SaaSFort Die Frist ist abgelaufen. Am 6. März 2026 endete die BSI-Registrierungspflicht nach dem NIS2UmsuCG. Von rund 29.000 betroffenen Unternehmen haben sich laut BSI-Schätzungen nur etwa 11.500 fristgerecht registriert. 18.500 Unternehmen sind jetzt im Verzug — und das BSI hat angekündigt, aktiv zu prüfen, wer fehlt.
Wenn Sie zu diesen 18.500 gehören, ist dieser Artikel für Sie. Kein Consulting-Pitch, keine Panikmache — sondern eine klare Anleitung, was jetzt konkret zu tun ist.
Was genau ist passiert?
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) trat am 6. Dezember 2025 in Kraft. Betroffene Unternehmen hatten drei Monate Zeit, sich beim BSI zu registrieren. Die Frist lief am 6. März 2026 ab.
Die Registrierungspflicht betrifft Unternehmen, die beide Kriterien erfüllen:
- Größe: 50+ Mitarbeiter ODER €10M+ Jahresumsatz
- Sektor: Einer von 18 regulierten Branchen (Energie, Gesundheit, Verkehr, digitale Infrastruktur, Fertigung, Lebensmittel, Chemie, Abfallwirtschaft u.a.)
| Kategorie | Schwelle | Maximales Bußgeld |
|---|---|---|
| Besonders wichtige Einrichtungen | 250+ Mitarbeiter ODER €50M+ Umsatz | €10 Mio. oder 2% des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 50+ Mitarbeiter ODER €10M+ Umsatz | €7 Mio. oder 1,4% des weltweiten Jahresumsatzes |
Was droht bei verspäteter Registrierung?
§65 BSIG staffelt die Bußgelder in sieben Stufen. Drei sind sofort relevant:
Stufe 1: Registrierungsverstoß — bis zu €500.000. Die verspätete oder unterlassene Registrierung beim BSI ist bereits ein eigenständiger Ordnungswidrigkeitstatbestand. Allein dafür drohen bis zu einer halben Million Euro. Das BSI hat öffentlich erklärt, in dieser frühen Phase noch keine Sanktionen für verspätete Registrierungen zu verhängen — aber das ist Kulanz, kein Rechtsanspruch.
Stufe 2: Fehlende Sicherheitsmaßnahmen — bis zu €10 Mio. Wer die Risikomanagement-Maßnahmen nach Artikel 21 nicht umsetzt, riskiert Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist.
Stufe 3: Persönliche Geschäftsführerhaftung. NIS2 führt eine persönliche Haftung für Geschäftsführer ein. Die Unternehmensleitung muss die Cybersicherheitsmaßnahmen genehmigen und deren Umsetzung überwachen. Bei grober Fahrlässigkeit oder Vorsatz droht persönliche Haftung.
Klartext: Wer jetzt nicht handelt, riskiert nicht nur Unternehmensstrafen — sondern haftet persönlich.
Schritt-für-Schritt: Was Sie jetzt tun müssen
1. Sofort beim BSI registrieren (30 Minuten)
Eine verspätete Registrierung ist möglich und dringend empfohlen. Sie signalisiert dem BSI, dass Ihr Unternehmen reagiert. Die Registrierung erfolgt über das BSI-Portal.
Was Sie brauchen:
- NACE-Sektorcode Ihres Unternehmens
- Ansprechpartner für BSI-Kommunikation
- Bestätigung der Betroffenheitseinschätzung
Im Zweifel: registrieren. Das BSI interpretiert den Anwendungsbereich bewusst weit. Nicht registriert zu sein, obwohl man betroffen ist, wiegt schwerer als sich freiwillig zu registrieren. Wichtig: §38 BSIG macht die Geschäftsleitung persönlich haftbar für die Überwachung der Umsetzung — ein Verzicht auf diese Haftung ist gesetzlich ausgeschlossen.
