Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 18.06.2026 · 3 min Lesezeit

NIS2: BSI erinnert Unternehmen an abgelaufene Registrierungspflicht und nennt Ende Juli als neue Erwartung

Das BSI weist betroffene Unternehmen erneut auf die abgelaufene NIS2-Registrierungspflicht hin. Laut heise erwartet die Behörde die ausstehenden Registrierungen bis spätestens 31. Juli 2026.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
NIS2 IT News Grafik: Das BSI erinnert Unternehmen an die abgelaufene Registrierungspflicht und nennt Ende Juli als neue Erwartung für die NIS2 Registrierung. Dargestellt sind Serverinfrastruktur, Cybersicherheit und digitale Netzwerke in moderner Nachrich

Das Bundesamt für Sicherheit in der Informationstechnik weist Unternehmen erneut auf die NIS2-Registrierungspflicht hin. Auf der eigenen Themenseite schreibt das BSI, dass die gesetzliche Registrierungsfrist bereits abgelaufen ist und betroffene Einrichtungen sich umgehend im BSI-Portal registrieren müssen. Laut heise erwartet die Behörde, dass noch ausstehende Registrierungen bis spätestens 31. Juli 2026 abgeschlossen werden.

Für kleine und mittlere Unternehmen ist das vor allem dann relevant, wenn sie in einen regulierten Sektor fallen oder als wichtiger Dienstleister Teil einer kritischen Lieferkette sind. NIS2 ist nicht nur ein IT-Thema. Die Richtlinie betrifft Prozesse, Geschäftsleitung, Meldewege, Risikoanalyse und Lieferkettensicherheit.

Was das BSI jetzt erwartet

Auf der NIS2-Seite des BSI steht der Hinweis deutlich: Die Frist ist abgelaufen. Unternehmen, die betroffen sind und noch nicht registriert wurden, sollen die Registrierung jetzt nachholen. Das BSI beschreibt dafür einen zweistufigen Einstieg: Zuerst wird ein ELSTER-Organisationszertifikat benötigt, danach folgt die Registrierung im BSI-Portal.

PunktEinordnungPraktische Folge
RegistrierungsfristLaut BSI bereits abgelaufenBetroffene Unternehmen sollten nicht auf eine weitere Erinnerung warten.
Neue ErwartungHeise nennt den 31. Juli 2026 als vom BSI erwarteten Abschluss offener RegistrierungenInterne Verantwortliche sollten die Registrierung zeitnah priorisieren.
VoraussetzungELSTER-OrganisationszertifikatOhne Zertifikat kann die Registrierung ins Stocken geraten.
Nächster SchrittRegistrierung im BSI-PortalBetroffenheit prüfen, Stammdaten vorbereiten, Nachweise dokumentieren.

Warum das für KMU relevant ist

NIS2 richtet sich nicht nur an klassische KRITIS-Betreiber. Je nach Branche, Unternehmensgröße, Umsatz, Lieferkettenrolle und Dienstleistung können auch mittelständische Unternehmen betroffen sein. Besonders relevant sind IT-Dienstleister, Managed-Service-Anbieter, Cloud- und Hosting-Anbieter, Unternehmen im Gesundheitswesen, Energie, Transport, Industrie, digitale Infrastruktur und weitere regulierte Bereiche.

Wer nicht sicher ist, ob das eigene Unternehmen betroffen ist, sollte die Betroffenheitsprüfung nicht nebenbei erledigen. Entscheidend ist nicht nur die eigene IT-Landschaft, sondern auch die Rolle gegenüber Kunden, Behörden, Partnern und Lieferketten.

Was Unternehmen jetzt prüfen sollten

  1. Betroffenheit klären: Prüfen, ob Branche, Größe, Umsatz und Dienstleistung unter NIS2 fallen.
  2. Verantwortlichkeiten festlegen: Geschäftsleitung, IT, Datenschutz, Informationssicherheit und externe Dienstleister einbinden.
  3. ELSTER-Organisationszertifikat vorbereiten: Das Zertifikat frühzeitig beantragen, falls es noch nicht vorhanden ist.
  4. BSI-Registrierung abschließen: Stammdaten und Kontaktwege im BSI-Portal erfassen.
  5. Meldewege dokumentieren: Zuständigkeiten für Sicherheitsvorfälle, Eskalation und Kommunikation festlegen.
  6. Risikoanalyse starten: Kritische Systeme, Abhängigkeiten, Lieferanten und Dienstleister erfassen.
  7. Nachweise sammeln: Entscheidungen, Verantwortlichkeiten, technische Maßnahmen und organisatorische Prozesse schriftlich dokumentieren.

