BSI-Registrierung NIS2 verpasst — was jetzt? 5 Schritte zur Nachregistrierung

Von David Oberholzner | CompliantDesk | Mai 2026

Die dreimonatige Registrierungsfrist für NIS2-betroffene Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ist am 6. März 2026 abgelaufen. Tausende Unternehmen haben sie verpasst — viele wissen bis heute nicht, dass sie überhaupt betroffen sind.

Die gute Nachricht: Eine verspätete Registrierung im MUK-Portal ist weiterhin möglich und ausdrücklich empfohlen. Die schlechte Nachricht: Wer nicht registriert ist, begeht bereits jetzt eine Compliance-Verletzung — mit drohenden Bußgeldern bis zu 10 Millionen Euro und persönlicher Haftung der Geschäftsleitung.

Dieser Artikel erklärt, was das konkret bedeutet, welche Konsequenzen drohen und wie Sie die Situation in fünf Schritten bereinigen.

Was ist passiert?

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) trat am 6. Dezember 2025 in Kraft — ohne Übergangsfrist. Am 6. Januar 2026 ging das BSI-Registrierungsportal (MUK) online. Betroffene Unternehmen hatten drei Monate Zeit, sich zu registrieren.

Diese Frist ist am 6. März 2026 abgelaufen.

Betroffen sind rund 29.500 Unternehmen in Deutschland: Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in 18 Sektoren — von Energie und Gesundheit über Fertigung und Maschinenbau bis hin zu IT-Dienstleistern und digitaler Infrastruktur.

Bin ich überhaupt betroffen?

Viele KMU unterschätzen die Reichweite von NIS2. Die Betroffenheit hängt an zwei Faktoren: Unternehmensgröße und Sektorzugehörigkeit.

Besonders wichtige Einrichtungen sind Unternehmen ab 250 Mitarbeitern oder über 50 Mio. Euro Umsatz in Sektoren der Anlage 1 — plus größenunabhängig qualifizierte Vertrauensdiensteanbieter, TLD-Registries, DNS-Dienste und TK-Anbieter.

Wichtige Einrichtungen sind Unternehmen ab 50 Mitarbeitern oder über 10 Mio. Euro Umsatz in Sektoren der Anlage 1 und 2 — darunter auch Maschinenbau, Lebensmittelproduktion, Abfallwirtschaft, Post und Kurier, Chemie und Forschung.

Wenn Sie unsicher sind: Das BSI bietet eine Betroffenheitsprüfung auf seiner Website an. Oder Sie nutzen den kostenlosen NIS2-Check von CompliantDesk — der führt Sie in 10 Minuten durch die Prüfung und dokumentiert das Ergebnis. Eine 10-Punkte-Checkliste mit den wichtigsten NIS2-Pflichten für KMU gibt es als Folge-Artikel.

Was droht bei Nicht-Registrierung?

Die fehlende Registrierung ist ein eigenständiger Bußgeldtatbestand. Das bedeutet: Selbst wenn Sie alle technischen Maßnahmen umgesetzt haben — ohne Registrierung sind Sie nicht compliant.

Die Bußgelder nach dem NIS2UmsuCG staffeln sich nach Schwere und Unternehmenstyp:

• Besonders wichtige Einrichtungen: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
• Wichtige Einrichtungen: bis zu 7 Mio. Euro oder 1,4 % des Umsatzes

Hinzu kommt: Die Geschäftsleitung haftet persönlich. NIS2 macht Cybersicherheit zur Chefsache — die Verantwortung ist nicht delegierbar. Wer als Geschäftsführer nachweislich keine angemessenen Maßnahmen ergriffen hat, haftet mit seinem Privatvermögen.

5 Schritte: Registrierung nachholen und NIS2-Compliance aufbauen

Schritt 1: ELSTER-Organisationszertifikat beantragen

Die Registrierung im BSI-Portal (MUK) erfordert ein ELSTER-Organisationszertifikat. Falls Ihr Unternehmen noch keines hat: Beantragen Sie es sofort bei der Finanzverwaltung. Die Ausstellung dauert einige Werktage.

Falls Sie bereits ein ELSTER-Zertifikat für Steuerzwecke nutzen, prüfen Sie ob es als Organisationszertifikat (nicht persönliches Zertifikat) vorliegt.

Schritt 2: Im MUK-Portal registrieren

Gehen Sie auf muk.bsi.bund.de und registrieren Sie Ihr Unternehmen. Sie benötigen:

• Stammdaten des Unternehmens
• Sektorzugehörigkeit gemäß NIS2 (Anlage 1 / Anlage 2)
• Eine Kontaktperson für Sicherheitsmeldungen (24/7 erreichbar)

Die verspätete Registrierung ist weiterhin möglich. Das BSI hat klargestellt, dass eine nachträgliche Registrierung positiv bewertet wird — sie zeigt, dass das Unternehmen reagiert.

