NIS-2-Update, der Reality-Check: Was ab April 2026 zu tun ist
Rund 38 Prozent. So lautet die nüchterne Zahl der betroffenen Unternehmen in Deutschland, die sich bis zur ersten NIS-2-Frist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert haben.

20. Mai 2026, 12:35 Uhr · Quelle: Pressebox

Foto: Pressebox

NIS-2 Update

Die NIS-2-Registrierungsfrist ist verstrichen. Betroffene Unternehmen müssen nun Sicherheitsmaßnahmen umsetzen, um Bußgelder und Haftungsrisiken zu vermeiden.

Lübeck, 20.05.2026 (PresseBox) - Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft, und die Frist zur Erstregistrierung lief am 6. März 2026 ab. Wer bis dahin nichts unternommen hat, befindet sich jetzt bereits formal in einem Verstoß. Das ist kein Ausblick auf eine mögliche Zukunft, sondern die Realität in vielen deutschen Unternehmen heute.

Dabei ist das Thema nicht neu. In unseren ersten beiden NIS-2-Artikeln haben wir ausführlich beschrieben, wer betroffen ist und welche konkreten Maßnahmen gefordert werden. Nun ist der Moment für ein NIS-2-Update: Wo steht Deutschland? Welche Fristen sind abgelaufen und was müssen Unternehmen jetzt konkret tun?

Die gute Nachricht: Wer jetzt handelt, kann das Ruder noch herumreißen. Mehr noch: Wer NIS-2-Anforderungen strukturiert angeht, kann daraus einen echten Wettbewerbsvorteil formen. Dieser Artikel zeigt, wie das geht.

Der Stand nach dem 6. März: Ernüchternd, aber nicht hoffnungslos
Das Bild ist deutlich: Nur ein kleiner Teil (die oben genannten 38%) der rund 29.000 betroffenen deutschen Unternehmen hat sich fristgerecht registriert. Dabei war die Erstregistrierung beim BSI vergleichsweise unkompliziert. Dennoch blieb die große Mehrheit untätig. Das lässt erahnen, in welchem Rückstand viele Unternehmen hinsichtlich der eigentlichen inhaltlichen NIS-2-Anforderungen stehen.

Das BSI als zuständige Aufsichtsbehörde hat weitreichende Befugnisse erhalten: Es darf Nachweise anfordern, Audits einleiten und bei nachgewiesenen Verstößen hohe Bußgelder verhängen (siehe NIS2UmsuCG, §65).

Besonders wichtige Einrichtungen (große Unternehmen in kritischen Sektoren
bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Wichtige Einrichtungen (mittelgroße Unternehmen in relevanten Sektoren):
bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes, wiederum der jeweils höhere Betrag.
Auch wichtig zu wissen: Das NIS2UmsuCG sieht nun eine persönliche Haftung der Geschäftsführung vor.

Dies verdeutlicht: Die Regulierung ist ernst gemeint und die zuständigen Behörden wurden befähigt, durchzugreifen. Unternehmen, die jetzt strukturiert vorgehen, verschaffen sich einen Vorsprung gegenüber dem breiten Feld der Wartenden.

Abwarten ist ab sofort keine Strategie mehr
Mit dem Ablauf der Registrierungsfrist am 6. März ist eine wichtige Schwelle überschritten: Es gibt keine Übergangsfristen mehr, keine impliziten Schonfenster. Das NIS2UmsuCG ist geltendes Recht, und wer die Anforderungen nicht erfüllt, ist im Verstoß, auch ohne, dass das BSI bisher aktiv eingeschritten ist.

Besonders relevant: Schon die ausgebliebene Registrierung stellt einen solchen Verstoß dar. Das bedeutet nicht zwangsläufig, dass morgen ein Bußgeldbescheid im Briefkasten liegt. Es bedeutet aber, dass Rechtsrisiken real sind und mit jeder weiteren Verzögerung wachsen. Zudem wird NIS-2-Konformität zunehmend in Ausschreibungen und Lieferkettenbewertungen abgefragt; Kunden und Partner setzen das voraus. Die entscheidende Frage lautet daher nicht mehr: Müssen wir das wirklich tun? Sondern: Wo fangen wir an und wie setzen wir es richtig um?

Was jetzt konkret zu tun ist, mit Beispielen aus der Praxis
Kurzer Reality-Check: Muss mein Unternehmen handeln?
Wenn Sie heute nicht mit Sicherheit sagen können, welche OT-Systeme in Ihrem Netzwerk online erreichbar sind – oder wer in Ihrem Unternehmen als Erstes benachrichtigt werden müsste, sollte ein Cyberangriff Ihre Produktionssysteme treffen – dann gehören Sie zu den Unternehmen, die jetzt handeln müssen. Die vier folgenden Handlungsfelder geben Ihnen einen ersten, konkreten Anhaltspunkt.

1. Incident Management

Zuständig: IT-Leiter oder CISO
NIS-2 verpflichtet betroffene Unternehmen, bei erheblichen Sicherheitsvorfällen innerhalb von 24 Stunden eine erste Meldung beim BSI abzugeben. Dafür braucht es einen klaren, dokumentierten Incident-Response-Prozess, der schriftlich festlegt, welche Schritte im Ernstfall zu durchlaufen sind.
- Wer ist intern der erste Ansprechpartner?
- Wer entscheidet, ob ein Vorfall meldepflichtig ist?
- Welche Informationen müssen an das BSI übermittelt werden, und in welchem Format?
Wichtig für Fertigungsunternehmen: OT-Vorfälle, etwa der Ausfall einer Steuerungseinheit durch einen Angriff, folgen anderen Eskalationspfaden als IT-Vorfälle. Beide müssen im Prozess abgebildet sein, noch bevor der Ernstfall eintritt.

