Seit dem Jahreswechsel ist es ernst: Mit dem Start des neuen Registrierungsportals des Bundesamt für Sicherheit in der Informationstechnik ist die europäische NIS-2-Richtlinie endgültig im deutschen Unternehmensalltag angekommen. Was lange als abstraktes EU-Regelwerk wahrgenommen wurde, entfaltet nun ganz konkrete rechtliche Wirkung – mit weitreichenden Pflichten, erheblichen Haftungsrisiken und einer spürbaren Verunsicherung in vielen Geschäftsleitungen.
Ab heute müssen sich Unternehmen, die unter das NIS-2-Umsetzungsgesetz fallen, zwingend beim BSI registrieren. Die bisher genutzten Strukturen rund um „Mein Unternehmenskonto“ reichen nicht mehr aus. Zwar werden bestehende Daten übernommen, doch die Registrierung auf dem neuen Portal ist rechtlich verpflichtend – und markiert nur den ersten Schritt eines umfassenden Compliance-Prozesses.
„Viele Unternehmen realisieren erst jetzt, dass NIS-2 keine theoretische Richtlinie ist, sondern unmittelbare gesetzliche Handlungspflichten auslöst“, erklärt Thorsten Krause, Rechtsanwalt und Geschäftsführer der Appelt Krause mbH. In seiner Beratungspraxis beobachtet er derzeit eine deutliche Verunsicherung bei Geschäftsführern und Vorständen: Müssen wir uns registrieren? Fallen wir wirklich unter NIS-2? Und was passiert, wenn wir falsch entscheiden?
Diese Fragen sind berechtigt – denn die Risiken falscher Einschätzungen sind erheblich.
NIS-2 ist kein Randthema mehr: Warum plötzlich so viele Unternehmen betroffen sind
Mit dem Inkrafttreten des deutschen NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 wurde der Anwendungsbereich der Cybersicherheitsregulierung massiv ausgeweitet. Während sich frühere Regelungen primär auf klassische Betreiber Kritischer Infrastrukturen konzentrierten, erfasst NIS-2 nun deutlich mehr Branchen, Tätigkeiten und Unternehmensgrößen.
Entscheidend sind dabei drei Kriterien:
- Sektorzugehörigkeit
- Art der Tätigkeit
- Unternehmensgröße (insbesondere Mitarbeiterzahl und Umsatz)
Was auf dem Papier klar strukturiert wirkt, entpuppt sich in der Praxis als hochkomplex. Denn viele Unternehmen bewegen sich in Grauzonen oder hybriden Geschäftsmodellen, die eine eindeutige Zuordnung erschweren.
„Ein häufiger Irrtum ist die Annahme, man sei kein klassisches IT-Unternehmen und daher automatisch nicht betroffen“, warnt Krause. Tatsächlich können auch Unternehmen aus der Produktion, Logistik, Landwirtschaft, dem Gesundheitswesen oder dem Lebensmittelhandel unter NIS-2 fallen – sofern sie bestimmte Schwellenwerte überschreiten oder Teil kritischer Wertschöpfungsketten sind.
Besonders betroffen sind:
- IT-Dienstleister und Managed-Service-Provider mit einzelnen kritischen Kunden
- Mittelständische Produktionsunternehmen mit digital vernetzten Prozessen
- Kurier-, Logistik- und Lieferdienste ab 50 Mitarbeitenden
- Plattform- und Softwareanbieter mit unklarer Einordnung als „digitale Dienste“
Gerade mittelständische Unternehmen unterschätzen häufig ihre eigene Relevanz im Sinne der NIS-2-Systematik. Das führt zu verspäteten oder falschen Entscheidungen – mit potenziell gravierenden Folgen.
Die Einstufung als „wichtig“ oder „besonders wichtig“: Juristisch heikel und haftungsträchtig
Das NIS-2-Recht unterscheidet zwischen „wichtigen“ und „besonders wichtigen“ Einrichtungen. Diese Einstufung ist keine bloße Formalität, sondern bestimmt Umfang, Intensität und Kontrolltiefe der Pflichten.
In der Beratungspraxis zeigt sich jedoch: Gerade Grenzfälle sind rechtlich anspruchsvoll. Krause beschreibt typische Problemkonstellationen:
- Unternehmen mit gemischten Kundenstrukturen (kritisch / nicht kritisch)
- Konzerne mit komplexen Beteiligungsverhältnissen
- Betriebe knapp über oder unter den gesetzlichen Schwellenwerten
- Unternehmen mit stark ausgelagerten IT-Strukturen
„Eine vorschnelle Selbsteinschätzung kann dazu führen, dass Unternehmen entweder unnötig strenge Pflichten erfüllen – oder schlimmer noch: Pflichten ignorieren, die tatsächlich bestehen“, so Krause.
Besonders brisant: Auch falsche Negativentscheidungen – also die Annahme, nicht betroffen zu sein – können im Nachhinein als Organisationsverschulden gewertet werden. Die Aufsichtsbehörden prüfen nicht nur, ob registriert wurde, sondern auch, warum eine Einstufung vorgenommen oder unterlassen wurde.