Nicht nur Registrierung, sondern Governance

Die Registrierung ist nur der sichtbare Einstieg. Unternehmen müssen danach zeigen können, dass Informationssicherheit strukturiert behandelt wird. Dazu gehören Risikoanalyse, Zugriffsschutz, Backup-Strategie, Patch-Management, Incident-Response, Lieferkettenprüfung und Schulung der Mitarbeitenden.

Für die Geschäftsleitung ist wichtig: NIS2 ist kein reines IT-Projekt, das vollständig an Administratoren abgegeben werden kann. Die organisatorische Verantwortung bleibt auf Leitungsebene. Genau deshalb sollte die Registrierung mit einem kurzen Maßnahmenplan verbunden werden.

Einschätzung für Admins und Geschäftsführung

Aus technischer Sicht ist die BSI-Erinnerung ein guter Anlass, die eigenen Sicherheitsgrundlagen zu prüfen. Viele NIS2-Anforderungen sind keine exotischen Sondermaßnahmen, sondern saubere IT-Basics: aktuelle Systeme, nachvollziehbare Rechtevergabe, funktionierende Backups, MFA, Protokollierung, Lieferantenübersicht und klare Meldewege.

Der Unterschied liegt in der Verbindlichkeit. Was früher als Best Practice galt, wird für betroffene Unternehmen zur dokumentierten Pflicht. Wer jetzt nur die Registrierung erledigt, aber keine Zuständigkeiten, Nachweise und Maßnahmen hinterlegt, löst das eigentliche Problem nicht.

Passende Anleitungen auf S-EDV

  1. NIS2 im Mittelstand umsetzen: Registrierung, 10 Pflichten und Geschäftsführer-Haftung erklärt die Betroffenheitsprüfung, Registrierung und wichtigsten Pflichten im Detail.
  2. Zwei-Faktor-Authentifizierung richtig einführen hilft bei einer der wichtigsten technischen Basismaßnahmen.
  3. Linux-Server absichern: UFW-Firewall und Fail2ban zeigt praktische Härtungsmaßnahmen für Serverumgebungen.

Quellen

  1. BSI: NIS2-regulierte Unternehmen
  2. BSI: Anleitung zur Registrierung beim BSI
  3. heise online: NIS2-Mahnung, BSI setzt neue Frist zur Registrierung bis Ende Juli
Verwandt

Weiter lesen

Alle Artikel →
Moderne IT News Grafik zum CISA Known Exploited Vulnerabilities Catalog mit Serverinfrastruktur, Cybersecurity Netzwerk und Sicherheitswarnungen für IT Administratoren zur Priorisierung aktiv ausgenutzter Schwachstellen.
18.06.2026 ·1 min

CISA KEV: Warum der Known Exploited Vulnerabilities Catalog für Admins Pflichtlektüre bleibt

Der CISA-KEV-Katalog bleibt eine der wichtigsten Quellen für aktiv ausgenutzte Schwachstellen. Auch deutsche KMU können daraus eine belastbare Patch-Priorisierung ableiten.
IT News Grafik zu einem WordPress Supply Chain Angriff, bei dem kompromittierte ShapePlugin Pro Plugins über offizielle Update Server mit einer Backdoor ausgeliefert werden. Zu sehen sind ein Update Server, Plugin Module, ein Warnsignal und eine Backdoor
17.06.2026 ·4 min

WordPress-Supply-Chain-Angriff: ShapePlugin-Pro-Plugins mit Backdoor über offizielle Update-Server ausgeliefert

Der WordPress-Plugin-Hersteller ShapePlugin ist Opfer eines Supply-Chain-Angriffs geworden. Angreifer kompromittierten die Build- und Distribution-Pipeline und injizierten einen Backdoor-Loader in Pro-Plugin-Releases, die über das offizielle Lizenz-Update-System verteilt wurden. Betroffen sind Real Testimonials Pro, Product Slider Pro und Smart Post Show Pro.
Moderne IT-News-Grafik zu Pwn2Own Ireland 2025 über eine kritische Sicherheitslücke in der Synology BeeStation, die eine vollständige Systemübernahme ermöglicht, mit NAS-Gerät, Warnsymbol, Schutzschild und Update-Hinweis.
16.06.2026 ·3 min

Pwn2Own Ireland 2025: Kritische Lücke in Synology BeeStation ermöglicht vollständige Übernahme

Synology-Patch-News vom 27.05.2026: Drei Advisoires aus Pwn2Own Ireland 2025 mit Updates fuer BeeStation, DSM und C2 Identity Edge Server.