17.07.2026
9 Min. Lesezeit

Rund 11.000 betroffene Unternehmen in Deutschland sind Stand Ende Mai 2026 noch ohne BSI-Registrierung – und die gesetzliche Frist ist seit dem 6. März abgelaufen. Was als „Nachfrist“ kursiert, ist nach Kanzlei-Lesart behördliche Duldung bis 31. Juli 2026: Das BSI rechnet mit Nachmeldungen, ändert die gesetzliche Frist aber nicht. Für die Geschäftsleitung entscheidet unter § 38 BSIG der Nachweis: Risikomanagement gebilligt, Umsetzung überwacht, eigene Schulung belegt. Der Portal-Klick allein trägt das nicht.

Das Wichtigste in Kürze

  • Vollzugskulanz bis 31. Juli. Die Pflicht endete am 6. März 2026. Das BSI rechnet mit Nachmeldungen bis 31. Juli – Kanzleien lesen das als Duldung. Die Säumnis heilt das nicht rückwirkend. Die Lücke beträgt Stand Ende Mai 2026 rund 11.000 Pflichtige.
  • § 38 BSIG bindet die Leitung. Billigung, Überwachung und eigene Schulung bleiben bei der Geschäftsleitung. Delegation an CISO oder IT-Leitung entlastet nicht.
  • Beweisbarkeit schlägt Checkliste. Ohne Protokolle, Schulungsnachweise und dokumentiertes ISMS fehlt im Ernstfall die Nachweisakte – bei gebundenen Leitungspflichten greift unternehmerisches Ermessen ohnehin nicht.

VerwandtSouveräne KI: die Verantwortung bleibt im Haus  /  Die KI schreibt den Code. Wer haftet dafür?

Die öffentliche Debatte dreht sich um Meldewege und Portal-Logins. Die härtere Frage sitzt woanders: Was lässt sich beweisen, wenn Vorfall, Aufsicht oder interner Regress die Geschäftsleitung trifft? Wer nur die Registrierung nachzieht und die Nachweisarchitektur offen lässt, tauscht eine sichtbare Lücke gegen eine unsichtbare.

Die Duldung heilt die Säumnis nicht

Die Rechtslage ist klarer, als viele Headlines suggerieren. Die gesetzliche Registrierungsfrist nach dem BSI-Gesetz endete am 6. März 2026. Das BSI selbst formuliert auf seiner Informationsseite: Die gesetzliche Frist ist abgelaufen. Wer betroffen und noch unregistriert ist, soll umgehend nachziehen.

Was bis 31. Juli 2026 läuft, ist nach verbreiteter Kanzlei-Lesart behördliche Duldung – also Vollzugskulanz. Eine gesetzliche Fristverlängerung ist es nicht. Im Schreiben an die Wirtschaftsverbände, über das unter anderem heise online berichtet, geht das BSI davon aus, dass alle noch ausstehenden Registrierungen bis spätestens 31. Juli 2026 abgeschlossen werden. Das ist eine Erwartungs- und Priorisierungsformulierung; das Wort „Duldung“ steht im BSI-Schreiben nicht. Die BSI-Informationsseite hält parallel fest: Die gesetzliche Frist ist abgelaufen. Wer jetzt registriert, bleibt formal säumig – die Vollzugskulanz tilgt die Pflichtverletzung nicht rückwirkend. Genau diese Unterscheidung trennt operative Erleichterung von rechtlicher Heilung.

6. März 2026
Gesetzliche Registrierungsfrist endet. Wer bis dahin nicht im BSI-Portal steht, ist säumig – unabhängig von späterer Nachmeldung.
31. Juli 2026
Ende des vom BSI kommunizierten Nachmelde-Fensters (Kanzlei-Lesart: Duldung). Danach ist mit konsequenterer Überwachung und Bußgeldpraxis zu rechnen.

Die Zahlen erklären, warum die Behörde so vorgeht. Von rund 29.500 betroffenen Unternehmen in Deutschland hatten sich bis zum gesetzlichen Stichtag nur rund 11.500 registriert. Bis Ende Mai lag die Zahl bei rund 18.500. Es klafft Stand Ende Mai 2026 weiter eine Lücke von rund 11.000 Pflichtigen. Die Vollzugskulanz ist damit auch ein Eingeständnis: Der Vollzug trifft auf eine Wirtschaft, die den Zeitplan unterschätzt hat.

