SecureCloud Blog

Letzter Aufruf für NIS2: BSI verlängert Frist bis Ende Juli

Geschrieben von Sebastian Deck | 25. Juni 2026

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Registrierungsfrist für Organisationen gesetzt, die unter die Netzwerk- und Informationssicherheitsrichtlinie 2 (NIS2) fallen: Ende Juli 2026. Wer registrierungspflichtig ist und die ursprüngliche Frist Ende März 2026 verpasst hat, bekommt damit eine allerletzte Verlängerung bis Ende Juli.

Wichtig: Es handelt sich lediglich um eine Fristverlängerung, aber eben um keine dauerhafte Befreiung. Das BSI macht in seiner Kommunikation klar, was diese Mahnung bedeutet: Die Registrierungspflicht gilt trotzdem. Wer sie ignoriert, riskiert Bußgelder und behördliche Anordnungen. Für Geschäftsleitungen ist das relevant, weil NIS2 mit dem NIS-2-Umsetzungsgesetz (NIS2UmsuCG) seit Dezember 2025 in Deutschland in Kraft ist und persönliche Haftung der Leitungsebene ausdrücklich vorsieht.

Warum viele Unternehmen die Frist gerissen haben

Die Registrierungspflicht ist für viele Einrichtungen neu. Das NIS2UmsuCG weitet den Kreis betroffener Organisationen gegenüber der bisherigen KRITIS-Regulierung erheblich aus: Schätzungen des BSI zufolge fallen rund 30.000 Unternehmen in Deutschland unter die Richtlinie. Ein erheblicher Teil davon war bislang nicht als „kritisch" oder „wichtig" reguliert – und hat den Registrierungsprozess schlicht noch nicht eingeleitet.

Hinzu kommt technische Hürde: Die Registrierung läuft über das BSI-Portal und erfordert zunächst ein ELSTER-Organisationszertifikat. Wer das nicht vorbereitet hatte, ist selbst bei gutem Willen in Verzug geraten.

Wen NIS2 trifft – und wer sich zu Unrecht sicher fühlt

NIS2 gilt für Einrichtungen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz, die in einem der 18 regulierten Sektoren tätig sind. Darunter fallen wesentliche Einrichtungen wie Energie, Gesundheitswesen, Finanzmarktinfrastrukturen, digitale Infrastruktur und öffentliche Verwaltung – sowie wichtige Einrichtungen wie Post- und Kurierdienste, Lebensmittelbranche, Maschinenbau, Cloud-Dienstleister und digitale Plattformen.

Eine Benachrichtigung durch Behörden ist nicht vorgesehen. Jede Organisation muss selbst prüfen, ob sie betroffen ist. Das ist der Punkt, an dem viele Unternehmen scheitern: Sie glauben, nicht betroffen zu sein – und haben es nie systematisch überprüft.

Was die Registrierung mit der eigentlichen Compliance-Pflicht zu tun hat

Die Registrierung beim BSI ist nur der erste Schritt. Sie belegt, dass eine Einrichtung erkannt hat, dass sie unter NIS2 fällt. Die eigentliche Compliance-Arbeit beginnt danach: Risikomanagement, Incident-Response-Prozesse, Lieferkettensicherheit, Meldeprozesse für Sicherheitsvorfälle innerhalb von 24 Stunden – und der Nachweis all dessen im Audit.

Für Organisationen, die die März-Frist verpasst haben und jetzt auf die Juli-Verlängerung reagieren, bedeutet das: Zeit ist knapp. Die NIS2-Anforderungen lassen sich nicht in vier Wochen vollständig umsetzen. Wohl aber lässt sich in dieser Zeit klären, wo die eigene Einrichtung steht – und welche Maßnahmen priorisiert werden müssen.

Für die Auswahl von Cloud-Infrastruktur gilt dabei ein besonderer Prüfpunkt: NIS2 verpflichtet Einrichtungen, auch die Sicherheit ihrer Dienstleister und Zulieferer zu bewerten. Wer kritische Daten auf Plattformen verarbeitet, die US-amerikanischem Recht unterliegen, hat mit dem US CLOUD Act eine zusätzliche Risikoebene zu bewerten, die NIS2 explizit adressiert

Was jetzt zu tun ist

Zwei Wochen bis Ende Juli sind kein Zeitrahmen für eine vollständige NIS2-Implementierung. Sie sind Zeitrahmen für eine ehrliche Standortbestimmung.

Der NIS2-Readiness-Quick-Check von SecureCloud gibt in rund zwei Minuten eine erste strukturierte Einschätzung: ob Ihre Organisation wahrscheinlich betroffen ist, in welchen Bereichen Handlungsbedarf besteht und welche Maßnahmen Priorität haben. Kein Formularmarathon, keine Vorabverpflichtung – nur eine konkrete Grundlage für das Gespräch mit Geschäftsleitung, IT-Leitung oder Datenschutzbeauftragten.

Prüfen Sie jetzt kostenlos Ihren aktuellen Compliance-Stand in Sachen NIS2: