{"id":299,"date":"2026-06-22T00:01:00","date_gmt":"2026-06-22T00:01:00","guid":{"rendered":"https:\/\/shattered.io\/de\/?p=299"},"modified":"2026-06-22T04:19:00","modified_gmt":"2026-06-22T04:19:00","slug":"nis2-umsetzung-deutschland-bsig-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/22\/nis2-umsetzung-deutschland-bsig-2026\/","title":{"rendered":"NIS2 Deutschland: 29.500 Firmen unter neuem BSIG, Bu\u00dfgelder bis 10 Mio. \u20ac [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Am <strong>6. Dezember 2025<\/strong> trat das neue Bundessicherheitsgesetz (BSIG) in Kraft und zieht seither mehr als <strong>29.500 deutsche Unternehmen<\/strong> in die Pflicht, eine Verf\u00fcnffachung gegen\u00fcber dem Vorg\u00e4ngergesetz. Die dreimonatige Registrierungsfrist lief am 6. M\u00e4rz 2026 ab. Wer kein BSI-Konto hat, begeht eine eigenst\u00e4ndige Ordnungswidrigkeit mit Bu\u00dfgeldern bis zehn Millionen Euro.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"das-wichtigste-auf-einen-blick\">Das Wichtigste auf einen Blick<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>BSIG neu in Kraft: <strong>6. Dezember 2025<\/strong> (14 Monate nach EU-Deadline)<\/li>\n<li>Betroffene Unternehmen: von rund <strong>4.500 auf 29.500<\/strong> gestiegen<\/li>\n<li>BSI-Registrierungsportal live seit <strong>6. Januar 2026<\/strong><\/li>\n<li>Registrierungsfrist abgelaufen: <strong>6. M\u00e4rz 2026<\/strong> (Nachregistrierung bu\u00dfgeldbewehrt)<\/li>\n<li>Erstmeldepflicht bei bedeutenden Sicherheitsvorf\u00e4llen: <strong>24 Stunden<\/strong><\/li>\n<li>Folgmeldung mit Details: <strong>72 Stunden<\/strong><\/li>\n<li>H\u00f6chststrafe besonders wichtige Einrichtungen: <strong>10 Mio. Euro oder 2 % globaler Umsatz<\/strong><\/li>\n<li>Pers\u00f6nliche Haftung: Vorstandsmitglieder haften individuell<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"der-lange-weg-zum-bsig-14-monate-verzug\">Der lange Weg zum BSIG: 14 Monate Verzug<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die EU-NIS2-Richtlinie h\u00e4tte bis zum <strong>17. Oktober 2024<\/strong> in nationales Recht umgesetzt werden m\u00fcssen. Deutschland verfehlte diese Frist um <strong>14 Monate<\/strong>. Das Umsetzungsgesetz (NIS2UmsG) passierte den Bundestag am <strong>13. November 2025<\/strong> und trat nach Ver\u00f6ffentlichung im Bundesgesetzblatt am 6. Dezember 2025 in Kraft.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die Gr\u00fcnde f\u00fcr die Verz\u00f6gerung waren politischer Natur. Mehrere Gesetzgebungsanl\u00e4ufe scheiterten an Koalitionskonflikten \u00fcber Lastenverteilung, Sektordefinitionen und die Rolle des BSI als zentraler Aufsichtsbeh\u00f6rde. Nach der Bundestagswahl im Februar 2025 beschleunigte die neue Bundesregierung den Prozess. Laut einer Analyse von <a href=\"https:\/\/www.reedsmith.com\/our-insights\/blogs\/technology-law-dispatch\/102lxfr\/finally-germany-enacts-its-nis2-law\/\" rel=\"noopener\" target=\"_blank\">Reed Smith<\/a> geh\u00f6rt Deutschland damit zu den sp\u00e4ten Umsetzern unter den EU-Mitgliedstaaten, w\u00e4hrend Belgien, Polen und die Niederlande die EU-Deadline bereits 2024 einhielten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das Ergebnis ist einer der weitreichendsten NIS2-Transpositionstexte in Europa. \u201eDas neue BSIG macht Cybersicherheit zur Chefsache und zieht die erste F\u00fchrungsebene direkt in die Verantwortung&#8221;, analysiert <strong>Greenberg Traurig<\/strong> in seiner Einsch\u00e4tzung vom Dezember 2025. Keine andere EU-Umsetzung dehnt die Regulierung in \u00e4hnlichem Ausma\u00df auf die Fertigungsindustrie aus. Keine Pflicht steht unter einem \u00dcbergangsvorbehalt: Seit dem 6. Dezember 2025 muss jede betroffene Einrichtung vollst\u00e4ndig compliant sein.