~11.000
Unternehmen ohne BSI-Registrierung – berechnet aus rund 29.500 Betroffenen und 18.500 Registrierungen (Stand Ende Mai 2026).
Quelle: heise online / BSI-Sprecherin (Stand Ende Mai); Kleeberg, 15.07.2026

Ein Registrierungsverstoß bleibt bußgeldbewehrt. Nach § 65 BSIG drohen der Einrichtung bis zu 500.000 Euro. Das Bußgeld trifft die Einrichtung. Die natürliche Person der Leitung ist Adressatin des Bußgeldtatbestands hier nicht. Schwerer wiegt für die Organe die Innenhaftung nach § 38 Abs. 2 BSIG: Wer die Pflichten aus Absatz 1 verletzt, haftet der eigenen Einrichtung für einen schuldhaft verursachten Schaden – nach den gesellschaftsrechtlichen Regeln der jeweiligen Rechtsform. Die Nachweisakte schützt genau im Regressfall. Das Bußgeld bleibt ein Randfakt. Die Regressfähigkeit entscheidet über das persönliche Risiko der Leitung.

Was § 38 BSIG von der Geschäftsleitung verlangt

§ 38 BSIG knüpft die Verantwortung an die Leitungsebene selbst. Die Geschäftsleitung muss Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und sich zu Cyberrisiken schulen lassen. BSI-Präsidentin Claudia Plattner formuliert es wörtlich so: Geschäftsführungen seien „dazu verpflichtet, die Risikomanagementmaßnahmen umzusetzen, ihre Umsetzung zu überwachen und sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen“. Operative Arbeit darf an CISO, IT-Leitung oder externe Dienstleister gehen. Die Letztverantwortung bleibt.

Delegation entlastet nicht. Wer einen CISO bestellt und das Thema aus der Agenda streicht, hat die Pflicht nicht erfüllt. Es bleibt die Pflicht, zu billigen und zu überwachen. Fehlt der schriftliche Billigungsakt, fehlen Quartalsberichte an die Leitung oder fehlen Schulungsnachweise der Geschäftsführerinnen und Geschäftsführer, steht im Prüffall eine Lücke – auch wenn die Technik im Rechenzentrum läuft.

§ 30 Abs. 1 Satz 3 BSIG verlangt, dass die Einrichtung die Einhaltung ihrer Risikomanagementpflicht dokumentiert. Es geht um den Nachweis der ergriffenen Maßnahmen im Rahmen dieser Pflicht. Wer im Ernstfall keine Unterlagen vorlegen kann, riskiert Sanktionen unabhängig davon, ob operativ vieles „irgendwie“ erledigt wurde. Praxisberichte aus der Beratung zeigen dasselbe Muster: Technische Controls sind oft da. Protokolle über Managemententscheidungen, Billigung von Sicherheitskonzepten und Leitungsschulungen fehlen.

Ob die Business Judgement Rule im NIS-2-Kontext schützt, ist juristisch noch ungeklärt – es fehlt Rechtsprechung. Eine verbreitete Kanzlei-Lesart trennt scharf: Die BJR schützt unternehmerisches Ermessen. Gebundene Pflichten aus § 38 BSIG fallen darunter nach dieser Lesart nicht. Wo § 38 BSIG Billigung, Überwachung und Schulung verbindlich setzt, ist für Ermessen kein Raum; die BJR greift dort schlicht nicht. Schulungs- und Dokumentationslücken bleiben damit eigenständige Pflichtverstöße. Das gilt für den Alleingeschäftsführer einer GmbH genauso wie für ein mehrköpfiges Leitungsgremium.

Beratungslogik verkauft häufig Leitungsseminare und Tool-Roadmaps. Der dünne Punkt ist die Beweisbarkeit: Wer den Workshop ohne Beschlussprotokoll verlässt, hat eine Veranstaltung gehabt – keinen Nachweisfaden. DACH-Realität verschärft das: Betriebsrat und Datenschutz berühren Monitoring und Schulungsformate. Mitbestimmung und Auftragsverarbeitung blockieren keine Compliance. Beides verlangt frühe Einbindung – sonst stockt der Nachweisbau, sobald Protokolle und Teilnahmelisten formal sauber werden müssen.

Was sich im Ernstfall belegen lässt

Der Perspektivwechsel ist einfach zu formulieren und schwer umzusetzen. Maßgeblich wird: Welches Dokument trägt welche Behauptung? Wer hat es wann gezeichnet? Zwei Spalten trennen Behauptung von Beweis.

