NIS2-Registrierung: Frist für KMU endet am 31. Juli 2026
#NIS2 #BSI #Registrierungsfrist #Cybersicherheit #KMU
Ein Metallbaubetrieb, 35 Mitarbeiter, volle Auftragsbücher. NIS2? „Betrifft uns nicht, wir sind zu klein.“ Dann kommt die E-Mail vom größten Kunden: ein Fragebogen zur Informationssicherheit, vier Seiten, Rückmeldung binnen vier Wochen. Wer nicht liefert, fliegt von der Lieferantenliste. Willkommen im Sommer 2026: NIS2 erreicht jetzt auch die Betriebe, die offiziell gar nicht betroffen sind.
Und für alle, die direkt betroffen sind, tickt die Uhr noch lauter. Wer bei Google „NIS2 Registrierung Frist KMU“ eingibt, bekommt hier die kurze Antwort vorweg: Die Nachfrist für die Registrierung beim BSI endet am 31. Juli 2026. Danach drohen Bußgelder. Die lange Antwort – und warum das Thema auch kleinere Betriebe ohne Registrierungspflicht trifft – folgt jetzt.
NIS2-Registrierung: Diese Frist gilt für KMU
Die Zahlen sind ernüchternd: Bis Ende Mai hatten sich nur rund 18.500 von 29.500 erwarteten Unternehmen beim BSI registriert – daraufhin gewährte die Behörde eine Nachfrist bis zum 31. Juli 2026. Das heißt: Rund ein Drittel der betroffenen Firmen war zuletzt noch untätig. Viele davon sind klassische Mittelständler, die gar nicht wissen, dass sie gemeint sind.
Wer muss handeln? Grundsätzlich Organisationen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro, sofern sie in einem der 18 kritischen Sektoren tätig sind. Dazu zählen längst nicht nur Kraftwerke und Kliniken, sondern etwa auch verarbeitendes Gewerbe, Maschinenbau, Lebensmittel, Logistik und digitale Dienste. Ein Blick in die Sektorenliste lohnt sich also auch dann, wenn sich der eigene Betrieb nie als „kritisch“ empfunden hat.
Die Registrierung selbst ist der kleinste Teil der NIS2-Pflichten – aber der mit dem klarsten Datum. Und mit einem klaren Preisschild: Bei Fristversäumnis drohen empfindliche Bußgelder, allein für die Verletzung der Registrierungspflicht bis zu 500.000 Euro. Für inhaltliche Verstöße wird es noch teurer: Bei besonders wichtigen Einrichtungen stehen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes im Raum.
Wer zusätzlich als Betreiber kritischer Infrastrukturen gilt, hat noch eine zweite Baustelle: Nach dem KRITIS-Dachgesetz sollten sich rund 1.300 Betreiber kritischer Infrastrukturen bis zum 17. Juli 2026 beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe registrieren. Diese Frist wurde allerdings zuletzt entschärft: Der Bundestag hat am 12. Juni 2026 die Streichung des Termins 17. Juli beschlossen, der Bundesrat befasste sich am 10. Juli damit – künftig gilt die Frist drei Monate nach Inkrafttreten der noch fehlenden KRITIS-Verordnung. Entwarnung ist das nicht, nur Aufschub.
Selbstdiagnose: Direkt, indirekt oder gar nicht betroffen?
Die wichtigste Frage für jeden Betrieb lautet nicht „Was muss ich alles tun?“, sondern zuerst: „In welcher der drei Gruppen bin ich überhaupt?“
Gruppe 1 – direkt betroffen: Sie überschreiten die Schwellenwerte (über 50 Mitarbeiter oder über 10 Millionen Euro Umsatz) und arbeiten in einem der 18 Sektoren. Dann gilt die Registrierungspflicht beim BSI – und der 31. Juli ist Ihr Datum.
Gruppe 2 – indirekt betroffen: Sie liegen unter den Schwellen, beliefern aber regulierte Unternehmen. Genau hier greift der oft übersehene Mechanismus: NIS2 betrifft direkt nur besonders wichtige und wichtige Einrichtungen – doch die Lieferketten-Anforderung erzeugt einen Kaskadeneffekt: Wenn NIS2-betroffene Unternehmen ihre Lieferanten vertraglich zur Einhaltung von Sicherheitsstandards verpflichten, werden diese indirekt NIS2-pflichtig. Das Beispiel aus der Praxis: Ein Zulieferer mit 30 Mitarbeitern im Maschinen- und Anlagenbau fällt unter Umständen nicht unter die NIS2-Schwellenwerte – trotzdem stellt sein Kunde vertragliche Cybersecurity-Anforderungen, und der Zulieferer muss sie erfüllen, um den Kunden nicht zu verlieren. Das trifft Handwerksbetriebe mit Industriekunden genauso wie Ingenieurbüros und IT-Dienstleister.