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"wer-ist-betroffen-die-ausweitung-auf-29-500-unternehmen\">Wer ist betroffen? Die Ausweitung auf 29.500 Unternehmen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Unter dem alten IT-SiG 2.0 galten Cybersicherheitsregeln f\u00fcr rund <strong>4.500 KRITIS-Betreiber<\/strong>. Das neue BSIG schlie\u00dft laut BSI-Sch\u00e4tzung nun rund <strong>29.500 Einrichtungen<\/strong> ein, eine Steigerung um den Faktor 6,5. Einzelne Quellen nennen bis zu 40.000, abh\u00e4ngig von der Auslegung neu hinzugekommener Sektordefinitionen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Haupttreiber des Wachstums ist die erstmalige Regulierung der <strong>Fertigungsindustrie<\/strong>, einem Kernbereich der deutschen Wirtschaft. Fahrzeughersteller, Elektronikunternehmen, Maschinenbauer und Medizinproduktehersteller fallen nun unter das Gesetz. Hinzu kommen Lebensmittelproduzenten, Chemieunternehmen, Abfallwirtschaft und Post- und Kurierdienste.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u201eDas neue BSIG betrifft etwa f\u00fcnfmal so viele Unternehmen wie das Vorg\u00e4ngergesetz, vor allem weil neue Sektoren wie die Fertigungsindustrie jetzt erfasst werden&#8221;, schreibt <a href=\"https:\/\/www.dlapiper.com\/en\/insights\/publications\/2026\/02\/nis-2-directive-transposed-in-germany\" rel=\"noopener\" target=\"_blank\">DLA Piper<\/a> in seiner Analyse vom Februar 2026. Auch Lieferanten von regulierten Einrichtungen und digitale Dienstleister mit Sitz au\u00dferhalb der EU fallen unter das BSIG, wenn sie deutschen Unternehmen wesentliche Dienste erbringen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Kleinunternehmen sind nicht pauschal ausgenommen. Die Grundregel gilt f\u00fcr mittlere und gro\u00dfe Betriebe ab <strong>50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz<\/strong>. Unternehmen, die als alleinige Anbieter eines kritischen Dienstes eingestuft werden, k\u00f6nnen auch darunter reguliert werden. Das BSI benachrichtigt betroffene Einrichtungen <strong>nicht aktiv<\/strong>. Jedes Unternehmen muss selbst pr\u00fcfen, ob es unter das Gesetz f\u00e4llt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"zwei-kategorien-besonders-wichtige-und-wichtige-einrichtungen\">Zwei Kategorien: Besonders wichtige und wichtige Einrichtungen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das BSIG kennt zwei Regulierungskategorien mit unterschiedlichen Bu\u00dfgeldobergrenzen und Aufsichtsintensit\u00e4ten. Die Einstufung in Anhang 1 oder 2 des Gesetzes bestimmt, welche Pflichten gelten und welche Strafen drohen.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Kategorie<\/th><th>Anhang BSIG<\/th><th>H\u00f6chstbu\u00dfgeld<\/th><th>Beispiele<\/th><\/tr><\/thead><tbody><tr><td><strong>Besonders wichtige Einrichtungen<\/strong><\/td><td>Anhang 1<\/td><td>10 Mio. \u20ac oder 2 % globaler Jahresumsatz (je nachdem, was h\u00f6her ist)<\/td><td>Energieversorger, Krankenh\u00e4user, Flugh\u00e4fen, Banken, Wasserwerke, Telekommunikation, Cloud-Infrastruktur<\/td><\/tr><tr><td><strong>Wichtige Einrichtungen<\/strong><\/td><td>Anhang 2<\/td><td>7 Mio. \u20ac oder 1,4 % globaler Jahresumsatz (je nachdem, was h\u00f6her ist)<\/td><td>Chemieunternehmen, Lebensmittelhersteller, Maschinenbauer, Postdienste, Abfallwirtschaft, Online-Marktpl\u00e4tze<\/td><\/tr><tr><td><strong>KRITIS-Betreiber<\/strong><\/td><td>Definition \u00a7 28 BSIG<\/td><td>F\u00e4llt unter besonders wichtige Einrichtungen<\/td><td>Betreiber kritischer Infrastrukturen in Energie, Wasser, IT, Gesundheit<\/td><\/tr><tr><td><strong>Digitale Infrastruktur<\/strong><\/td><td>Anhang 1<\/td><td>10 Mio. \u20ac oder 2 %<\/td><td>DNS-Betreiber, CDN-Anbieter, TLD-Register, Rechenzentrumsbetreiber<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Ein zentrales Novum gegen\u00fcber dem alten Recht: Vorstandsmitglieder und Gesch\u00e4ftsf\u00fchrer haften pers\u00f6nlich f\u00fcr Cybersicherheitspflichtverletzungen. Strafen treffen nicht mehr nur die juristische Person, sondern individuell auch die verantwortlichen Personen an der Unternehmensspitze. Laut <a href=\"https:\/\/ezine.eversheds-sutherland.com\/eu-nis2-directive\/germany\" rel=\"noopener\" target=\"_blank\">Eversheds Sutherland<\/a> ist diese pers\u00f6nliche Haftung eines der sch\u00e4rfsten Elemente der deutschen Umsetzung im EU-Vergleich.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"15-sektoren-welche-branchen-das-gesetz-erfasst\">15 Sektoren: Welche Branchen das Gesetz erfasst<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das BSIG deckt 15 Sektoren ab. Sieben gelten als besonders wichtig (Anhang 1), acht als wichtig (Anhang 2). Das BSI informiert betroffene Unternehmen nicht proaktiv. Sechs der 15 Sektoren sind erstmals seit dem BSIG 2025 reguliert.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Sektor<\/th><th>Kategorie<\/th><th>Neu seit BSIG 2025<\/th><th>Besonderheit<\/th><\/tr><\/thead><tbody><tr><td>Energie<\/td><td>Besonders wichtig<\/td><td>Nein<\/td><td>Strom, Gas, Fernw\u00e4rme, \u00d6l; zus\u00e4tzlich BNetzA-Anforderungen<\/td><\/tr><tr><td>Verkehr<\/td><td>Besonders wichtig<\/td><td>Nein<\/td><td>Luftfahrt, Schiene, Stra\u00dfe, Seeschifffahrt<\/td><\/tr><tr><td>Bankwesen<\/td><td>Besonders wichtig<\/td><td>Nein<\/td><td>Kreditinstitute, Finanzmarktinfrastrukturen<\/td><\/tr><tr><td>Gesundheit<\/td><td>Besonders wichtig<\/td><td>Nein<\/td><td>Krankenh\u00e4user, Labore, Pharmazie, Medizinger\u00e4te<\/td><\/tr><tr><td>Digitale Infrastruktur<\/td><td>Besonders wichtig<\/td><td>Nein (ausgeweitet)<\/td><td>Cloud, DNS, CDN, TLD-Register, Rechenzentren<\/td><\/tr><tr><td>Trinkwasser<\/td><td>Besonders wichtig<\/td><td>Nein<\/td><td>Wasserversorgung und -aufbereitung<\/td><\/tr><tr><td>Abwasser<\/td><td>Besonders wichtig<\/td><td><strong>Ja<\/strong><\/td><td>Abwasserbetriebe erstmals reguliert<\/td><\/tr><tr><td>\u00d6ffentliche Verwaltung<\/td><td>Besonders wichtig<\/td><td><strong>Ja<\/strong><\/td><td>Bundes- und L\u00e4nderbeh\u00f6rden<\/td><\/tr><tr><td>Weltraum<\/td><td>Besonders wichtig<\/td><td><strong>Ja<\/strong><\/td><td>Satellitenbetreiber, Bodenstationen<\/td><\/tr><tr><td>Post- und Kurierdienste<\/td><td>Wichtig<\/td><td><strong>Ja<\/strong><\/td><td>Deutsche Post, DHL, Kurierdienste<\/td><\/tr><tr><td>Abfallwirtschaft<\/td><td>Wichtig<\/td><td><strong>Ja<\/strong><\/td><td>M\u00fcllentsorgung, Recyclingunternehmen<\/td><\/tr><tr><td>Chemie<\/td><td>Wichtig<\/td><td><strong>Ja<\/strong><\/td><td>Chemikalienproduktion und -handel<\/td><\/tr><tr><td>Lebensmittelproduktion<\/td><td>Wichtig<\/td><td><strong>Ja<\/strong><\/td><td>Hersteller und Verarbeiter ab mittlerer Gr\u00f6\u00dfe<\/td><\/tr><tr><td>Fertigung<\/td><td>Wichtig<\/td><td><strong>Ja<\/strong><\/td><td>Fahrzeuge, Elektronik, Medizinprodukte, Maschinenbau<\/td><\/tr><tr><td>Digitale Dienste<\/td><td>Wichtig<\/td><td>Nein (ausgeweitet)<\/td><td>Online-Marktpl\u00e4tze, Suchmaschinen, soziale Netzwerke<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"die-drei-kernpflichten-registrierung-meldung-risikomanagement\">Die drei Kernpflichten: Registrierung, Meldung, Risikomanagement<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das BSIG verpflichtet alle erfassten Einrichtungen zu drei zentralen Ma\u00dfnahmen, die seit dem 6. Dezember 2025 ohne \u00dcbergangsfrist gelten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"1-registrierung-beim-bsi\">1. Registrierung beim BSI<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Alle betroffenen Einrichtungen mussten sich bis <strong>6. M\u00e4rz 2026<\/strong> beim BSI registrieren. Das Portal ist unter muk.bsi.bund.de erreichbar und seit dem 6. Januar 2026 aktiv. Voraussetzung ist ein Organisationskonto \u00fcber \u201eMein Unternehmenskonto&#8221; (MUK) mit ELSTER-Zertifikat. Wer die Frist verpasst hat, kann sich nachregistrieren, begeht dabei jedoch nach \u00a7 65 BSIG eine eigenst\u00e4ndige, bu\u00dfgeldbewehrte Ordnungswidrigkeit. Das BSI akzeptiert Nachregistrierungen, wertet das Vers\u00e4umnis aber als separaten Versto\u00df.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"2-meldung-bedeutender-sicherheitsvorfaelle\">2. Meldung bedeutender Sicherheitsvorf\u00e4lle<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Bei einem bedeutenden Sicherheitsvorfall gilt eine <strong>24-Stunden-Erstmeldepflicht<\/strong> gegen\u00fcber dem BSI, gerechnet ab dem Moment der Kenntnisnahme. Innerhalb von <strong>72 Stunden<\/strong> folgt eine detaillierte Folgmeldung. Bis zur vollst\u00e4ndigen Portalregistrierung akzeptiert das BSI Meldungen \u00fcber ein \u00dcbergangsformular auf bsi.bund.de. Die 24-Stunden-Frist galt f\u00fcr KRITIS-Betreiber unter dem alten Recht bereits seit dem 1. April 2025. Das BSIG weitet sie nun auf alle 29.500 Einrichtungen aus.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"3-risikomanagement-und-dokumentation\">3. Risikomanagement und Dokumentation<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Alle erfassten Einrichtungen m\u00fcssen Risikomanagementma\u00dfnahmen implementieren und vollst\u00e4ndig dokumentieren. Die Pflicht gilt seit dem ersten Tag des Inkrafttretens. KRITIS-Betreiber weisen die korrekte Umsetzung nach \u00a7\u00a7 30, 31 und 38 BSIG alle <strong>drei Jahre<\/strong> durch Audits, Inspektionen oder Zertifizierungen gegen\u00fcber dem BSI nach, mit erheblich erweitertem Pr\u00fcfkatalog gegen\u00fcber dem IT-SiG 2.0.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"bussgelder-und-persoenliche-vorstandshaftung\">Bu\u00dfgelder und pers\u00f6nliche Vorstandshaftung<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">\u00a7 65 BSIG sieht f\u00fcr Verst\u00f6\u00dfe empfindliche Sanktionen vor. Die H\u00f6he richtet sich nach der Einrichtungskategorie und der Schwere des Versto\u00dfes. Das BSI muss keinen tats\u00e4chlichen Sicherheitsvorfall nachweisen. Die Nichteinhaltung der Registrierungspflicht oder das Vers\u00e4umen einer Meldepflicht reicht als Bu\u00dfgeldgrundlage aus.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr <strong>besonders wichtige Einrichtungen<\/strong>, darunter Energieversorger, Krankenh\u00e4user und Banken, gilt die Obergrenze von <strong>zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes<\/strong>, je nachdem, was h\u00f6her ausf\u00e4llt. F\u00fcr <strong>wichtige Einrichtungen<\/strong>, wie Maschinenbauer und Lebensmittelproduzenten, liegt die Grenze bei <strong>sieben Millionen Euro oder 1,4 Prozent<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das gravierendste Novum gegen\u00fcber dem Vorg\u00e4ngergesetz ist die <strong>pers\u00f6nliche Haftung von Vorstandsmitgliedern und Gesch\u00e4ftsf\u00fchrern<\/strong>. Sie k\u00f6nnen individuell f\u00fcr Cybersicherheitspflichtverletzungen ihrer Einrichtung sanktioniert werden. \u201eDas macht Cybersicherheit unausweichlich zur F\u00fchrungsaufgabe&#8221;, fasst die Kanzlei <strong>SZA Schilling, Zutt und Ansch\u00fctz<\/strong> in ihrer Einsch\u00e4tzung zusammen. \u201eWer dieses Thema an die IT-Abteilung delegiert und sich selbst nicht damit befasst, riskiert pers\u00f6nliche Konsequenzen.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Analysten von <a href=\"https:\/\/copla.com\/blog\/compliance-regulations\/understanding-the-implications-and-technical-standards-of-nis-2-for-german-entities\/\" rel=\"noopener\" target=\"_blank\">Copla<\/a> betonen: \u201eMit der fast zehnfachen Ausweitung des Anwendungsbereichs und Bu\u00dfgeldern auf DSGVO-Niveau stehen auch mittelst\u00e4ndische Maschinenbauer und lokale Versorgungsunternehmen erstmals im Visier der Regulatoren.&#8221;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"bsi-registrierung-der-dreistufige-prozess\">BSI-Registrierung: Der dreistufige Prozess<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Unternehmen, die die Registrierungsfrist verpasst haben, sollten den Prozess sofort ansto\u00dfen. Jeder weitere Tag ohne Registrierung verl\u00e4ngert die Haftungsperiode.<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>ELSTER-Organisationszertifikat beschaffen:<\/strong> Ohne g\u00fcltiges ELSTER-Zertifikat ist keine Registrierung m\u00f6glich. Unternehmen ohne Zertifikat m\u00fcssen dieses zun\u00e4chst bei den zust\u00e4ndigen Finanzbeh\u00f6rden beantragen. Der Prozess dauert in der Regel mehrere Werktage.<\/li>\n<li><strong>MUK-Konto anlegen:<\/strong> \u00dcber \u201eMein Unternehmenskonto&#8221; (MUK) unter muk.bsi.bund.de richtet das Unternehmen ein Organisationskonto ein. Das BSI empfahl diesen Schritt bereits bis Ende 2025, um Registrierungsverz\u00f6gerungen zu vermeiden.<\/li>\n<li><strong>Registrierung im BSI-Meldeportal abschlie\u00dfen:<\/strong> Ab dem 6. Januar 2026 dient das BSI-Portal sowohl der Erstregistrierung als auch der laufenden Meldung bedeutender Sicherheitsvorf\u00e4lle. Vor Abschluss der Portalregistrierung sind Vorf\u00e4lle \u00fcber das BSI-\u00dcbergangsformular zu melden.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">Laut <a href=\"https:\/\/www.docusnap.com\/en\/it-documentation\/nis-2-directive-implementation-by-germany\" rel=\"noopener\" target=\"_blank\">Docusnap<\/a> ist die Nachregistrierung zu empfehlen, auch wenn die Frist verstrichen ist: \u201eDie fehlende Registrierung ist eine eigenst\u00e4ndige Ordnungswidrigkeit. Wer sich nachregistriert, zeigt zumindest Compliance-Willen, was bei der Strafzumessung relevant sein kann.&#8221;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cybersicherheitslage-2026-warum-das-gesetz-jetzt-kommt\">Cybersicherheitslage 2026: Warum das Gesetz jetzt kommt<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Das BSIG trifft eine Wirtschaft unter erheblichem Angriffsdruck. Der <a href=\"\/de\/bka-cybercrime-lagebericht-2025\/\">BKA-Cybercrime-Lagebericht 2025<\/a> dokumentierte <strong>333.922 gemeldete Cybercrime-F\u00e4lle<\/strong> und wirtschaftliche Sch\u00e4den von <strong>202,4 Milliarden Euro<\/strong> allein f\u00fcr Deutschland. Ransomware, Phishing und Identit\u00e4tsdiebstahl bleiben die h\u00e4ufigsten Angriffsvektoren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Check Point Software Technologies identifizierte f\u00fcr 2025 einen Anstieg der Cyberangriffe auf die <a href=\"\/de\/deutschland-cyberangriffe-124-prozent-dach-2026\/\">DACH-Region um 124 Prozent<\/a>. Deutschland tr\u00e4gt mit <strong>82 Prozent<\/strong> den gr\u00f6\u00dften Anteil aller DACH-Vorf\u00e4lle. Hacktivist-Gruppen wie <strong>NoName057(16)<\/strong> und <strong>Dark Storm Team<\/strong> f\u00fchrten Website-Defacement-Kampagnen durch, w\u00e4hrend Ransomware-Gruppen wie <strong>Qilin<\/strong>, <strong>Akira<\/strong> und <strong>LockBit<\/strong> Einrichtungen mit schwacher Authentifizierung und exponierten Systemen angriffen. Ransomware machte <strong>30 Prozent<\/strong> aller DACH-Vorf\u00e4lle aus.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Chambers and Partners h\u00e4lt im Germany-Cybersecurity-L\u00e4nderbericht 2026 fest: \u201e<a href=\"https:\/\/practiceguides.chambers.com\/practice-guides\/cybersecurity-2026\/germany\/trends-and-developments\" rel=\"noopener\" target=\"_blank\">Cyberkriminalit\u00e4t in Deutschland wird 2026 von gut organisierten Gruppen mit klaren internen Strukturen, spezialisierten Rollen und definierten Erl\u00f6smodellen dominiert. Diese Gruppen \u00e4hneln in ihrer Betriebsdisziplin und strategischen Planung zunehmend regul\u00e4ren Unternehmen.<\/a>&#8220;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der KI-Angriffs-Vektor w\u00e4chst. <strong>73 Prozent<\/strong> der DACH-CISOs geben an, KI-gest\u00fctzte Angriffe nicht ausreichend abwehren zu k\u00f6nnen. Global lag die durchschnittliche Angriffslast bei <strong>2.090 Cyberangriffen pro Organisation pro Woche<\/strong> im Januar 2026, ein Anstieg von <strong>17 Prozent<\/strong> gegen\u00fcber Januar 2025. Europa verzeichnete ein Plus von <strong>18 Prozent<\/strong>. Das BSIG soll Cybersicherheit vom freiwilligen Standard zur gesetzlichen Mindestanforderung machen. Der politische Druck war nach dem <a href=\"\/de\/apt28-gru-tp-link-router-deutschland-2026\/\">APT28-Angriff auf 30 deutsche TP-Link-Router<\/a> und dem <a