Das Bild zeigt das Logo das SecureCloud NIS2-Readyness-Checks vor einem Serverraum (KI-generiert).

Letzter Aufruf für NIS2: BSI verlängert Frist bis Ende Juli

Geschrieben von Sebastian Deck
25. Juni 2026

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Registrierungsfrist für Organisationen gesetzt, die unter die Netzwerk- und Informationssicherheitsrichtlinie 2 (NIS2) fallen: Ende Juli 2026. Wer registrierungspflichtig ist und die ursprüngliche Frist Ende März 2026 verpasst hat, bekommt damit eine allerletzte Verlängerung bis Ende Juli.

Wichtig: Es handelt sich lediglich um eine Fristverlängerung, aber eben um keine dauerhafte Befreiung. Das BSI macht in seiner Kommunikation klar, was diese Mahnung bedeutet: Die Registrierungspflicht gilt trotzdem. Wer sie ignoriert, riskiert Bußgelder und behördliche Anordnungen. Für Geschäftsleitungen ist das relevant, weil NIS2 mit dem NIS-2-Umsetzungsgesetz (NIS2UmsuCG) seit Dezember 2025 in Deutschland in Kraft ist und persönliche Haftung der Leitungsebene ausdrücklich vorsieht.

Warum viele Unternehmen die Frist gerissen haben

Die Registrierungspflicht ist für viele Einrichtungen neu. Das NIS2UmsuCG weitet den Kreis betroffener Organisationen gegenüber der bisherigen KRITIS-Regulierung erheblich aus: Schätzungen des BSI zufolge fallen rund 30.000 Unternehmen in Deutschland unter die Richtlinie. Ein erheblicher Teil davon war bislang nicht als „kritisch" oder „wichtig" reguliert – und hat den Registrierungsprozess schlicht noch nicht eingeleitet.

Hinzu kommt technische Hürde: Die Registrierung läuft über das BSI-Portal und erfordert zunächst ein ELSTER-Organisationszertifikat. Wer das nicht vorbereitet hatte, ist selbst bei gutem Willen in Verzug geraten.

Wen NIS2 trifft – und wer sich zu Unrecht sicher fühlt

NIS2 gilt für Einrichtungen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz, die in einem der 18 regulierten Sektoren tätig sind. Darunter fallen wesentliche Einrichtungen wie Energie, Gesundheitswesen, Finanzmarktinfrastrukturen, digitale Infrastruktur und öffentliche Verwaltung – sowie wichtige Einrichtungen wie Post- und Kurierdienste, Lebensmittelbranche, Maschinenbau, Cloud-Dienstleister und digitale Plattformen.

Eine Benachrichtigung durch Behörden ist nicht vorgesehen. Jede Organisation muss selbst prüfen, ob sie betroffen ist. Das ist der Punkt, an dem viele Unternehmen scheitern: Sie glauben, nicht betroffen zu sein – und haben es nie systematisch überprüft.

Was die Registrierung mit der eigentlichen Compliance-Pflicht zu tun hat

Die Registrierung beim BSI ist nur der erste Schritt. Sie belegt, dass eine Einrichtung erkannt hat, dass sie unter NIS2 fällt. Die eigentliche Compliance-Arbeit beginnt danach: Risikomanagement, Incident-Response-Prozesse, Lieferkettensicherheit, Meldeprozesse für Sicherheitsvorfälle innerhalb von 24 Stunden – und der Nachweis all dessen im Audit.

Für Organisationen, die die März-Frist verpasst haben und jetzt auf die Juli-Verlängerung reagieren, bedeutet das: Zeit ist knapp. Die NIS2-Anforderungen lassen sich nicht in vier Wochen vollständig umsetzen. Wohl aber lässt sich in dieser Zeit klären, wo die eigene Einrichtung steht – und welche Maßnahmen priorisiert werden müssen.

Für die Auswahl von Cloud-Infrastruktur gilt dabei ein besonderer Prüfpunkt: NIS2 verpflichtet Einrichtungen, auch die Sicherheit ihrer Dienstleister und Zulieferer zu bewerten. Wer kritische Daten auf Plattformen verarbeitet, die US-amerikanischem Recht unterliegen, hat mit dem US CLOUD Act eine zusätzliche Risikoebene zu bewerten, die NIS2 explizit adressiert

Was jetzt zu tun ist

Zwei Wochen bis Ende Juli sind kein Zeitrahmen für eine vollständige NIS2-Implementierung. Sie sind Zeitrahmen für eine ehrliche Standortbestimmung.

Der NIS2-Readiness-Quick-Check von SecureCloud gibt in rund zwei Minuten eine erste strukturierte Einschätzung: ob Ihre Organisation wahrscheinlich betroffen ist, in welchen Bereichen Handlungsbedarf besteht und welche Maßnahmen Priorität haben. Kein Formularmarathon, keine Vorabverpflichtung – nur eine konkrete Grundlage für das Gespräch mit Geschäftsleitung, IT-Leitung oder Datenschutzbeauftragten.

Prüfen Sie jetzt kostenlos Ihren aktuellen Compliance-Stand in Sachen NIS2:

 

Interessiert Sie die souveräne Cloud?

Hier geht's zur kostenlosen Testphase

Picture of Sebastian Deck

Sebastian Deck

Sebastian Deck ist Chief Marketing Officer (CMO) von SecureCloud und verantwortet Markenstrategie, Kommunikation und Marketing. Er verfügt über langjährige Erfahrung im Aufbau und in der Führung internationaler Marketingteams in Beratungs-, FinTech- und Technologieunternehmen. Bei SecureCloud verantwortet er die Markenpositionierung, Thought Leadership sowie die Lead-Generierung und steuert Go-to-Market-Initiativen und Kampagnen, um SecureCloud als führenden Anbieter für Cyber-Security und sichere Cloud-Lösungen zu positionieren.

Verwandte Artikel

Neuigkeiten & Trends

Same procedure: Das EU-US Data Privacy Framework nach Trump v. Slaughter

Der US Supreme Court hat am 29. Juni 2026 das EU-US Data Privacy Framework strukturell erschüttert. Safe Harbor, Privacy Shield –...

Whitepaper...
In eigener Sache

Whitepaper „Souverän in 30 Tagen“: Der einfache Wechsel in die digitale Unabhängigkeit

Whitepaper „Souverän in 30 Tagen“: 660.000 € Risiko durch US-Cloud-Abhängigkeit, 3-Jahres-Kostenvergleich und konkreter Wechselplan....

Neuigkeiten & Trends

EU Sovereignty Package: Ambitioniert, wichtig – Ausgang ungewiss

Alex Karps Palantir-Manifest erklärt US-Software offiziell zur Waffe der US-Hegemonie. Was das für Europa bedeutet – und warum...