Secani
Secani
  • Unternehmen
  • Roadmap
Demo anfragen

Mit KI zusammenfassen

In ChatGPT öffnenIn Claude öffnenIn Perplexity öffnenIn Mistral öffnenIn Grok öffnen
SIBB Startups
Berlin
Kofinanziert von der Europäischen Union
Secani

Jonathan Bezdek

Wörther Straße 9

10435 Berlin


hello@secani.com

Produkt

  • Sicherheit
  • Roadmap
  • Dokumentation
  • OSCAL

Rechtliches

  • Datenschutzerklärung
  • AGB
  • Cookie-Einstellungen
  • Impressum

Unternehmen

  • Unternehmen
  • Kontakt
  • Blog

Support

  • Hilfe
    Blog

    NIS2: Die Nachfrist läuft ab

    Derya AltinayCEO
    6 Min. Lesezeit
    18. Juli 2026

    Mit KI erkunden

    In ChatGPT öffnenIn Claude öffnenIn Perplexity öffnenIn Mistral öffnenIn Grok öffnen

    Auf dieser Seite

    Die Nachfrist endet am 31. Juli 2026Wer betroffen ist – und wie man es herausfindetSo läuft die Registrierung abNach der Registrierung beginnt die eigentliche ArbeitVom Stichtag zur Struktur

    Die Nachfrist endet am 31. Juli 2026

    Seit Dezember 2025 ist das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft – ohne Übergangsfrist. Betroffene Einrichtungen mussten sich innerhalb von drei Monaten beim BSI registrieren; diese Frist endete am 6. März 2026. Das Ergebnis war ernüchternd: Von geschätzt rund 29.500 betroffenen Unternehmen in Deutschland hatten sich bis zum Stichtag nur etwa 11.500 registriert.

    Das BSI hat daraufhin deutlich gemacht, dass es ausstehende Registrierungen bis zum 31. Juli 2026 erwartet. Diese Nachfrist ist eine Gelegenheit, kein Freibrief: Die Registrierungspflicht besteht seit März, und allein ihre Verletzung kann mit einem Bußgeld von bis zu 500.000 Euro geahndet werden.

    • Gesetz in Kraft seit Dezember 2025, Registrierungsfrist abgelaufen am 6. März 2026
    • Nur gut ein Drittel der betroffenen Unternehmen war fristgerecht registriert
    • Das BSI erwartet Nachzügler bis zum 31. Juli 2026

    Wer betroffen ist – und wie man es herausfindet

    NIS2 unterscheidet besonders wichtige und wichtige Einrichtungen in 18 Sektoren – von Energie, Transport und Gesundheit über digitale Infrastruktur bis zum verarbeitenden Gewerbe. Als Faustregel können Unternehmen ab 50 Beschäftigten oder mehr als 10 Millionen Euro Jahresumsatz und Bilanzsumme in diesen Sektoren in den Anwendungsbereich fallen; einige Einrichtungen sind unabhängig von ihrer Größe erfasst.

    Verlassen sollte man sich auf Faustregeln nicht. Das BSI stellt eine offizielle NIS-2-Betroffenheitsprüfung bereit, mit der sich die eigene Einordnung strukturiert ermitteln und dokumentieren lässt. Diese Prüfung ist Pflichtaufgabe der Geschäftsleitung – auch das Ergebnis „nicht betroffen" sollte begründet festgehalten werden.

    So läuft die Registrierung ab

    Registriert wird über das Melde- und Unterrichtungskanal-Portal des BSI (MUK-Portal). Die Authentifizierung erfolgt über ein ELSTER-Organisationszertifikat – wer keines hat, sollte es umgehend beantragen, denn die Ausstellung dauert erfahrungsgemäß einige Tage und wird kurz vor Fristende zum Engpass.

    Für die Registrierung selbst sollten die Stammdaten vorbereitet sein: Einrichtung und Sektor, Kontaktdaten einer erreichbaren Stelle, IP-Adressbereiche und die Mitgliedstaaten, in denen Dienste erbracht werden. Sauber vorbereitet ist der Vorgang in kurzer Zeit erledigt.

    Registrierung ist die kleinste NIS2-Pflicht

    Wer sich registriert, hat noch keine Cybersicherheit nachgewiesen – nur seine Existenz gemeldet. Risikomanagement, Meldeprozesse und Governance-Pflichten gelten unabhängig von der Registrierung und werden im Ernstfall zuerst geprüft.

    Nach der Registrierung beginnt die eigentliche Arbeit

    Das Gesetz verlangt von betroffenen Einrichtungen ein belastbares Paket an Risikomanagementmaßnahmen: von Risikoanalyse und Incident-Handling über Backup- und Krisenmanagement bis zur Sicherheit der Lieferkette. Dazu kommen gestufte Meldepflichten bei erheblichen Sicherheitsvorfällen – Erstmeldung innerhalb von 24 Stunden, Folgemeldung innerhalb von 72 Stunden, Abschlussbericht nach einem Monat – sowie persönliche Pflichten der Geschäftsleitung, die Maßnahmen billigen, überwachen und sich schulen lassen muss.

    Bei Verstößen gegen diese Pflichten reichen die Bußgeldrahmen deutlich weiter als bei der Registrierung: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen, bis zu 7 Millionen Euro oder 1,4 Prozent für wichtige Einrichtungen.

    • Risikomanagement nach Stand der Technik, inklusive Lieferkette
    • Meldeprozesse, die 24-Stunden-Fristen organisatorisch tragen
    • Nachweisbare Governance: Verantwortung liegt bei der Geschäftsleitung

    Vom Stichtag zur Struktur

    Der Juli-Stichtag ist ein guter Anlass, NIS2 nicht als Formular, sondern als Strukturaufgabe zu behandeln: Anforderungen, Maßnahmen, Verantwortliche und Nachweise gehören dauerhaft verknüpft – nicht in verstreuten Tabellen, die vor jeder Prüfung neu sortiert werden. Wie ein solches Nachweismodell aussieht, beschreibt unser Beitrag zur strukturierten Audit-Readiness.

    Genau dafür bauen wir Secani: ein Arbeitsbereich, in dem Anforderungen aus Regelwerken wie NIS2 oder IT-Grundschutz++ strukturiert vorliegen und Umsetzung wie Nachweise nachvollziehbar dokumentiert sind. Wenn Sie die Nachfrist nutzen, um mehr als die Registrierung zu erledigen, sprechen Sie mit uns.

    Compliance-Workflows prüfbar aufbauen

    Secani verbindet Scopes, Nachweise, Aufgaben und KI-Agenten in einem gemeinsamen Arbeitskontext.

    Demo anfragen

    Weiterführende Beiträge

    Alle Beiträge
    IT-Grundschutz
    IT-Grundschutz++ und OSCAL

    Mit der Stand-der-Technik-Bibliothek verlässt der IT-Grundschutz das PDF: IT-Grundschutz++ erscheint als OSCAL-Katalog – und verändert, wie ISMS-Arbeit organisiert wird.

    Lesen
    IT-Grundschutz
    Grundschutz pragmatisch

    So wird IT-Grundschutz vom Dokumentationsprojekt zu einem nachvollziehbaren Arbeitsmodell für Sicherheitsverantwortliche, Fachbereiche und Auditoren.

    Lesen
    OSCAL
    FedRAMP wird maschinenlesbar

    Mit RFC-0024 und den Consolidated Rules 2026 macht FedRAMP strukturierte Autorisierungsdaten zur Pflicht. Die Fristen sind gestaffelt – die Richtung ist eindeutig.

    Lesen