Gruppe 3 – (noch) gar nicht betroffen: Kein kritischer Sektor, keine regulierten Kunden. Diese Gruppe wird 2026 spürbar kleiner – und selbst wer hier landet, bleibt Ziel von Angreifern. Dazu gleich mehr.
Der zweite Hebel: Großkunden prüfen 2026 die Lieferkette
Warum kommt die Fragebogen-Welle ausgerechnet jetzt? Weil die regulierten Konzerne selbst unter Zugzwang stehen – und weil dort viel aufzuholen ist: Etwa 74 Prozent der europäischen Unternehmen haben ihre Lieferketten bisher nicht hinreichend abgesichert. Wer als Großkunde haftet, wenn der Angriff über einen Dienstleister hereinkommt, prüft seine Lieferanten künftig systematisch: Fragebögen, Vertragsklauseln, teils Audits.
Für kleinere Zulieferer ist das eine unbequeme, aber ehrliche Wahrheit: Die Frage ist nicht mehr, ob ein Gesetz sie direkt nennt. Die Frage ist, ob sie ihrem wichtigsten Kunden ein belastbares Cyber-Risikomanagement nachweisen können, wenn der Fragebogen kommt. Wer das nicht kann, verliert keine Gerichtsverfahren – sondern Ausschreibungen.
Ransomware: KMU sind die Hauptopfergruppe
Dass die Großkunden so genau hinschauen, hat einen handfesten Grund. Die Bedrohungslage eskaliert – und trifft vor allem den Mittelstand. Laut „Security Navigator 2026“ von Orange Cyberdefense ist die Zahl bekannter Opfer von Cyber-Erpressung in Deutschland im Vergleich zum Vorjahr um rund 91 Prozent gestiegen – basierend auf über 139.000 ausgewerteten Sicherheitsvorfällen.
Und wer sind die Opfer? Das BSI stuft KMU im Lagebericht 2025 explizit als besonders gefährdet ein – wegen fehlender Ressourcen, fehlendem Fachwissen und unklarer Zuständigkeiten; 80 Prozent aller angezeigten Ransomware-Angriffe in Deutschland betrafen KMU. Eine weitere Auswertung zeigt: 96 Prozent aller auf Leak-Seiten veröffentlichten deutschen Opfer sind Unternehmen mit weniger als 5.000 Mitarbeitern. Die Vorstellung, Angreifer interessierten sich nur für Konzerne, ist damit widerlegt – es ist genau umgekehrt.
Gleichzeitig rüsten die Angreifer technisch auf: Im ersten Quartal 2026 waren bereits 86 Prozent aller Phishing-Angriffe KI-gestützt – täuschend echte Mails, fehlerfrei, personalisiert. Auf der Verteidigerseite sieht es dagegen mau aus: Rund 52 Prozent der KRITIS-Betreiber verfügen noch nicht über ausreichende Angriffserkennungssysteme.
Chefsache im Wortsinn: Die Geschäftsführung haftet persönlich
Ein Punkt, der in vielen Betrieben noch nicht angekommen ist: Die rechtliche Verantwortung für Cybersicherheit rückt 2026 verstärkt in die Führungsetagen – nach NIS2-Artikel 20 und Änderungen im GmbH- und Aktiengesetz haften Geschäftsführer persönlich für Versäumnisse im IT-Risikomanagement, und diese Haftung ist nicht delegierbar. „Darum kümmert sich unser IT-Dienstleister“ ist damit keine Antwort mehr, die im Ernstfall trägt. Die Verantwortung bleibt am Schreibtisch der Geschäftsführung.
Das gilt in Österreich
Österreich setzt NIS2 über das NISG 2026 um – verspätet, aber jetzt mit klarem Fahrplan. Das Gesetz wurde am 23. Dezember 2025 kundgemacht und tritt am 1. Oktober 2026 in Kraft. Die Verspätung hatte Folgen: Die Europäische Kommission leitete ein Vertragsverletzungsverfahren ein und schickte am 7. Mai 2025 eine mit Gründen versehene Stellungnahme nach Wien.
