konfrontation. Experten fordern jedoch, das BSI müsse jetzt "Zähne zeigen", da sonst die NIS2 zum Papiertiger verkomme. Unternehmen sollten die verbleibende Zeit bis Ende Juli nutzen:

  1. Betroffenheitsprüfung durchführen: Das BSI bietet ein Online-Prüftool auf seiner Website
  2. ELSTER-Organisationszertifikat beantragen – das daürt erfahrungsgemäß mehrere Tage
  3. Registrierung im BSI-Portal abschließen
  4. Risikomanagement aufbauen: ISO 27001 oder vergleichbare Standards als Rahmen nutzen
  5. Meldeprozesse für Sicherheitsvorfälle definieren (24h-Vorwarnung, 72h-Meldung, 1-Monat-Abschlussbericht)
  6. Geschäftsführung schulen lassen – das BSI stellt eine kostenlose Schulung als PDF bereit
  7. Lieferanten und Dienstleister auf ihre Cybersicherheit prüfen

Admin-Einschätzung

Die Situation ist alarmierend: Drei Monate nach dem gesetzlichen Stichtag fehlen noch immer rund 11.000 Registrierungen. Besonders kritisch ist, dass viele mittelständische Unternehmen entweder nicht wissen, dass sie unter die NIS2 fallen, oder die Registrierung aus Unkenntnis der rechtlichen Konseqünzen aufschieben. Die neue Frist bis 31. Juli 2026 ist keine Verlängerung im Rechtssinne, sondern eine faktische Gnadenfrist. Formal sind Bußgelder seit dem 6. März 2026 möglich. Unternehmen, die bis Ende Juli nicht registriert sind, gehen ein erhebliches Haftungsrisiko ein. Wir empfehlen dringend, die Registrierung noch im Juni abzuschließen – das ELSTER-Zertifikat allein kann je nach Bearbeitungsstand der Finanzverwaltung mehrere Tage bis Wochen dauern.

Passende Anleitungen auf S-EDV

  1. NIS2 im Mittelstand umsetzen: Registrierung, 10 Pflichten & Geschäftsführer-Haftung – Ausführlicher Leitfaden mit allen Details zur Umsetzung im Unternehmen.
  2. Linux-Server absichern: UFW-Firewall und Fail2ban – Technische Grundlage für die geforderten Sicherheitsmaßnahmen.

Quellen

  1. Heise Online: NIS2-Mahnung – BSI setzt neue Frist zur Registrierung bis Ende Juli (17. Juni 2026)
  2. Heise Online: Ab jetzt Bußgelder möglich – Stichtag für NIS2-Registrierungspflicht (6. März 2026)
  3. Heise Online: BSI: 11.500 kritische Einrichtungen unter NIS2 registriert
  4. Heise Online: Last Call NIS-2 – Was IT-Verantwortliche jetzt wissen müssen (28. Mai 2026)
  5. BSI: NIS-2 regulierte Unternehmen (Übersicht)
  6. BSI: Schritt-für-Schritt-Anleitung zur Registrierung
Verwandt

Weiter lesen

Alle Artikel →
Atlassian Juni Bulletin zeigt 100 Sicherheitslücken in Jira, Confluence, Bitbucket, Bamboo und Crowd mit kritischem Sicherheitsalarm für betroffene Data Center Systeme.
22.06.2026 ·6 min

Atlassian Juni-Bulletin: 100 Sicherheitslücken in Jira, Confluence, Bitbucket, Bamboo und Crowd

Das Juni-Bulletin 2026 von Atlassian schließt 100 Sicherheitslücken in Jira Software, Conflünce, Bitbucket, Bamboo, Jira Service Management, Crowd, Fisheye und Crucible. Mehrere Lücken in den Tomcat- und Axios-Abhängigkeiten erreichen CVSS 10.0 oder 9.8 und betreffen zentrale Enterprise-Tools im KMU-Stack.
libssh2 Sicherheitslücke gefährdet SSH Infrastruktur durch kritische Out of Bounds Schwachstelle, Patches stehen nur als Source Commits bereit.
22.06.2026 ·6 min

libssh2: Kritische Out-of-Bounds-Lücke gefährdet SSH-Infrastruktur – Patches nur als Commits

Die SSH-Bibliothek libssh2 enthält zwei Sicherheitslücken: eine kritische Out-of-Bounds-Lücke (CVE-2026-55200) in der Funktion ssh2_transport_read() und eine zweite hochriskante Lücke (CVE-2026-55199). Reparierte Ausgabe 1.11.1-3 ist erst in der Testphase, offizielle Pakete für die gängigen Distributionen fehlen noch weitgehend.
F5 nginx kritische Lücken HTTP/3 Use-after-free Heap-Überlauf Sicherheitspatch
21.06.2026 ·6 min

F5 patcht außerplanmäßig kritische Nginx-Lücken: HTTP/3-Use-after-free und Heap-Überlauf

F5 hat am 19. Juni 2026 vier Nginx-Sicherheitslücken außer der Reihe geschlossen, darunter eine kritische Use-after-free-Lücke im HTTP/3-QUIC-Modul (CVE-2026-42530, CVSS 9.2) und einen Heap-Überlauf im Proxy- und gRPC-Modul (CVE-2026-42055, CVSS 9.2). Admins, die HTTP/3 aktiv nutzen, müssen ihre Nginx-Konfiguration anpassen, der Nginx Ingress Controller bleibt ohne Fix.