Registrierungspflicht abgelaufen
Die Frist ist abgelaufen: Alle Unternehmen in Deutschland, die unter die NIS2-Richtlinie fallen, mussten sich bis zum 6. März 2026 beim BSI registrieren. Das hat das im Dezember 2025 in Kraft getretene NIS2-Umsetzungsgesetz vorgeschrieben. Wie aus einer aktuellen Studie hervorgeht, sind viele Firmen dieser Pflicht bislang nicht nachgekommen. Häufig, weil sie das Thema unterschätzen – und eine eigene Betroffenheit vorschnell ausschließen. Dies kann erhebliche Konsequenzen haben.
10. März 2026
|
Lesedauer: ca. 2 Min.
Bild: © weyo/stock.adobe.com
Laut dem „Cyber Security Report 2026“, der am 5. März 2026 von Schwarz Digits veröffentlicht wurde, unterschätzen fast die Hälfte der 1001 befragten Unternehmen in Deutschland ihre regulatorische Betroffenheit durch NIS2 erheblich. Demnach glauben 48 Prozent womöglich fälschlicherweise, nicht von NIS2 betroffen zu sein.
Besonders brisant sei die Situation bei Kleinunternehmen mit 10 bis 49 Mitarbeitern und einem Jahresumsatz von über 10 Millionen Euro. Hier gingen 92 Prozent automatisch davon aus, dass sie nicht unter die NIS2-Regularien fallen. Laut Studie könnte dies jedoch ein gefährlicher Trugschluss sein. Denn mit einem Umsatz von über 10 Millionen Euro sei die für NIS2 entscheidende Umsatzgrenze überschritten – sodass grundsätzlich die Möglichkeit bestehe, NIS2-pflichtig zu sein (sofern die jeweiligen Unternehmen zu einem regulierten Sektor gehören, Anm. d. Red.). Es könnte sich deshalb rächen, sich einfach in Sicherheit zu wiegen.
Denn sie würden nicht nur schmerzhafte Sanktionen, sondern auch die operative Substanz des eigenen Unternehmens riskieren. Das betont Christian Müller, Co-CEO von Schwarz Digits, in der offiziellen Pressemitteilung.
Ähnlich äußert sich Alexander Ernst (Director Competence Center Network & Security bei CANCOM). „Die Strafen können gerade für den Mittelstand existenzbedrohend sein“, betont der CANCOM-Experte. Konkret drohen bei Nichteinhaltung der NIS2-Pflichten Bußgelder in Höhe von bis zu 10 Millionen Euro bzw. zwei Prozent des weltweiten Jahresumsatzes.
Für Alexander Ernst steht fest: Die Zeit des Abwartens ist für Firmen mehr denn je vorbei. „Wer jetzt prüft, ob und welche NIS2-Pflichten gelten, Lücken in Prozessen aufdeckt und Melde- sowie Incident-Prozesse konsequent etabliert, reduziert nicht nur Risiken und Bußgelder, sondern stärkt gleichzeitig die gesamte Cyber-Resilienz“, so der CANCOM-Experte. „Wer zögert, riskiert Haftung, Ausfallzeiten und Reputationsverlust – die Zeit zu handeln ist jetzt.“
Um Unternehmen beim Thema NIS2 zu unterstützen, bietet CANCOM ein ganzheitliches Leistungsportfolio an. Dieses reicht von der Prüfung des Status quo im Rahmen eines NIS2 Readiness Assessments, über die Identifizierung und Priorisierung nötiger Maßnahmen bis hin zum Aufbau oder der Optimierung des ISMS (Informationssicherheits-Managementsystems), des Risikomanagements und von Notfallprozessen.
Wie Alexander Ernst hervorhebt, müssen Firmen dabei eines beachten: Die Umsetzung von NIS2 ist kein einmaliger Vorgang, sondern ein fortlaufender Prozess.
Nähere Informationen rund um die praktische Umsetzung von NIS2 erfahren Sie auch in diesem Artikel. Allgemeine Informationen zu NIS2, inklusive Kontaktmöglichkeit, finden Sie hier.