Zur Betroffenheit gehen die Schätzungen auseinander: Rund 5.000 Unternehmen und Organisationen sind direkt betroffen, dazu etwa 50.000 Zulieferer; die WKO spricht von rund 4.000 Unternehmen und Einrichtungen ab mittlerer Größe aus 18 festgelegten gesellschaftlich relevanten Sektoren. Neu ist die Aufsicht: Das durch das NISG 2026 geschaffene Bundesamt für Cybersicherheit – dem Innenministerium unterstellt – übernimmt Registrierungen, überwacht die Compliance, nimmt Vorfallmeldungen entgegen und verhängt Verwaltungsstrafen.
Die gute Nachricht für österreichische Betriebe: Mehr Zeit als in Deutschland. Betroffene Einrichtungen müssen sich bis 31. Dezember 2026 registrieren. Bei den Strafen gilt: Nach § 45 NISG 2026 drohen wesentlichen Einrichtungen Geldstrafen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, wichtigen Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent. Eine verpasste Registrierung kommt günstiger, aber nicht gratis: Für die Verletzung organisatorischer Pflichten wie der Registrierungspflicht drohen Strafen bis zu 50.000 Euro, im Wiederholungsfall bis zu 100.000 Euro.
Auch in Österreich greift die Lieferketten-Logik: Kleinbetriebe können indirekt betroffen sein, wenn sie als Zulieferer für direkt regulierte Einrichtungen tätig sind – deren Auftraggeber werden Cybersecurity-Nachweise einfordern. Realistisch bleibt bei der Durchsetzung etwas Luft: Erste Bußgeldverfahren werden voraussichtlich nicht vor 2027 oder 2028 sichtbar. Wer sich darauf verlässt, verwechselt allerdings Behördentempo mit Kundentempo – die Fragebögen der Auftraggeber kommen früher.
Und in der Schweiz?
Die Schweiz ist kein EU-Mitglied und hat NIS2 nicht übernommen. Das Schweizer Pendant ist das revidierte Informationssicherheitsgesetz (ISG) samt BACS-Meldewesen für kritische Infrastrukturen, das ab 2025 greift. Wer daraus Entwarnung ableitet, übersieht den Export über Verträge: Als Zulieferer für EU-Unternehmen werden Schweizer KMU zunehmend mit NIS2-Anforderungen konfrontiert – auch ohne formale Verpflichtung, weil grosse EU-Konzerne die Cybersecurity ihrer gesamten Lieferkette gewährleisten müssen.
Der Mechanismus ist derselbe wie in Deutschland: EU-Unternehmen geben die NIS2-Anforderungen über Vertragsklauseln, Audit-Rechte und Incident-Notification-Pflichten an ihre Schweizer Zulieferer weiter – NIS2 wird de facto über die Lieferkette in die Schweiz exportiert. Und die Konsequenz ist ebenfalls dieselbe: Indirekt betroffene KMU riskieren den Verlust von Aufträgen, wenn sie NIS2-Anforderungen nicht erfüllen. Das ist keine Theorie: Schweizer Anbieter, die vertragliche Pull-Through-Anforderungen nicht erfüllen können, verlieren 2026 sichtbar Ausschreibungen.
Einordnung: Was jetzt ansteht
Die Lage lässt sich in drei Sätzen zusammenfassen. Erstens: Wer registrierungspflichtig ist, hat mit dem 31. Juli ein hartes Datum – die Nachfrist wurde bereits einmal gewährt, auf eine zweite sollte niemand wetten. Zweitens: Wer nicht registrierungspflichtig ist, aber regulierte Kunden hat, wird 2026 trotzdem geprüft – nur eben vom Kunden statt vom BSI. Drittens: Die Angriffszahlen zeigen, dass Cyber-Risikomanagement für KMU längst keine Compliance-Übung mehr ist, sondern Existenzschutz.
Der sinnvolle nächste Schritt ist deshalb keine hektische Tool-Beschaffung, sondern eine ehrliche Standortbestimmung: erst die eigene Betroffenheit klären (direkt, indirekt, gar nicht), dann den tatsächlichen Sicherheitsstand des Betriebs realistisch bewerten – und erst danach über Maßnahmen und Nachweise entscheiden. Wer diese Reihenfolge einhält, kann dem nächsten Kundenfragebogen gelassen entgegensehen. Wer sie überspringt, füllt ihn im Blindflug aus.