href=\"\/de\/qilin-ransomware-die-linke-angriff-2026\/\">Qilin-Angriff auf Die Linke<\/a> erheblich gestiegen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"deutschland-im-eu-vergleich-spaet-aber-weitreichend\">Deutschland im EU-Vergleich: Sp\u00e4t, aber weitreichend<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Deutschland implementierte NIS2 mit <strong>14 Monaten Verzug<\/strong> gegen\u00fcber der EU-Deadline. Laut <a href=\"https:\/\/www.openkritis.de\/eu\/eu-nis-2-germany.html\" rel=\"noopener\" target=\"_blank\">OpenKRITIS<\/a> z\u00e4hlt Deutschland zu den sp\u00e4ten Umsetzern, w\u00e4hrend Kroatien, Belgien und die Niederlande bereits 2024 im Plan lagen. Der Verzug hatte praktische Konsequenzen: F\u00fcr \u00fcber ein Jahr nach dem EU-Stichtag galten keine verbindlichen NIS2-Pflichten in Deutschland.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der Umfang der deutschen Umsetzung geh\u00f6rt dennoch zu den weitreichendsten in Europa. Mit rund 29.500 regulierten Einrichtungen reguliert Deutschland proportional zur Wirtschaftsgr\u00f6\u00dfe mehr Unternehmen als die meisten EU-Staaten. Die explizite Einbeziehung der Fertigungsindustrie ist dabei ein Alleinstellungsmerkmal der deutschen Umsetzung, das dem Industriestandort besondere Bedeutung gibt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr internationale Konzerne mit deutschen Tochtergesellschaften gilt das BSIG auch dann, wenn der Mutterkonzern au\u00dferhalb der EU sitzt, sofern die deutsche Einrichtung in einem regulierten Sektor t\u00e4tig ist. Digitale Dienstleister aus Drittstaaten fallen ebenfalls in den Anwendungsbereich, wenn sie deutschen BSIG-pflichtigen Einrichtungen wesentliche Dienste bereitstellen. Diese extraterritoriale Wirkung ist ein wichtiges Detail f\u00fcr US- und asiatische Technologieanbieter mit deutschem Kundenstamm.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"was-unternehmen-jetzt-tun-muessen\">Was Unternehmen jetzt tun m\u00fcssen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr Einrichtungen, die bislang keine Schritte unternommen haben, sind vier Ma\u00dfnahmen sofort anzugehen.<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Selbsteinstufung vornehmen:<\/strong> Anhand der BSIG-Sektorenliste pr\u00fcfen, ob das Unternehmen als besonders wichtige oder wichtige Einrichtung gilt. Das BSI informiert Unternehmen nicht proaktiv. Irrtum \u00fcber die eigene Regulierungspflicht sch\u00fctzt nicht vor Strafe.<\/li>\n<li><strong>Registrierung nachholen:<\/strong> MUK-Konto einrichten, ELSTER-Zertifikat beschaffen und Registrierung im BSI-Portal abschlie\u00dfen. Nachregistrierungen sind m\u00f6glich, aber bu\u00dfgeldbewehrt.<\/li>\n<li><strong>Meldeprozesse einrichten:<\/strong> Interne Prozesse f\u00fcr die 24-Stunden-Erstmeldung und die 72-Stunden-Folgmeldung bei bedeutenden Vorf\u00e4llen schriftlich definieren, verantwortliche Personen benennen und den Prozess intern testen.<\/li>\n<li><strong>Risikomanagementdokumentation erstellen:<\/strong> Bestandsaufnahme bestehender Sicherheitsma\u00dfnahmen, L\u00fcckenanalyse und vollst\u00e4ndige Dokumentation nach BSIG-Anforderungen. F\u00fcr KRITIS-Betreiber gilt dies auch als Vorbereitung auf den Drei-Jahres-Audit.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr KRITIS-Betreiber, die bereits seit Jahren BSI-Audits kennen, bedeutet das BSIG einen ausgeweiteten Pr\u00fcfkatalog. F\u00fcr Fertigungsunternehmen, Lebensmittelproduzenten und Chemiekonzerne, die erstmals reguliert werden, ist der Umsetzungsaufwand erheblich gr\u00f6\u00dfer. ISO-27001-Zertifizierungen und BSI IT-Grundschutz bieten sich als strukturierter Einstieg an.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"fuenf-prognosen-fuer-nis2-enforcement-in-deutschland\">F\u00fcnf Prognosen f\u00fcr NIS2-Enforcement in Deutschland<\/h2>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Erste BSI-Bu\u00dfgelder noch 2026:<\/strong> Die Registrierungsfrist ist seit M\u00e4rz 2026 abgelaufen. Das BSI hat Sanktionen f\u00fcr Verst\u00f6\u00dfe angek\u00fcndigt. Erste Bu\u00dfgeldbescheide gegen nicht registrierte Einrichtungen sind bis Ende 2026 wahrscheinlich. Die H\u00f6he wird Signalwirkung f\u00fcr die gesamte Branche haben.