NIS2 BSI-Registrierung: Frist verpasst — was jetzt?

Die gesetzliche Frist lief am 6. März 2026 ab, doch das BSI setzt eine Nachfrist bis zum 31. Juli 2026. Wer von NIS2 betroffen ist, sollte die Registrierung im BSI-Portal jetzt nachholen. NIS2Compass hilft dabei: Mit dem Vor-Check prüfen Sie in wenigen Minuten, welche Pflichten konkret für Ihr Unternehmen gelten.

Ist die NIS2-Registrierung nach Fristablauf noch möglich?

Ja, die Registrierung ist weiterhin möglich und verpflichtend. Das BSI hat eine Nachfrist bis zum 31. Juli 2026 gesetzt. Bis Ende Mai 2026 waren erst rund 18.500 von etwa 29.000 betroffenen Unternehmen registriert.

Der Ablauf der ursprünglichen Frist hebt die Pflicht nicht auf. Die Registrierungspflicht besteht nach §33 Abs. 1 BSIG unverändert fort (Quelle: BSIG, gesetze-im-internet.de). Eine verspätete Registrierung bleibt also nicht nur erlaubt, sondern ist zwingend erforderlich.

Das BSI hat im Juni 2026 säumige Unternehmen ausdrücklich gemahnt und die neue Frist kommuniziert. Diese Mahnung dokumentiert etwa heise online. Damit ist klar: Wer die Registrierung bisher versäumt hat, sollte sie umgehend nachholen.

Die Zahlen zeigen den Handlungsbedarf deutlich. Von rund 29.000 betroffenen Unternehmen waren Ende Mai 2026 etwa 10.500 noch nicht registriert. Ein erheblicher Teil der Pflichtigen hat den ersten Schritt also noch vor sich.

Unsicher, ob Ihr Unternehmen überhaupt registrierungspflichtig ist? Der Beitrag Bin ich von NIS2 betroffen? erklärt die Schwellenwerte und Sektoren im Detail. Die Registrierung selbst erfolgt anschließend über das Portal unter portal.bsi.bund.de.

NIS2Compass begleitet Sie über die reine Registrierung hinaus durch die gesamte Umsetzung. Starten Sie mit dem Vor-Check, um Ihren konkreten Pflichtenkatalog zu ermitteln.

Welche Frist gilt jetzt für die BSI-Registrierung?

Gesetzlich endete die Frist am 6. März 2026, drei Monate nach Inkrafttreten des NIS2UmsuCG. Das BSI gewährt faktisch eine Nachfrist bis zum 31. Juli 2026. Rechtlich bleibt die überschrittene Frist ein Verstoß; die Nachfrist signalisiert lediglich Kulanz vor Sanktionen.

Die zeitliche Abfolge lässt sich klar nachvollziehen. Wichtig ist die Unterscheidung zwischen gesetzlicher Pflicht und Vollzugskulanz des BSI.

6. Dezember 2025: Das NIS2UmsuCG tritt in Kraft. Damit gelten die Pflichten des BSIG für betroffene Unternehmen unmittelbar.

6. Januar 2026: Das BSI schaltet das Registrierungsportal unter portal.bsi.bund.de frei. Ab diesem Zeitpunkt ist die Anmeldung technisch möglich.

6. März 2026: Die gesetzliche Registrierungsfrist nach §33 Abs. 1 BSIG endet. Sie beträgt drei Monate ab Eintritt der Betroffenheit.

31. Juli 2026: Das BSI duldet verspätete Registrierungen bis zu diesem Datum. Diese Nachfrist ist eine reine Vollzugs- und Duldungsfrist.

Entscheidend: Die Nachfrist ist kein neuer gesetzlicher Termin. Die Registrierungspflicht war zum 6. März 2026 fällig und ist seitdem überschritten. Das BSI verzichtet vorerst auf Sanktionen, hebt die Pflicht aber nicht auf.

Für Unternehmen bedeutet das: Die Nachfrist verschafft Zeit, beseitigt den Verstoß aber nicht rückwirkend. Wer die Registrierung jetzt nachholt, sollte sie als ersten Schritt einer strukturierten Umsetzung verstehen. Wie das praktisch gelingt, zeigt der Leitfaden NIS2 umsetzen: Schritt für Schritt zur Compliance.

Wie läuft die BSI-Registrierung Schritt für Schritt ab?

Die Registrierung ist zweistufig: zuerst die Anmeldung bei "Mein Unternehmenskonto" (MUK) per ELSTER-Organisationszertifikat, dann die Registrierung im BSI-Portal unter portal.bsi.bund.de. Planen Sie für das ELSTER-Zertifikat mehrere Werktage Vorlauf ein, da die Beantragung Zeit braucht.