Schritt 3: Betroffenheit dokumentieren

Halten Sie schriftlich fest, warum Ihr Unternehmen unter NIS2 fällt (oder nicht). Diese Dokumentation ist wichtig für den Fall einer Prüfung. Dokumentieren Sie:

• Sektorzuordnung
• Unternehmensgröße (Mitarbeiter und Umsatz)
• Zeitpunkt der Feststellung
• Verantwortliche Person für die Bewertung

Schritt 4: Risikomanagementmaßnahmen starten

NIS2 fordert in §30 BSIG Maßnahmen in zehn Bereichen: Risikoanalyse und Sicherheitskonzepte, Bewältigung von Sicherheitsvorfällen, Backup-Management und Krisenmanagement, Sicherheit der Lieferkette, Sicherheit bei Erwerb und Entwicklung von IT-Systemen, Konzepte zur Bewertung der Wirksamkeit, grundlegende Cyber-Hygiene und Schulungen, Kryptografie, Personalsicherheit und Zugangskontrollen sowie Multi-Faktor-Authentifizierung.

Sie müssen nicht alles auf einmal haben. Aber Sie müssen nachweisen können, dass Sie systematisch daran arbeiten. Ein strukturiertes Assessment ist der beste Startpunkt — in CompliantDesk lässt sich der gesamte Maßnahmenplan automatisiert aus dem NIS2-Check ableiten.

Schritt 5: Meldepflichten einrichten

Seit Inkrafttreten des Gesetzes gelten die Meldepflichten für erhebliche Sicherheitsvorfälle:

• 24 Stunden für eine Frühwarnung an das BSI
• 72 Stunden für einen detaillierten Bericht mit Bewertung und Auswirkungsanalyse
• Ein Monat für den Abschlussbericht

Stellen Sie sicher, dass Ihr Unternehmen einen Prozess hat, um diese Fristen einzuhalten. Wer einen Vorfall nicht meldet, riskiert ein zusätzliches Bußgeld — unabhängig von der Registrierung. Wie der 24-Stunden-Prozess konkret aussieht, beschreibt der Artikel zur Cyberangriff-Meldung in 24 Stunden.

ISO 27001 allein reicht nicht

Wenn Ihr Unternehmen bereits ein ISMS nach ISO 27001 betreibt, decken Sie erfahrungsgemäß 70 bis 80 Prozent der NIS2-Anforderungen ab. Das ist eine gute Ausgangslage — aber es reicht nicht.

Die verbleibenden 20 bis 30 Prozent betreffen NIS2-spezifische Pflichten:

• Die BSI-Registrierung selbst
• Das gestufte Meldeverfahren nach §32 BSIG
• Die Geschäftsleitungspflichten nach §38 BSIG

Diese Lücken müssen gezielt geschlossen werden — wie das mit einer ISO-27001-tauglichen Software gelingt, beschreibt unser Artikel zur ISO 27001-Software für KMU.

Was IT-Dienstleister jetzt tun können

Für IT-Dienstleister und Managed Service Provider bietet die aktuelle Situation eine konkrete Chance: Viele Ihrer Kunden sind betroffen und wissen es nicht. Oder sie wissen es, haben aber keine Ahnung wo sie anfangen sollen.

Ein strukturiertes NIS2-Assessment als Einstieg — gefolgt von einem priorisierten Maßnahmenplan — ist genau das, was diese Kunden jetzt brauchen. Das ist kein einmaliges Projekt, sondern ein laufendes Managed Compliance Angebot.

Fazit

Die Registrierungsfrist ist abgelaufen, aber die Tür ist nicht zu. Wer jetzt handelt, kann die Situation bereinigen — wer weiter wartet, riskiert Bußgelder und persönliche Haftung der Geschäftsleitung.

Der erste Schritt kostet keine 30 Minuten: Betroffenheit prüfen, ELSTER-Zertifikat beantragen, im MUK-Portal registrieren. Alles weitere — Risikoanalyse, Maßnahmenplan, Meldeprozesse — lässt sich systematisch aufbauen.

Wer die NIS2-Anforderungen nicht im Alleingang stemmen will, findet mit einer strukturierten Compliance-Plattform wie CompliantDesk und einem erfahrenen IT-Partner den schnellsten Weg zur Compliance. Den kostenlosen NIS2-Betroffenheitscheck gibt es ohne Registrierung in unter 10 Minuten.

---

Dieser Artikel dient der allgemeinen Information und ersetzt keine rechtliche Beratung. Für eine verbindliche Einschätzung Ihrer NIS2-Betroffenheit empfehlen wir die offizielle Betroffenheitsprüfung des BSI oder die Konsultation eines spezialisierten Beraters.