2. Technische Mindestanforderungen

Zuständig: OT-/Anlagenverantwortliche und IT-Sicherheit gemeinsam
Netzwerksegmentierung, Multi-Faktor-Authentifizierung für privilegierte Zugänge und geregeltes Patch-Management sind Pflicht. Der Haken im OT-Umfeld: Viele Legacy-Protokolle wie Modbus oder OPC DA können nicht aktualisiert werden, und Patches lassen sich nicht ohne Produktionsstopp einspielen.
Flächendeckendes Monitoring und eine gute Trennung zwischen OT- und IT-Netzwerken sind hier umso wichtiger. edge.SHIELDOR wurde für genau diesen Anwendungsfall entwickelt: OT-Netzwerke sicherer machen, ohne in laufende Produktionsprozesse einzugreifen.

3. Lieferkettensicherheit

Zuständig: Einkauf gemeinsam mit IT-Sicherheit
NIS-2 verpflichtet Unternehmen ausdrücklich, auch ihre Lieferkette sicherheitstechnisch im Blick zu behalten. In der Praxis bedeutet das: Lieferanten und externe Dienstleister nach Kritikalität klassifizieren.
- Wer hat Fernzugriff auf Ihre Produktionsanlagen?
- Wer teilt Netzwerksegmente mit Ihren Systemen?
Für diese Partner empfiehlt sich ein strukturiertes Supplier-Assessment, z.B. ein Fragebogen zur IT/OT Sicherheitslage, der als Grundlage für Vertragsklauseln oder Rahmenvereinbarungen dienen kann.

4. Schulungen und Sensibilisierung

Zuständig: HR und IT-Sicherheit
Technische Maßnahmen greifen nur, wenn die Menschen dahinter mitziehen. NIS-2 fordert Nachweise, dass Mitarbeitende für Cyberrisiken sensibilisiert werden. OT-Operatoren und Maschinenbedienende haben dabei andere Bedrohungsprofile als Büromitarbeiter; Schulungen sollten das widerspiegeln.
Einmalige Jahresschulungen genügen dabei kaum. Wirksam sind rollenspezifische Trainings mit praxisnahen Szenarien sowie regelmäßige Updates bei neu identifizierten Bedrohungslagen.

Was Sie jetzt tun können

Registrierung beim BSI nachholen: Falls noch nicht geschehen, ist das der dringlichste erste Schritt. Das BSI-Portal ist zugänglich, die Registrierung selbst erfordert relativ wenig Aufwand.
Gap-Analyse durchführen: Prüfen Sie systematisch, welche NIS-2-Anforderungen bereits erfüllt sind und wo Lücken bestehen. Eine strukturierte Selbstauskunft oder ein externes Audit schafft Klarheit und Prioritäten.
Incident-Response-Prozess dokumentieren und testen: Legen Sie schriftlich fest, wer bei einem Sicherheitsvorfall was tut. Benennen Sie konkrete Ansprechpartner, intern und für die BSI-Meldung, und testen Sie den Ablauf in einer Übung.
Lieferanten-Assessment einleiten: Beginnen Sie mit den kritischsten Partnern: Wer hat Zugriff auf Ihre Produktionssysteme? Erstellen Sie eine Übersicht und prüfen Sie Verträge auf Sicherheitsanforderungen.

Vom Compliance-Risiko zum Wettbewerbsvorteil
Unternehmen, die NIS-2 jetzt ernstnehmen, tun mehr als nur Bußgelder zu vermeiden. Sie bauen etwas auf, das in der industriellen Lieferkette zunehmend nachgefragt wird: nachweisbare Cybersicherheit. In regulierten Branchen wie der Automobilindustrie, dem Maschinenbau und der Lebensmittelproduktion fragen Einkaufsabteilungen aktiv nach der Sicherheitslage ihrer Lieferanten. Wer heute in Incident Management, Netzwerksegmentierung und Lieferkettenbewertung investiert, positioniert sich als zuverlässiger, zukunftsfähiger Partner, ein konkreter Marktvorteil.

TRIOVEGA ist nach IEC 62443 zertifiziert und begleitet gemeinsam mit seinen Partnern Fertigungsunternehmen von der Gap-Analyse über die technische Umsetzung bis zur dauerhaften Betriebsunterstützung. Nutzen Sie die Chance, die strukturiertes Handeln jetzt bietet.

Jetzt handeln, strukturiert und chancenorientiert
NIS-2 ist keine Einmalaufgabe, sondern eine dauerhafte Anforderung an die Sicherheitsreife von Organisationen. Der 6. März 2026 war ein Datum, das viele verpasst haben, es markiert aber auch den Startpunkt für eine strukturierte Aufholjagd. Wer mit einer belastbaren Bestandsaufnahme, klaren Prozessen und gezielten technischen Maßnahmen beginnt, kann die Compliance-Lücke schließen und dabei die eigene Wettbewerbsfähigkeit stärken.

Mehr Hintergrund zu NIS-2 finden Sie in unseren früheren Artikeln: NIS-2-Richtlinie wird Gesetz und NIS-2: Welche Maßnahmen die Industrie jetzt umsetzen muss. Wenn Sie wissen möchten, wo Ihr Unternehmen heute steht, vereinbaren Sie gerne einen unverbindlichen Beratungstermin mit unserem Team.

Sicherheit / NIS-2 / NIS2UmsuCG / BSI / Cybersicherheit / Incident Management / Lieferkettensicherheit
[pressebox.de] · 20.05.2026 · 12:35 Uhr
[0 Kommentare]