<\/li>\n<li><strong>Streit \u00fcber Sektorzugeh\u00f6rigkeit vor Verwaltungsgerichten:<\/strong> Die breite Definition des Fertigungssektors wird zahlreiche Unternehmen dazu bewegen, ihre Einstufung anzufechten. Verwaltungsgerichte werden erstmals \u00fcber die Reichweite des BSIG urteilen. Erste Entscheidungen sind 2027 zu erwarten.<\/li>\n<li><strong>Vorstandshaftung als Pr\u00e4zedenzfall:<\/strong> Die erste pers\u00f6nliche Sanktion gegen ein Vorstandsmitglied wird eine erhebliche Signalwirkung entfalten. Dieser Schritt ist eine Frage des Zeitpunkts, nicht der Wahrscheinlichkeit. Die Beweislast f\u00fcr mangelhafte Compliance liegt beim BSI, aber umfangreiche Dokumentationspflichten erleichtern diesen Nachweis.<\/li>\n<li><strong>Boom bei Zertifizierungen und ISMS-Audits:<\/strong> ISO 27001 und BSI IT-Grundschutz gewinnen als Nachweisinstrument stark an Bedeutung. Zertifizierungsdienstleister, ISMS-Berater und Auditoren profitieren direkt. Der Markt f\u00fcr Compliance-Dienstleistungen w\u00e4chst parallel zur Ausweitung des Anwendungsbereichs.<\/li>\n<li><strong>Lieferkettendruck auf nicht regulierte Zulieferer:<\/strong> Gr\u00f6\u00dfere BSIG-Einrichtungen werden ihre Lieferanten zunehmend nach NIS2-kompatiblen Sicherheitsstandards ausw\u00e4hlen. Kleine Zulieferer unterhalb der BSIG-Schwellenwerte geraten trotzdem unter Druck, weil ihre Kunden entsprechende Vertragsverpflichtungen einfordern werden.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"haeufige-fragen-faq\">H\u00e4ufige Fragen (FAQ)<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"gilt-das-bsig-auch-fuer-gmbhs-und-mittelstaendler\">Gilt das BSIG auch f\u00fcr GmbHs und Mittelst\u00e4ndler?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ja. Das BSIG unterscheidet nicht nach Rechtsform. Es gilt f\u00fcr alle Unternehmen ab <strong>50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz<\/strong>, die in einem der 15 regulierten Sektoren t\u00e4tig sind. Kleinere Unternehmen k\u00f6nnen ebenfalls reguliert werden, wenn sie als alleinige Anbieter kritischer Dienste eingestuft werden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-passiert-wenn-die-registrierungsfrist-verpasst-wurde\">Was passiert, wenn die Registrierungsfrist verpasst wurde?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die Erstregistrierungsfrist lief am 6. M\u00e4rz 2026 ab. Die Nachregistrierung ist m\u00f6glich, gilt aber nach \u00a7 65 BSIG als eigenst\u00e4ndige Ordnungswidrigkeit. Wer sich noch nicht registriert hat, sollte dies umgehend nachholen, da jeder weitere Tag die Haftungsperiode verl\u00e4ngert. Das BSI kann die Nachregistrierung als Compliance-Signal werten, das bei der Strafzumessung ber\u00fccksichtigt wird.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"muessen-vorstandsmitglieder-bei-einem-cyberangriff-persoenlich-haften\">M\u00fcssen Vorstandsmitglieder bei einem Cyberangriff pers\u00f6nlich haften?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ein eingetretener Cyberangriff allein l\u00f6st keine pers\u00f6nliche Haftung aus. Entscheidend ist, ob die nach BSIG vorgeschriebenen Sicherheitsma\u00dfnahmen implementiert und dokumentiert waren. Haftung droht bei nachgewiesener Pflichtverletzung, also wenn die Einrichtung ihre Cybersicherheitspflichten nicht erf\u00fcllt hat.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wann-ist-ein-sicherheitsvorfall-meldepflichtig\">Wann ist ein Sicherheitsvorfall meldepflichtig?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Das BSIG definiert einen meldepflichtigen Vorfall als Ereignis mit erheblichen Auswirkungen auf Verf\u00fcgbarkeit, Integrit\u00e4t oder Vertraulichkeit der IT-Systeme oder Dienste einer Einrichtung. Kriterien sind die Anzahl betroffener Nutzer, Ausfallzeit und finanzielle Folgen. Das BSI ver\u00f6ffentlicht hierzu Leitlinien. Im Zweifel gilt: melden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"fallen-tochtergesellschaften-auslaendischer-konzerne-unter-das-bsig\">Fallen Tochtergesellschaften ausl\u00e4ndischer Konzerne unter das BSIG?