1. Betroffenheit und Einrichtungstyp klären: Sind Sie besonders wichtige Einrichtung, wichtige Einrichtung oder KRITIS-Betreiber? Der Vor-Check hilft Ihnen, Ihren Status systematisch einzuordnen.
2. Steuernummer bereithalten und ELSTER-Organisationszertifikat beantragen: Die Steuernummer ist Voraussetzung für den Zugang. Die Ausstellung des Zertifikats dauert mehrere Werktage, planen Sie diesen Vorlauf fest ein.
3. "Mein Unternehmenskonto" (MUK) einrichten unter mein-unternehmenskonto.de. Das MUK ist der zentrale Identitätsdienst für die Anmeldung am BSI-Portal.
4. Im BSI-Portal anmelden unter portal.bsi.bund.de. Der Login erfolgt direkt über Ihr MUK-Konto, ein separater BSI-Account ist nicht nötig.
5. Pflichtangaben erfassen: Hinterlegen Sie Stammdaten, Sektor, IP-Adressbereiche und Ihre NIS2-Kontaktstelle. Die Kontaktstelle muss zuverlässig erreichbar sein.
6. Angaben prüfen, absenden und Bestätigung sichern: Kontrollieren Sie alle Eingaben vor dem Absenden und speichern Sie die Bestätigung als Nachweis.

Das BSI stellt zu jedem Schritt offizielle Klick-Anleitungen bereit. Die Details finden Sie in der BSI-Pressemitteilung zum BSI-Portal.

Die Registrierung deckt jedoch nicht die §30-Pflichten zum Risikomanagement ab. Sie ist nur der formale erste Schritt. Die eigentliche inhaltliche Umsetzung der Sicherheitsmaßnahmen folgt erst danach. Den strukturierten Weg dorthin zeigt Ihnen der NIS2 Guide, der Sie Schritt für Schritt durch alle Pflichten führt.

Welche Angaben verlangt das BSI bei der Registrierung?

Das BSI verlangt Stammdaten und eine benannte NIS2-Kontaktstelle: Name, Anschrift, Rechtsform, Sektor und Branche, Beschäftigtenzahl, Jahresumsatz sowie IP-Adressbereiche. Änderungen sind unverzüglich, spätestens nach zwei Wochen, über das BSI-Portal nachzumelden.

Die Registrierung erfolgt vollständig digital über portal.bsi.bund.de. Halten Sie die folgenden Angaben vor dem Login bereit, um den Prozess zügig abzuschließen.

Erforderlicher Datenkatalog:

• Name der Einrichtung
• Anschrift des Unternehmenssitzes
• Rechtsform (z. B. GmbH, AG, eingetragene Genossenschaft)
• NIS2-Kontaktstelle bzw. -person mit Erreichbarkeit
• Sektor und Branche nach Anlage 1 oder 2 BSIG
• Beschäftigtenzahl zur Schwellenwertprüfung
• Jahresumsatz und Bilanzsumme
• IP-Adressbereiche, die der Einrichtung zugeordnet sind

Wie muss die NIS2-Kontaktstelle erreichbar sein?

Hier entsteht häufig ein Missverständnis. Eine 24/7-Erreichbarkeit der Kontaktstelle ist ausschließlich für KRITIS-Betreiber verpflichtend (§33 Abs. 2 Satz 2 BSIG).

Alle anderen wichtigen und besonders wichtigen Einrichtungen benötigen kein Rund-um-die-Uhr-Postfach. Für sie genügt ein Funktionspostfach, das zu den üblichen Geschäftszeiten betreut wird. Wichtig ist eine funktionsbezogene Adresse, kein persönliches Postfach einzelner Mitarbeiter.

Ändern sich registrierte Angaben, etwa die Kontaktstelle oder die IP-Adressbereiche, gilt eine klare Frist. Die Änderungsmitteilung muss unverzüglich, spätestens innerhalb von zwei Wochen, über das BSI-Portal erfolgen (§33 Abs. 5 BSIG).

Eine vollständige Übersicht der Pflichten bietet die offizielle Quelle BSI NIS-2-Pflichten. Für die strukturierte Erfassung der Kontaktstellen-Daten und der laufenden Dokumentation stellt NIS2Compass passende Vorlagen in der Template Library bereit.

Welche Strafen drohen bei verspäteter Registrierung?

Eine verspätete oder unterlassene Registrierung kann mit Bußgeldern bis zu 500.000 Euro geahndet werden. Bei kumulativen Verstößen, etwa zusätzlich gegen Risikomanagement- und Meldepflichten, drohen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Maßgeblich ist dabei der jeweils höhere Betrag.

Das Gesetz unterscheidet klar nach Art und Umfang des Verstoßes. Ein reiner Registrierungsverstoß bleibt im Rahmen bis 500.000 Euro. Sobald jedoch weitere Pflichten unerfüllt bleiben, etwa fehlende technische Maßnahmen oder versäumte Vorfallsmeldungen, addieren sich die Risiken bis zur oberen Grenze von 10 Millionen Euro beziehungsweise 2 Prozent des Jahresumsatzes.

Wichtig ist die persönliche Dimension der Haftung. Nach §38 BSIG trägt die Geschäftsleitung die Verantwortung für die Umsetzung der Risikomanagement-Maßnahmen. Sie kann diese Pflicht nicht vollständig delegieren und haftet bei Verstößen unter Umständen persönlich. Welche Strafen im Detail drohen, erläutert der Beitrag NIS2-Bußgelder: Welche Strafen drohen bei Verstößen?.

