Die Frist ist abgelaufen — was nun?
Die Registrierungspflicht gemäß §33 BSIG schrieb vor, dass sich betroffene Unternehmen innerhalb von drei Monaten nach Inkrafttreten des NIS2UmsuCG beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Das Gesetz trat am 6. Dezember 2025 in Kraft — die Frist lief damit am 6. März 2026 ab.
Wenn Ihr Unternehmen diese Frist verpasst hat, sind Sie nicht allein. Viele Mittelständler haben die Betroffenheit erst spät erkannt oder waren sich der kurzen Registrierungsfrist nicht bewusst.
Droht jetzt ein Bußgeld?
Formal ja: Die verspätete oder unterlassene Registrierung ist eine bußgeldbewehrte Ordnungswidrigkeit gemäß §33 BSIG, mit Strafen bis zu €500.000.
In der Praxis: Das BSI hat öffentlich kommuniziert, dass in der Anfangsphase keine Sanktionen für verspätete Registrierungen verhängt werden. Mehrere renommierte Kanzleien (Greenberg Traurig, Taylor Wessing, Bird & Bird) bestätigen diese Kulanzphase.
Wichtig: Dies ist eine administrative Kulanz — keine rechtliche Befreiung. Das BSI kann diese Haltung jederzeit ändern. Die Registrierung sollte daher so schnell wie möglich nachgeholt werden.
So holen Sie die Registrierung nach
Die Registrierung erfolgt über das MUK-Portal (Melde- und Unterrichtungskanal) des BSI. Dafür benötigen Sie: den vollständigen Firmennamen und die Rechtsform, Ihre Branche und Sektor-Zuordnung (Anhang I oder II), die Kontaktdaten einer benannten Kontaktstelle für Cybersicherheitsvorfälle, und grundlegende Angaben zu Ihren Diensten und IT-Infrastruktur.
Tipp: Benennen Sie vorab einen internen Ansprechpartner als Kontaktstelle. Das BSI erwartet, dass Sicherheitsvorfälle über diesen Kanal gemeldet werden können.
Registrierung ist nur der erste Schritt
Die BSI-Registrierung erfüllt nur eine von vielen NIS2-Pflichten. Die eigentlichen Anforderungen — Risikomanagement (§30 BSIG), Meldepflichten (§32 BSIG), Management-Schulung (§38 BSIG) — gelten unabhängig von der Registrierung ab dem Tag des Inkrafttretens.
Spätestens innerhalb von drei Jahren nach Inkrafttreten (also bis Dezember 2028) müssen betroffene Unternehmen die Umsetzung aller Maßnahmen nachweisen können (§39 BSIG). Erste BSI-Prüfungen werden bereits Ende 2026 erwartet.
Unsere Empfehlung
Registrieren Sie sich umgehend beim BSI — die Kulanzphase ist zeitlich begrenzt. Nutzen Sie den Registrierungsprozess als Anlass, eine vollständige Bestandsaufnahme Ihrer Cybersicherheit durchzuführen.
KONFORM unterstützt Sie bei der nachträglichen Registrierung und bei der Planung aller weiteren Umsetzungsschritte — mit einer kostenlosen Ersteinschätzung innerhalb von 48 Stunden.
Brauchen Sie Unterstützung bei der Umsetzung?
KONFORM begleitet Sie von der Ersteinschätzung bis zur vollständigen Compliance — persönlich und zum Festpreis.