2. Externen Sicherheitsstatus prüfen (60 Sekunden)
Bevor Sie Policies schreiben oder Berater beauftragen: Finden Sie heraus, wo Sie tatsächlich stehen. Ein automatisierter externer Scan zeigt sofort, welche Sicherheitsprobleme von außen sichtbar sind — TLS-Konfiguration, Security Headers, DNS-Sicherheit, E-Mail-Authentifizierung, OWASP-Schwachstellen.
Kostenloser Scan auf saasfort.com/scan → — 60 Prüfungen in 21 Kategorien, A-F Note, unter 60 Sekunden. Kein Account nötig. Der Scanbericht wird Ihr erstes Compliance-Dokument.
Jede Prüfung ist direkt auf NIS2 Artikel 21 und ISO 27001 gemappt. Sie erhalten nicht nur eine Bewertung, sondern wissen genau, welche Anforderungen Sie bereits erfüllen und wo Handlungsbedarf besteht.
3. Kritische Lücken sofort schließen (1–2 Tage)
Die häufigsten Befunde bei Erstscans deutscher SaaS-Unternehmen:
| Befund | NIS2-Relevanz | Behebungszeit |
|---|---|---|
| TLS 1.0/1.1 noch aktiv | Art. 21.2h (Kryptographie) | 1 Stunde |
| Fehlende Security Headers (HSTS, CSP) | Art. 21.2e (Netzwerksicherheit) | 30 Minuten |
| Kein DMARC-Eintrag | Art. 21.2e (E-Mail-Sicherheit) | 15 Minuten |
| Ablaufendes SSL-Zertifikat | Art. 21.2h (Kryptographie) | Sofort |
| Fehlende Referrer-Policy | Art. 21.2e (Web-Sicherheit) | 5 Minuten |
Diese technischen Maßnahmen sind in Stunden umsetzbar — nicht in Monaten. Und sie sind genau das, was BSI-Prüfer als Erstes verifizieren können, weil sie von außen sichtbar sind.
4. Dokumentation aufbauen (1–2 Wochen)
NIS2 erfordert dokumentierte Sicherheitsmaßnahmen. Besonders wichtig: Ihre Enterprise-Kunden werden Lieferketten-Nachweise von Ihnen fordern — der Leitfaden zur NIS2-Lieferkettensicherheit zeigt, wie Sie diese in unter einer Stunde zusammenstellen. Das Minimum für die nächsten Wochen:
- Informationssicherheitsrichtlinie — 5–10 Seiten, von der Geschäftsführung genehmigt
- Incident-Response-Plan — Wer meldet was an wen? NIS2 verlangt 24h-Frühwarnung und 72h-Vollmeldung
- Backup-Konzept — RTO, RPO, Verschlüsselung, letzte Testrestauration
- Schwachstellenmanagement — Scan-Intervall, Behebungs-SLAs nach Schweregrad
Unsere NIS2-Compliance-Checkliste für deutsche KMU führt durch alle zehn Artikel-21-Maßnahmen mit konkretem Zeitaufwand pro Schritt.
Zeitplan: Was wann fällig ist
| Datum | Pflicht | Status |
|---|---|---|
| 6. Dez. 2025 | NIS2UmsuCG in Kraft | ✅ Abgeschlossen |
| 6. März 2026 | BSI-Registrierungsfrist | ⚠️ Abgelaufen — sofort nachholen |
| 30. Juni 2026 | Erste Compliance-Audits | ⏳ 3 Monate verbleibend |
| Okt. 2026 | Vollständige Durchsetzung | ⏳ 7 Monate verbleibend |
Die erste Audit-Deadline am 30. Juni ist drei Monate entfernt. Prüfer werden nicht nur Ihre Registrierung prüfen, sondern auch, ob Artikel-21-Maßnahmen tatsächlich implementiert sind. Unser NIS2-Audit-Vorbereitungsguide zeigt, welche Nachweise Prüfer in welchem Format erwarten.