Dokumentation, Begründung und rechtliche Nachvollziehbarkeit werden damit zu zentralen Compliance-Faktoren.
Registrierung beim BSI: Pflicht, aber nur der Anfang
Seit Januar 2026 ist klar: Unternehmen, die unter NIS-2 fallen, müssen sich beim BSI registrieren. Diese Pflicht ist gesetzlich normiert, Verstöße können mit empfindlichen Bußgeldern geahndet werden.
Doch die Registrierung ist kein Abschluss, sondern der Einstieg in ein dauerhaftes Pflichtenregime. NIS-2 verlangt unter anderem:
- angemessene technische und organisatorische Sicherheitsmaßnahmen
- strukturierte Risikoanalysen
- nachvollziehbare Dokumentation und Protokollierung
- klare Zuständigkeiten und Governance-Strukturen
- funktionierende Notfall- und Meldeprozesse
„Wer glaubt, mit der Registrierung sei das Thema erledigt, unterschätzt die Tragweite von NIS-2 massiv“, betont Krause. Entscheidend sei nicht nur dass Maßnahmen existieren, sondern wie sie organisatorisch eingebettet, überwacht und dokumentiert werden.
Gerade hier zeigt sich in vielen Unternehmen ein strukturelles Defizit: Sicherheitsmaßnahmen sind technisch vorhanden, aber rechtlich nicht sauber verankert. Zuständigkeiten sind unklar, Beschlüsse nicht dokumentiert, Eskalationswege nicht definiert.
Geschäftsführung in der Pflicht: Warum „Die IT macht das schon“ nicht mehr reicht
Einer der zentralen Paradigmenwechsel von NIS-2 betrifft die Rolle des Managements. Die Richtlinie macht unmissverständlich klar: Cybersicherheit ist Chefsache.
Geschäftsführer und Vorstände müssen:
- Kenntnis von den Sicherheitsmaßnahmen haben
- deren Umsetzung aktiv überwachen
- sicherstellen, dass Melde- und Notfallprozesse funktionieren
- gewährleisten, dass Vorfälle fristgerecht gemeldet werden können
„Ein bloßes Delegieren an die IT-Abteilung reicht ausdrücklich nicht aus“, so Krause. Vielmehr verlangt der Gesetzgeber eine aktive Einbindung der Unternehmensleitung – vergleichbar mit Pflichten aus dem Gesellschafts-, Aufsichts- oder Datenschutzrecht.
Besonders kritisch: Die persönliche Haftung von Geschäftsleitern wurde durch NIS-2 deutlich verschärft. Bei Verstößen drohen nicht nur Unternehmensbußgelder, sondern auch haftungsrechtliche Konsequenzen für das Management – etwa bei:
- fehlender Überwachung
- unzureichender Dokumentation
- mangelhafter Krisenvorsorge
Damit wird Cybersicherheit endgültig zu einem Governance- und Compliance-Thema, das nicht isoliert in der IT behandelt werden darf.
Rechtssicherheit statt Aktionismus: Warum strukturierte Unterstützung entscheidend ist
Angesichts der Komplexität von NIS-2 rät Krause dringend von Schnellschüssen ab. Weder eine vorschnelle Registrierung ohne saubere Einstufung noch ein Abwarten ohne belastbare Begründung seien rechtlich sinnvoll.
Die Rechtsanwaltsgesellschaft Appelt Krause mbH begleitet Unternehmen deshalb ganzheitlich:
- bei der rechtssicheren Einstufung
- bei der Vorbereitung und Begleitung der Registrierung
- bei der rechtlichen Bewertung der Umsetzung
- bei Dokumentation, Beschlussfassung und Governance-Strukturen
Der besondere Mehrwert liege in der Verzahnung von IT-Recht, Organisationsrecht und Organhaftung. Krause ist seit 2009 als Rechtsanwalt zugelassen und Fachanwalt für Bank- und Kapitalmarktrecht sowie für Informationstechnologierecht – eine Kombination, die gerade im Kontext von NIS-2 besondere Relevanz entfaltet.
„Unsere Beratung endet nicht bei technischen Checklisten“, so Krause. „Wir betrachten NIS-2 aus der Perspektive von Management-Pflichten, Haftungsrisiken und regulatorischer Nachhaltigkeit.“
NIS-2 zwingt Unternehmen zum Umdenken
Die Freischaltung des BSI-Registrierungsportals markiert einen Wendepunkt: NIS-2 ist keine Zukunftsmusik mehr, sondern gelebte Realität. Unternehmen müssen jetzt handeln – aber strukturiert, rechtssicher und mit klarem Blick auf Governance und Haftung. Wer NIS-2 lediglich als IT-Projekt versteht, riskiert Fehlentscheidungen. Wer es hingegen als strategisches Compliance-Thema begreift, kann nicht nur Risiken minimieren, sondern langfristig auch Vertrauen und Resilienz stärken.
Für viele Geschäftsführer gilt daher: Jetzt ist der richtige Zeitpunkt, NIS-2 nicht nur technisch, sondern auch rechtlich sauber aufzustellen.