Laut veröffentlichten Informationen hatten zum Inkrafttreten des NIS2-Gesetzes am 6. Dezember 2025 nur 12,1 Prozent der betroffenen Unternehmen NIS2 vollständig umgesetzt. Das bedeutet: Fast neun von zehn Firmen, die gesetzlich zur Compliance verpflichtet sind, verstoßen seit dem ersten Tag gegen geltendes Recht — still, ohne Incident, ohne Klage, aber dennoch mit vollem Haftungsrisiko für die Geschäftsführung.
Bis zum Ende der BSI-Registrierungsfrist am 6. März 2026 registrierten sich rund 11.500 von etwa 29.850 betroffenen Unternehmen fristgerecht — das entspricht etwa 38,5 Prozent. Der Rest fehlt. Nicht weil die Anforderungen unklar wären, sondern weil die Umsetzung unterschätzt, verschoben oder ignoriert wurde.
Das NIS2UmsuCG trat am 6. Dezember 2025 in Kraft und verpflichtet rund 29.500 Unternehmen in 18 Sektoren zu Risikomanagement, Vorfallsmeldung und Registrierung beim BSI. Statt der bisherigen rund 4.500 regulierten Organisationen erfasst das neue Gesetz auch mittlere und große Unternehmen in Sektoren wie Abfallwirtschaft, Lebensmittelproduktion, Chemie und digitale Infrastruktur.
Entscheidend: Das Gesetz sieht keine Übergangsfristen vor. Unternehmen müssen Compliance ab dem ersten Tag nachweisen können. Wer auf eine Schonfrist gehofft hat, wurde enttäuscht — und steht seitdem täglich mit einem Bein im Bußgeldbereich.
Die zehn zentralen Maßnahmenbereiche nach §30 BSIG umfassen unter anderem Risikomanagement, Kryptografie, Zugangskontrolle, Patch-Management, Business-Continuity-Pläne und Lieferkettensicherheit. Dazu kommt eine dreistufige Meldepflicht: Innerhalb von 24 Stunden nach Kenntniserlangung muss eine Frühwarnung an das BSI gehen. Innerhalb von 72 Stunden folgt ein detaillierter Zwischenbericht mit Ursachenanalyse und Indicators of Compromise.
Die Gründe sind nicht monokausal. Sie folgen einem Muster, das sich bei Regulierungsprojekten dieser Größenordnung regelmäßig wiederholt:
Die Konsequenzen sind zweischichtig — finanziell und persönlich. Bußgelder drohen nicht erst bei einem Vorfall, sondern bereits bei fehlenden Maßnahmen. Bei einer Grundgesamtheit von 29.500 Einrichtungen befinden sich mehr als 7.000 Unternehmen seit Dezember 2025 in einem Zustand, in dem sie gegen geltendes Recht verstoßen — jeden Tag, an dem sie untätig bleiben.
Einrichtungstyp
Bußgeld (maximal)
Zusätzliches Risiko
Besonders wichtige Einrichtung
10 Mio. € oder 2 % Jahresumsatz
Persönliche GF-Haftung
Wichtige Einrichtung
7 Mio. € oder 1,4 % Jahresumsatz
Persönliche GF-Haftung
Nicht registriert (alle)
Eigenständiger Bußgeldtatbestand
Sofortige Registrierungspflicht
Besonders gravierend: Die Geschäftsführerhaftung ist nicht delegierbar und kann zum Einsatz des Privatvermögens führen. Das macht NIS2 zu einem Thema, das nicht in der IT-Abteilung geparkt werden kann — und das Vorstände und Geschäftsführer persönlich auf der Agenda haben müssen, unabhängig von Branche und Unternehmensgröße.
Fünf Branchen stehen unter besonders hohem Umsetzungsdruck, weil ihre Strukturen die Anforderungen besonders komplex machen: Energieversorgung mit vernetzter OT-Infrastruktur, Gesundheitswesen mit veralteten Medizingeräten auf ungepatchten Betriebssystemen, industrielle Produktion mit tiefen Lieferketten, Logistik und Transport sowie digitale Infrastruktur. In der fertigenden Industrie entfielen allein im ersten Halbjahr 2025 rund 800 Angriffe auf diesen Sektor — 7 Prozent aller beobachteten Vorfälle.
NIS2 trifft dabei nicht nur klassische KRITIS-Betreiber. Auch Unternehmen, die digitale Dienste für andere bereitstellen, fallen unter die Regulierung — darunter Online-Plattformen, Hosting-Anbieter und digitale Marktplätze. VerdeCasino ist ein Beispiel dafür, wie Online-Unterhaltungsplattformen in einem zunehmend regulierten digitalen Umfeld operieren, in dem Datensicherheit, Vorfallsmeldung und Risikomanagement keine optionalen Features mehr sind, sondern gesetzliche Mindeststandards — unabhängig davon, in welchem EU-Markt die Plattform aktiv ist.
Wer die BSI-Registrierungsfrist am 6. März 2026 verpasst hat, sollte die Registrierung sofort nachholen. Eine verspätete Registrierung zeigt dem BSI, dass das Unternehmen reagiert — nicht registriert zu sein ist hingegen ein eigenständiger Bußgeldtatbestand.
Der praktische Weg zur Compliance folgt einer klaren Abfolge: Betroffenheitsanalyse durchführen, BSI-Registrierung nachholen, Gap-Analyse zwischen aktuellem Sicherheitsniveau und NIS2-Anforderungen erstellen, ISMS aufbauen oder erweitern, Meldeprozesse für Vorfälle etablieren und Geschäftsleitung aktiv einbinden. Das BSI wird voraussichtlich bis Mitte 2026 konkrete Umsetzungsfahrpläne und Interpretationshilfen für verschiedene Sektoren veröffentlichen — bis dahin gilt: Handeln ist besser als Warten.
Wer jetzt mit der Umsetzung beginnt, hat noch die Möglichkeit, proaktiv zu handeln. Wer weiter abwartet, überlässt das Tempo der Behörde.