Auch als SaaS-Zulieferer betroffen
Selbst wenn Ihr Unternehmen nicht direkt unter NIS2 fällt: Wenn Sie Software oder Services an betroffene Unternehmen liefern, trifft Sie die Lieferkettenregelung nach Artikel 21.2d. Ihre Kunden sind gesetzlich verpflichtet, die Sicherheit ihrer Zulieferer zu bewerten.
Das bedeutet konkret: Enterprise-Kunden werden Sie nach Sicherheitsnachweisen fragen. Wer diese Nachweise sofort liefern kann, gewinnt den Deal. Wer erst nach drei Wochen einen Penetrationstest beauftragen muss, verliert ihn.
SaaSFort liefert genau diese Nachweise — ein Deal Report mit A-F Bewertung, NIS2-Mapping und ISO-27001-Zuordnung. In 60 Sekunden erstellt, direkt an Procurement-Teams weiterleitbar. Für den detaillierten Vergleich mit traditionellen Ansätzen: unser NIS2 90-Tage-Aktionsplan.
Was kostet Compliance — realistisch?
| Ansatz | Kosten | Zeitaufwand |
|---|---|---|
| Externer Berater | €15.000–€50.000 | 3–6 Monate |
| Interner CISO (Neueinstellung) | €80.000–€120.000/Jahr | 2–4 Monate |
| Automatisiertes Scanning + eigene Policies | €9–€29/Monat | 2–4 Wochen |
Die meisten KMU mit 50–250 Mitarbeitern brauchen keinen Vollzeit-CISO für NIS2. Ein automatisiertes Scanning-Tool für die technische Baseline, kombiniert mit klaren Policy-Vorlagen, deckt 80% dessen ab, was Prüfer kontrollieren. Der neue BSI Grundschutz++ reduziert den Aufwand dabei um 85% gegenüber dem klassischen Kompendium.
FAQ
Kann ich mich jetzt noch beim BSI registrieren? Ja. Eine verspätete Registrierung ist möglich und wird vom BSI empfohlen. Sie zeigt Handlungswillen und reduziert das Sanktionsrisiko erheblich. Registrieren Sie sich sofort über das BSI-Portal.
Was passiert, wenn ich mich gar nicht registriere? Das BSI hat angekündigt, aktiv zu prüfen, welche Unternehmen sich nicht registriert haben. Neben dem Bußgeld bis €500.000 riskieren Sie, dass Ihr Unternehmen als nicht-kooperativ eingestuft wird — was bei späteren Prüfungen erschwerend wirkt.
Reicht ein kostenloser Scan als NIS2-Nachweis? Ein einzelner Scan ist ein Startpunkt, kein vollständiger Compliance-Nachweis. NIS2 verlangt kontinuierliches Risikomanagement. Aber Ihr Erstscanbericht dokumentiert Ihre Baseline — genau das, was Prüfer als ersten Schritt sehen wollen. Kombinieren Sie ihn mit regelmäßigen automatisierten Scans für den fortlaufenden Nachweistrail.
Haftet die Geschäftsführung persönlich? Ja. Unter dem NIS2UmsuCG müssen Geschäftsführer die Cybersicherheitsmaßnahmen persönlich genehmigen und deren Umsetzung überwachen. Bei Verstößen durch grobe Fahrlässigkeit oder Vorsatz droht persönliche Haftung. Geschäftsführer müssen zudem selbst eine Cybersicherheitsschulung absolvieren.
Mein Unternehmen hat genau 50 Mitarbeiter — bin ich betroffen? Wenn Sie die Mitarbeiterschwelle (50+) ODER die Umsatzschwelle (€10M+) erreichen UND in einem der 18 regulierten Sektoren tätig sind: ja. Die Schwellenwerte sind inklusiv — 50 Mitarbeiter reicht. Unsere NIS2-Compliance-Übersicht für deutsche KMU erklärt die Betroffenheitsprüfung im Detail.
Für das vollständige NIS2-Framework laden Sie unser SaaS Security Playbook 2026 herunter — kostenlos, 40+ Seiten Best Practices.
De la lectura a la acción
Escanee su dominio gratis. Primeros resultados en menos de 10 segundos — sin registro.