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Ja. Entscheidend ist der Ort der Dienstleistungserbringung, nicht der Konzernsitz. Eine deutsche Tochtergesellschaft eines US-Konzerns, die in einem regulierten Sektor t\u00e4tig ist, f\u00e4llt unter das BSIG. Ausl\u00e4ndische digitale Dienstleister ohne EU-Sitz sind ebenfalls reguliert, wenn sie deutschen BSIG-pflichtigen Einrichtungen Dienste anbieten.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-verhaelt-sich-das-bsig-zur-dsgvo\">Wie verh\u00e4lt sich das BSIG zur DSGVO?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">BSIG und DSGVO erg\u00e4nzen sich. Die DSGVO schreibt technische Sicherheitsma\u00dfnahmen f\u00fcr personenbezogene Daten vor (Art. 32). Das BSIG verpflichtet zur Absicherung aller IT-Systeme, unabh\u00e4ngig davon, ob personenbezogene Daten verarbeitet werden. Manche Sicherheitsvorf\u00e4lle l\u00f6sen Meldepflichten nach beiden Gesetzen gleichzeitig aus: DSGVO-Meldung an die Datenschutzbeh\u00f6rde innerhalb von 72 Stunden, BSIG-Erstmeldung an das BSI innerhalb von 24 Stunden.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"wie-oft-muessen-kritis-betreiber-ihre-compliance-nachweisen\">Wie oft m\u00fcssen KRITIS-Betreiber ihre Compliance nachweisen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">KRITIS-Betreiber weisen die Einhaltung der Sicherheitsanforderungen nach \u00a7\u00a7 30, 31 und 38 BSIG alle <strong>drei Jahre<\/strong> gegen\u00fcber dem BSI nach. Der Nachweis erfolgt durch Audits, Inspektionen oder Zertifizierungen. Der erste Nachweis-Zyklus beginnt mit der Registrierung im BSI-Portal.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"verwandte-berichte\">Verwandte Berichte<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Weiterf\u00fchrende Analysen zur Cybersicherheit in Deutschland und der DACH-Region:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/de\/bka-cybercrime-lagebericht-2025\/\">BKA Cybercrime-Lagebericht 2025: 333.922 F\u00e4lle, 202 Mrd. Euro Schaden<\/a><\/li>\n<li><a href=\"\/de\/deutschland-cyberangriffe-124-prozent-dach-2026\/\">Deutschland: Cyberangriffe steigen 2025 um 124 Prozent<\/a><\/li>\n<li><a href=\"\/de\/apt28-gru-tp-link-router-deutschland-2026\/\">APT28 hackt TP-Link-Router in Deutschland: 30 Ger\u00e4te kompromittiert, 15 L\u00e4nder warnen<\/a><\/li>\n<li><a href=\"\/de\/qilin-ransomware-die-linke-angriff-2026\/\">Die Linke gehackt: Qilin klaut 1,5 TB Daten<\/a><\/li>\n<li><a href=\"\/de\/langflow-cve-2026-33017-rce-ki-pipelines-2026\/\">Langflow CVE-2026-33017: CVSS 9.3, KI-Pipelines in 20 Stunden kompromittiert<\/a><\/li>\n<li><a href=\"\/de\/security\/\">Mehr aus der Kategorie Sicherheit<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Am 6. Dezember 2025 trat das neue Bundessicherheitsgesetz (BSIG) in Kraft und zieht seither mehr als 29.500 deutsche Unternehmen in die Pflicht, eine Verf\u00fcnffachung gegen\u00fcber dem Vorg\u00e4ngergesetz. Die dreimonatige Registrierungsfrist\u2026<\/p>\n","protected":false},"author":7,"featured_media":300,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-299","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/299","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/comments?post=299"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/299\/revisions"}],"predecessor-version":[{"id":301,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/299\/revisions\/301"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media\/300"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media?parent=299"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/categories?post=299"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/tags?post=299"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}