Nur behauptet

  • „Security liegt beim CISO“ ohne Billigungsprotokoll der Geschäftsleitung
  • „Wir haben ein ISMS“ ohne aktuelle Risikoanalyse und Leitungsfreigabe
  • „Die Leitung ist informiert“ ohne Schulungsnachweis und Teilnehmerliste
  • „Wir sind registriert“ ohne dokumentierte Ownership für Portal und Meldungen
  • „Der Dienstleister kümmert sich“ ohne Überwachungsbericht an die Leitung

Im Ernstfall belegbar

  • Beschlussprotokoll: Risikomanagement gebilligt, Scope und Owner benannt
  • Aktuelle Risikoanalyse mit Datum, Methodik und Leitungsvorlage
  • Schulungsplan und Zertifikate der Geschäftsleitung nach § 38 Abs. 3
  • Registrierungsbestätigung BSI plus Rollenkonzept für Portal und Vorfallmeldung
  • Quartalsbericht an die Leitung mit Abweichungen, Maßnahmen und Fristen

Drei Risiken prägen die nächsten Monate. Erstens: Die Registrierung wird erledigt, die Nachweisakte bleibt lückenhaft – die Sichtbarkeit steigt, die Verteidigungsfähigkeit nicht. Zweitens: Mehrere Geschäftsführer teilen Verantwortung so, dass niemand den Billigungsakt unterschreibt. Drittens: Nach dem 31. Juli 2026 trifft die Aufsicht auf Säumige ohne Portal-Eintrag und ohne Dokumentationskette. Ownership ist die knappe Ressource: Wer führt die Nachweisakte, wer freigibt Leitungsschulung und Protokollierung, wer eskaliert, wenn der CISO meldet und die Agenda schweigt?

Quellen liegen dabei nicht immer auf einer Linie. Kanzlei- und Verbandsbeiträge sprechen oft von „Nachfrist“ – das klingt nach geheilter Verspätung. Primär ist der BSI-Wortlaut enger: Die gesetzliche Frist ist abgelaufen; im Verbände-Schreiben rechnet die Behörde mit Nachmeldungen bis 31. Juli 2026 (heise online, 17.06.2026). „Duldung“ ist die Kanzlei-Auslegung dieser Vollzugskulanz. Im BSI-Schreiben steht der Begriff nicht. Digital Chiefs hält diese Lesart, weil sie die Entscheidung der Leitung schärft: nachziehen und parallel den Nachweis bauen. Heilung der Säumnis ist nicht zu erwarten.

Die ersten 90 Tage: Nachweis statt Checkliste

Der erste Schritt ist kein Tool-Kauf. Er ist eine Akte mit fünf Elementen, die in neunzig Tagen stehen muss – geführt von der Geschäftsleitung, operativ gestützt durch CISO und Legal.

Tage 1–30: Status und Lückenkarte. Betroffenheit klären oder bestätigen. Registrierungsstatus im BSI-Portal prüfen und offene Zugangsvoraussetzungen (ELSTER/MUK) abschließen. Parallel: Inventar der vorhandenen Dokumente – Risikoanalyse, ISMS-Scope, Incident- und Continuity-Pläne, bisherige Leitungsbeschlüsse. Was fehlt, bekommt Owner und Datum.

Tage 31–60: Billigung und Schulung. Die Geschäftsleitung billigt formell das Risikomanagement und den Maßnahmenkatalog. Das Protokoll hält Scope, Ausnahmen und Verantwortliche fest. Die gesetzlich geforderte Leitungsschulung wird terminiert und nachgewiesen – mit Teilnehmerliste und dokumentiertem Inhalt. Der CISO liefert den ersten schriftlichen Überwachungsbericht an die Leitung.

Tage 61–90: Betriebsrhythmus. Quartalskalender für Leitungsberichte, Meldewege und Eskalation. Rollen im BSI-Portal für Registrierung und Vorfallmeldung. Lücken aus der Inventur mit Fristen und Budget-Owner. Wer bis hier nur die Registrierung abgehakt hat, hat die halbe Pflicht erfüllt. Wer die Nachweisakte führt, kann im Ernstfall antworten.

Die Trade-offs sind real. Tempo bei der Registrierung ohne Dokumentationsqualität erzeugt Scheinsicherheit. Perfektionismus bei der Akte ohne Portal-Eintrag lässt die sichtbarste Pflicht offen. Die saubere Entscheidung: Nachmelde-Fenster für die Registrierung nutzen und in denselben neunzig Tagen die Beweisbarkeit herstellen. Das ist unspektakulär. Es ist der Teil, den Aufsicht und Regress später lesen.

