Welche Unternehmen sind tatsächlich registrierungspflichtig?
Dr. Matthias Zuchowski: Eigentlich sind diese Vorgaben längst bekannt und im gesamten Gesetzgebungsverfahren hat sich im Kern wenig geändert. Allerdings empfehle ich im IT-Bereich einen genauen Blick, da viele Unternehmen indirekt betroffen sind, etwa als Dienstleister für kritische Infrastrukturen oder als Teil komplexer Lieferketten. Dabei ist zu beachten, dass bei indirekter Betroffenheit Unternehmen zwar Vorgaben erfüllen müssen, sie aber nicht registrierungspflichtig sind.
Ein häufiger Stolperstein liegt in der Bewertung von Unternehmensstrukturen. Konzernverflechtungen, Beteiligungen oder ausgelagerte IT-Services können dazu führen, dass Unternehmen betroffen sind, obwohl sie auf den ersten Blick nicht darunterfallen. Hier reicht eine oberflächliche Einschätzung oft nicht aus.
Als erste Orientierung bietet das BSI eine Betroffenheitsprüfung an. Sie liefert eine fundierte Ersteinschätzung. In komplexeren Fällen empfiehlt sich jedoch eine juristische Bewertung, um Fehleinschätzungen zu vermeiden.
Meine Empfehlung lautet daher: Wer geschäftskritische digitale Dienste erbringt oder Teil kritischer Wertschöpfungsketten ist, sollte die eigene Betroffenheit sorgfältig prüfen.
Was mussten betroffene Firmen bis zum 6. März 2026 konkret umsetzen?
Was mussten betroffene Firmen bis zum 6. März 2026 konkret umsetzen?
Dr. Matthias Zuchowski: Bis zu diesem Stichtag sollte die Registrierung beim BSI vollständig abgeschlossen sein. Dabei handelt es sich nicht um einen einzelnen Schritt, sondern um einen strukturierten Prozess.
Zunächst mussten Verantwortliche ein Unternehmenskonto über die ELSTER-Infrastruktur einrichten. Dieses dient als Zugangspunkt für behördliche Prozesse. Und hier lauert auch eine kleine Stolperfalle, weil die Briefpost für die Registrierung bei der Cybersicherheit oft in der Finanzabteilung landet - wegen des Stichworts „ELSTER“. Anschließend erfolgt die eigentliche NIS-2-Registrierung im BSI-Portal.
Im Rahmen dieser Registrierung müssen Unternehmen eine Reihe von Angaben machen. Dazu gehören die Stammdaten zum Unternehmen (Rechtsform, Registereintrag, Registergericht oder Adresse der Kontaktstelle), eine Einordnung in Sektor und Tätigkeitsbereich sowie die Unternehmensgröße anhand definierter Kategorien und das Benennen von Kontaktstellen und verantwortlichen Personen.
Besonders relevant ist die sogenannte NIS-2-Kontaktstelle. Sie fungiert als zentrale Schnittstelle zum BSI und muss jederzeit erreichbar sein – auch außerhalb der üblichen Geschäftszeiten.
Formal ist die Frist eindeutig: Der 6. März 2026 markierte das Ende der dreimonatigen Übergangsphase nach Inkrafttreten des Gesetzes. Eine verspätete Registrierung ist rechtlich nicht vorgesehen.
Was sollen Unternehmen machen, die die Registrierung bis zum 6. März nicht durchgeführt haben?
Dr. Matthias Zuchowski: Zunächst einmal gilt: Die Frist ist formal abgelaufen. Unternehmen befinden sich damit rechtlich im Verzug, und Bußgelder sind grundsätzlich möglich. Die gute Nachricht ist jedoch: In der aktuellen Praxis zeigen sich die Behörden noch zurückhaltend bei der Sanktionierung. Dieses Zeitfenster sollten Unternehmen unbedingt nutzen – aber nicht als Einladung zum Aufschieben, sondern als letzte Gelegenheit zum Aufholen. Ich rechne jedoch ab Mitte des Jahres 2026 mit einer strengeren Aufsicht, jedenfalls was die Registrierung angeht.
Die Registrierung sollte ohne weitere Verzögerung durchgeführt werden. Jeder zusätzliche Tag erhöht das Risiko – nicht nur regulatorisch, sondern auch organisatorisch.
Falls immer noch Unsicherheit besteht, ob das eigene Unternehmen überhaupt unter NIS-2 fällt, sollte dies parallel geklärt werden. „Wir prüfen noch“ ist keine tragfähige Dauerstrategie. Unternehmen sollten zügig zu einer belastbaren Entscheidung kommen.
Auch wenn die Registrierung im Fokus steht, ist sie nur der erste Schritt. Unternehmen sollten gleichzeitig Verantwortlichkeiten festlegen, Kontaktstellen definieren und erste Meldeprozesse aufsetzen.
Das reduziert Risiken im Fall einer kurzfristigen Prüfung oder eines Sicherheitsvorfalls. Wer jetzt handelt, kann den Rückstand noch kontrolliert aufholen. Wer weiter abwartet, erhöht die Wahrscheinlichkeit, unter Druck reagieren zu müssen. Und genau das macht die Umsetzung erfahrungsgemäß deutlich schwieriger.
Welche Schulungsanforderungen gelten für die Geschäftsleitung?