Die Nachfrist bis zum 31. Juli 2026 ist die Gelegenheit, das Risiko ohne Sanktion zu beheben. Wer jetzt registriert und die ersten Schritte dokumentiert, reduziert sein Bußgeldrisiko deutlich. Eine nachweisbare, ernsthafte Umsetzung wirkt im Zweifel zugunsten des Unternehmens.

Praxisszenario: Ein Stadtwerk mit rund 150 Mitarbeitern im Sektor Energie bemerkt nach einem BSI-Anschreiben, dass es die Frist vom 6. März versäumt hat. Es holt die Registrierung innerhalb der Nachfrist nach, benennt eine Kontaktstelle und beginnt mit der Dokumentation der §30-Maßnahmen. Das Bußgeldrisiko sinkt dadurch deutlich.

Neben der Registrierung sollten betroffene Unternehmen frühzeitig ihre Meldewege klären. Welche Vorfälle wann und an wen zu melden sind, fasst der Beitrag NIS2-Meldepflichten: Wann, was und an wen melden? zusammen.

Was passiert nach der BSI-Registrierung?

Die Registrierung ist nur der erste Schritt. Danach gelten die Risikomanagement-Pflichten nach §30 BSIG und die dreistufige Meldepflicht mit Fristen von 24 Stunden, 72 Stunden und einem Monat. Die eigentliche NIS2-Umsetzung mit Risikoanalyse, technischen Maßnahmen und laufender Dokumentation beginnt erst nach der Registrierung.

Die Registrierung ist nicht gleich Compliance. Sie ist eine reine Stammdaten-Meldung an das BSI, keine inhaltliche Umsetzung. Wer sich registriert hat, erfüllt damit noch keine einzige Sicherheitsanforderung.

Der eigentliche Aufwand beginnt mit den Risikomanagement-Pflichten nach §30 BSIG. Dazu zählen Risikoanalyse, technische und organisatorische Maßnahmen sowie deren laufende Überprüfung. Diese Pflichten gelten unabhängig vom Registrierungsstatus.

Hinzu kommt die dreistufige Meldepflicht für erhebliche Sicherheitsvorfälle. Sie umfasst eine Frühwarnung innerhalb von 24 Stunden, eine Hauptmeldung nach 72 Stunden und eine Abschlussmeldung nach einem Monat. Parallel bestehen Nachweis- und Dokumentationspflichten, die das BSI im Prüffall einsehen kann.

Für diesen Weg bietet NIS2Compass eine strukturierte Reihenfolge. Der Vor-Check zeigt zunächst den individuellen Umsetzungsstand. Der NIS2 Guide führt anschließend Schritt für Schritt durch die §30-Maßnahmen, ergänzt um fertige Vorlagen für Richtlinien und Nachweise.

Das BSI betont, dass die Anforderungen seit Inkrafttreten des NIS2UmsuCG ohne Übergangsfristen gelten (BSI zu NIS-2). Die Registrierung ist damit der Auftakt, nicht der Abschluss der NIS2-Umsetzung.

Häufig gestellte Fragen

Kann ich mich nach dem 6. März 2026 noch beim BSI registrieren?

Ja. Die Registrierungspflicht besteht unverändert fort, auch nach Ablauf der ursprünglichen Frist. Das BSI hat eine Nachfrist bis zum 31. Juli 2026 eingeräumt. Holen Sie die Registrierung jetzt zeitnah über portal.bsi.bund.de nach, um das Bußgeldrisiko zu begrenzen.

Brauche ich für die BSI-Registrierung ein ELSTER-Zertifikat?

Ja. Die Anmeldung am BSI-Portal erfolgt über "Mein Unternehmenskonto" (MUK) mit einem ELSTER-Organisationszertifikat. Einen separaten BSI-Account gibt es nicht. Beantragen Sie das Zertifikat rechtzeitig, da der Versand per Post mehrere Werktage Vorlauf benötigt.

Was kostet die NIS2-Registrierung beim BSI?

Die Registrierung selbst über portal.bsi.bund.de ist kostenfrei. Aufwand entsteht durch das ELSTER-Organisationszertifikat, die Datenerfassung im Portal und die anschließende Umsetzung der §30-BSIG-Pflichten. Letztere ist der eigentliche inhaltliche Kraftakt nach der formalen Registrierung.

Muss meine NIS2-Kontaktstelle rund um die Uhr erreichbar sein?

Nur KRITIS-Betreiber müssen eine durchgehend erreichbare Stelle vorhalten (§33 Abs. 2 S. 2 BSIG). Besonders wichtige und wichtige Einrichtungen außerhalb von KRITIS benötigen kein 24/7-Setup. Ein Funktionspostfach, das zu Geschäftszeiten betreut wird, genügt hier in der Regel.

Bin ich überhaupt registrierungspflichtig?

Betroffen sind besonders wichtige und wichtige Einrichtungen in NIS2-Sektoren, in der Regel ab 50 Mitarbeitern oder 10 Mio. EUR Umsatz. Ob Ihr Unternehmen darunterfällt, klärt der Vor-Check von NIS2Compass schnell und strukturiert anhand Branche und Größe.