Wer als Geschäftsführer selbst haftet, kennt den Unterschied zwischen „wir kümmern uns“ und „wir können es zeigen“. NIS-2 macht aus diesem Unterschied keine Stilfrage. Es macht ihn zur Leitungspflicht mit persönlichem Risiko – vor allem im Regress der eigenen Einrichtung.

Häufig gestellte Fragen

Ist die NIS-2-Registrierungsfrist bis 31. Juli 2026 verlängert worden?

Nein. Die gesetzliche Frist endete am 6. März 2026. Das BSI rechnet laut Verbände-Schreiben mit Nachmeldungen bis 31. Juli 2026; Kanzleien lesen das als Duldung (Vollzugskulanz). Eine gesetzliche Fristverlängerung ist es nicht. Die Säumnis heilt das nicht rückwirkend.

Entlastet die Bestellung eines CISO die Geschäftsleitung nach § 38 BSIG?

Nein. Operative Aufgaben dürfen delegiert werden. Billigung der Risikomanagementmaßnahmen, Überwachung der Umsetzung und eigene Schulung bleiben bei der Geschäftsleitung. Ohne nachgewiesene Überwachung bleibt das Regressrisiko bei der Leitungsebene.

Welche Nachweise sind im Ernstfall entscheidend?

Entscheidend sind dokumentierte Billigung, aktuelle Risikoanalyse, ISMS-Nachweise, Schulungsbelege der Geschäftsleitung, Incident- und Continuity-Pläne sowie die BSI-Registrierungsbestätigung. § 30 Abs. 1 Satz 3 BSIG verlangt die Dokumentation der eingehaltenen Risikomanagementpflicht. Fehlen die Unterlagen, drohen Sanktionen auch bei faktisch vorhandenen Maßnahmen.

Was droht bei fehlender Registrierung?

Ein Registrierungsverstoß kann nach § 65 BSIG mit einem Bußgeld bis 500.000 Euro gegen die Einrichtung geahndet werden. Zusätzlich droht der Geschäftsleitung nach § 38 Abs. 2 BSIG Innenhaftung gegenüber der eigenen Einrichtung bei schuldhafter Pflichtverletzung. Nach Ende des Nachmelde-Fensters ist mit strengerer Aufsichtspraxis zu rechnen.

Reicht die Business Judgement Rule als Schutz für die Leitung?

Ungeklärt und oft überschätzt. Die Business Judgement Rule schützt unternehmerisches Ermessen. Gebundene Pflichten aus § 38 BSIG fallen nach verbreiteter Lesart nicht darunter. Fehlen Schulungsnachweis und belastbares ISMS, greift die BJR danach gar nicht erst – Rechtsprechung zu NIS-2 fehlt noch.

Bildquelle: KI-generiert (Juli 2026)

Diesen Beitrag teilen:

Auch verfügbar in

Weitere Beiträge

17.07.2026

Der Datenanspruch gilt schon für Bestandsflotten

Benedikt Langer

9 Min. Lesezeit Der Zugangsanspruch zu ohne Weiteres verfügbaren Produktdaten gilt seit dem 12. September ...

Zum Beitrag
15.07.2026

Token-OPEX: Inference steuert, nicht das Seat-Budget

Angelika Beierlein

9 Min. Lesezeit Token-Kosten sind keine Feature-Line im SaaS-Vertrag. Sie sind variable OPEX pro Workflow ...

Zum Beitrag
15.07.2026

Hardware schlägt Software-Deals – Capex neu sortieren

Benedikt Langer

9 Min. Lesezeit IBM meldet im zweiten Quartal Infrastruktur minus 7 Prozent und zugleich Distributed ...

Zum Beitrag
14.07.2026

Die Rechnung für zehn Jahre Insellösungen

Benedikt Langer

8 Min. Lesezeit Ein Jahrzehnt lang hat die Industrie Insellösungen gekauft: je Maschine ein System, ...

Zum Beitrag
13.07.2026

Souveräne KI: die Verantwortung bleibt im Haus

Eva Mickler

7 Min. Lesezeit Wer ein KI-Modell in den produktiven Betrieb nimmt, trägt die Verantwortung für sein ...

Zum Beitrag
Ein Magazin der Evernine Media GmbH