Dr. Matthias Zuchowski: NIS-2 adressiert die Geschäftsleitung direkt, denn sie tragen die Verantwortung für die Umsetzung und Überwachung von Cybersicherheitsmaßnahmen. Sie müssen daher über entsprechendes Wissen verfügen. Die Geschäftsleitung übernimmt unter NIS-2 die Rolle eines Steuerungsgremiums für Cyberrisiken. Ohne grundlegendes Verständnis lässt sich diese Rolle kaum ausfüllen.
Die Schulungspflicht umfasst verschiedene Aspekte und reicht vom grundsätzlichen Verständnis von Cyberrisiken und Risikomanagement bis hin zu Kenntnissen zu Risikomanagement-Maßnahmen nach dem BSI-Gesetz, damit die Verantwortliche die Umsetzung im Unternehmen bewerten und überwache können.
Die Schulungen sollten regelmäßig stattfinden und sowohl strategische als auch operative Aspekte abdecken. Ein reines „Einmal-Training“ reicht definitiv nicht aus, da sich die Cybersicherheitslage und regulatorische Anforderungen kontinuierlich weiterentwickeln.
Welche Risiken entstehen, wenn Unternehmen untätig bleiben?
Dr. Matthias Zuchowski: Untätigkeit führt nicht zu einem einzelnen Risiko, sondern zu einer Kaskade von Problemen. Auf organisatorischer Ebene fehlen klare Zuständigkeiten und Kommunikationswege. Wenn sich im Unternehmen niemand damit beschäftigt, wo die geschäftskritischen IT-Risiken liegen, ist es auch sehr unwahrscheinlich, dass zufällig dort angemessene Sicherheitsmaßnahmen umgesetzt sind. Viel wahrscheinlicher ist ein Flickenteppich an teuren und vergleichsweise nutzlosen Maßnahmen, gekoppelt mit klaffenden Sicherheitslücken an entscheidender Stelle. Das führt dazu, dass Sicherheitsvorfälle nicht strukturiert bearbeitet werden können.
Operativ steigt das Risiko, dass Vorfälle zu spät erkannt oder falsch eingeschätzt werden. Hinzu kommt der Aspekt des Reputationsverlustes: Wenn Unternehmen im Krisenfall unkoordiniert reagieren, wirkt das schnell wie mangelnde Kontrolle – sowohl gegenüber Kunden als auch gegenüber Partnern. Auf rechtlicher Ebene drohen Bußgelder, sobald Fristen nicht eingehalten werden. Aktuell fährt die Aufsicht einen kooperativen Ansatz. Das können Verantwortliche nutzen, denn das BSI bietet viele Hilfen an.
Kurz gesagt: Das größte Risiko ist nicht die Regulierung selbst, sondern die fehlende Fähigkeit, strukturiert darauf zu reagieren.
Worauf müssen Unternehmen bei den Meldeprozessen achten?
Dr. Matthias Zuchowski: Meldeprozesse sind das Herzstück der operativen Umsetzung. Sie verbinden interne Sicherheitsmaßnahmen mit externen Anforderungen. Dabei steht zunächst nicht die Behördenmeldung im Vordergrund, sondern die Meldung an die internen Stellen, die im Unternehmen das Schlimmste vielleicht noch verhindern können.
Ein wirksamer Meldeprozess umfasst klare Kriterien zur Einstufung von Sicherheitsvorfällen, eine strukturierte Erfassung von Ursache, Auswirkungen und Maßnahmen sowie definierte Eskalationswege innerhalb des Unternehmens und nicht zuletzt eine schnelle und vollständige Kommunikation mit dem BSI, die auch auf dessen Rückmeldungen reagieren kann.
Wie gehen Unternehmen die nächsten Schritte strukturiert an?
Dr. Matthias Zuchowski: Ein strukturiertes Vorgehen reduziert Komplexität und schafft Orientierung. Für die Praxis empfehle ich ein sechsstufiges Modell.
Zunächst sollten Verantwortliche systematisch prüfen, ob und warum das eigene Unternehmen unter NIS-2 fällt. Danach sollten sie sich registrieren und dabei alle erforderlichen Daten sauber hinterlegen. Im nächsten Schritt ist eine Governance-Struktur im Unternehmen zu etablieren. Hier sollten Rollen, Verantwortlichkeiten und Entscheidungswege eindeutig definiert werden. Anschließend müssen Prozesse implementiert und Meldewege, Eskalationsmechanismen und Kommunikationsstrukturen aufgesetzt werden. Führen Sie mit diesen Strukturen eine klare Risikoanalyse durch, und schauen Sie, wo bei Ihnen die Lücken sind. In allen Punkten ist übrigens die Geschäftsleitung einzubinden. Und nicht zuletzt sollten alle Maßnahmen regelmäßig geprüft und angepasst werden.
Aus meiner Sicht ist es entscheidend, NIS-2 nicht isoliert zu betrachten. Viele Anforderungen lassen sich sinnvoll mit bestehenden Vorgaben wie ISO 27001 oder internen Compliance-Strukturen verzahnen. Das erleichtert nicht nur die Umsetzung, sondern sorgt auch dafür, dass Sicherheitsmaßnahmen langfristig im Unternehmen verankert werden.
Kannst du noch ein kurzes Fazit ziehen?
Dr. Matthias Zuchowski: Die Registrierung ist der erste sichtbare Schritt – aber nicht der entscheidende. Der eigentliche Mehrwert entsteht durch eine systematische Sicht auf Ihre IT-Risiken, funktionierende Prozesse, klare Zuständigkeiten und ein gemeinsames Verständnis des Themenkomplexes Cyberrisiken. Oder anders gesagt: NIS-2 verlangt keine Perfektion. Aber es verlangt Struktur – und die sollte im Alltag tragen.