Quellen
- Beitrag KI-generiert und KI-geprüft (mehrstufig).
- https://www.boerse-express.com/news/articles/nis-2-gesetz-30000-firmen-muessen-bis-31-juli-2026-handeln-920159 boerse-express.com/news/articles/nis-2-gesetz-30000-firmen-m...
- https://www.ihk.de/themen/it-sicherheit/nis-2-unternehmensvorgaben ihk.de/themen/it-sicherheit/nis-2-unternehmensvorgaben
- https://www.baltaris.de/blog/nis2-gilt-jetzt-auch-wenn-ihr-nicht-direkt-betroffen-seid/ baltaris.de/blog/nis2-gilt-jetzt-auch-wenn-ihr-nicht-direkt-...
- https://shattered.io/at/nisg-2026-nis2-oesterreich-pflichten-strafen/ shattered.io/at/nisg-2026-nis2-oesterreich-pflichten-strafen...
- https://www.boerse-express.com/news/articles/nis-2-registrierung-bsi-verlaengert-frist-bis-31-juli-925520 boerse-express.com/news/articles/nis-2-registrierung-bsi-ver...
- https://www.boerse-express.com/news/articles/it-sicherheit-30000-unternehmen-muessen-sich-bis-31-juli-registrieren-924789 boerse-express.com/news/articles/it-sicherheit-30000-unterne...
- https://www.ihk.de/meo/innovation1/aktuelles4/bsi-nis2-registrierung-7093952 ihk.de/meo/innovation1/aktuelles4/bsi-nis2-registrierung-709...
- https://www.wko.at/it-sicherheit/nis2-uebersicht wko.at/it-sicherheit/nis2-uebersicht
- https://shattered.io/at/nis2-oesterreich-nisg-2026/ shattered.io/at/nis2-oesterreich-nisg-2026/
- https://kmusec.com/ratgeber/nisg-2026/ kmusec.com/ratgeber/nisg-2026/
- https://mtf.ch/de/unternehmen/mtf-solutions/explore/b/153-blog-nis2-wen-triffts/ mtf.ch/de/unternehmen/mtf-solutions/explore/b/153-blog-nis2-...
- https://cybersecurity.ch/nis2-isg-kritis-g-schweiz-compliance-2026/ cybersecurity.ch/nis2-isg-kritis-g-schweiz-compliance-2026/
- https://www.minedata.ch/blog/nis2-schweiz-wann-schweizer-firmen-betroffen-sind minedata.ch/blog/nis2-schweiz-wann-schweizer-firmen-betroffe...
- https://www.sidd.swiss/einblicke/nis2-richtlinie-schweiz/ sidd.swiss/einblicke/nis2-richtlinie-schweiz/
- https://www.secjur.com/blog/nis2-lieferkette secjur.com/blog/nis2-lieferkette
- https://wortfilter.de/cyberresilienz-kmu-2026/ wortfilter.de/cyberresilienz-kmu-2026/
- https://b2b-cyber-security.de/kmu-deutschland-ist-hauptziel-fuer-cybererpressung-in-europa/ b2b-cyber-security.de/kmu-deutschland-ist-hauptziel-fuer-cyb...
- https://www.ad-hoc-news.de/wirtschaft/kritis-dachgesetz-registrierungsfrist-17-juli-fuer-1-300-betreiber/69452307 ad-hoc-news.de/wirtschaft/kritis-dachgesetz-registrierungsfr...
- https://www.ihk.de/koeln/hauptnavigation/recht-steuern/uebersicht-arbeitsrecht/kritis-dachgesetz-was-unternehmen-jetzt-wissen-und-tun-muessen-7012562 ihk.de/koeln/hauptnavigation/recht-steuern/uebersicht-arbeit...
Marius Jungmann
Unternehmensberater für inhabergeführte Betriebe im Mittelstand und Handwerk — über 20 Jahre Erfahrung aus Banking, Vertrieb und Digitalisierung. Entwickelt das MACH³-Konzept und schreibt hier über Prozesse, Zahlen, Vertrieb und KI aus der Praxis.
Optimieren Sie Ihren Betrieb mit Marius Jungmann ConsultingNewsletter
Die wichtigsten Impulse — einmal im Monat, kostenlos.