Der Datenanspruch gilt schon für Bestandsflotten
Benedikt Langer
9 Min. Lesezeit Der Zugangsanspruch zu ohne Weiteres verfügbaren Produktdaten gilt seit dem 12. September ...
Rund 11.000 betroffene Unternehmen in Deutschland sind Stand Ende Mai 2026 noch ohne BSI-Registrierung – und die gesetzliche Frist ist seit dem 6. März abgelaufen. Was als „Nachfrist“ kursiert, ist nach Kanzlei-Lesart behördliche Duldung bis 31. Juli 2026: Das BSI rechnet mit Nachmeldungen, ändert die gesetzliche Frist aber nicht. Für die Geschäftsleitung entscheidet unter § 38 BSIG der Nachweis: Risikomanagement gebilligt, Umsetzung überwacht, eigene Schulung belegt. Der Portal-Klick allein trägt das nicht.
Das Wichtigste in Kürze
VerwandtSouveräne KI: die Verantwortung bleibt im Haus / Die KI schreibt den Code. Wer haftet dafür?
Die öffentliche Debatte dreht sich um Meldewege und Portal-Logins. Die härtere Frage sitzt woanders: Was lässt sich beweisen, wenn Vorfall, Aufsicht oder interner Regress die Geschäftsleitung trifft? Wer nur die Registrierung nachzieht und die Nachweisarchitektur offen lässt, tauscht eine sichtbare Lücke gegen eine unsichtbare.
Die Rechtslage ist klarer, als viele Headlines suggerieren. Die gesetzliche Registrierungsfrist nach dem BSI-Gesetz endete am 6. März 2026. Das BSI selbst formuliert auf seiner Informationsseite: Die gesetzliche Frist ist abgelaufen. Wer betroffen und noch unregistriert ist, soll umgehend nachziehen.
Was bis 31. Juli 2026 läuft, ist nach verbreiteter Kanzlei-Lesart behördliche Duldung – also Vollzugskulanz. Eine gesetzliche Fristverlängerung ist es nicht. Im Schreiben an die Wirtschaftsverbände, über das unter anderem heise online berichtet, geht das BSI davon aus, dass alle noch ausstehenden Registrierungen bis spätestens 31. Juli 2026 abgeschlossen werden. Das ist eine Erwartungs- und Priorisierungsformulierung; das Wort „Duldung“ steht im BSI-Schreiben nicht. Die BSI-Informationsseite hält parallel fest: Die gesetzliche Frist ist abgelaufen. Wer jetzt registriert, bleibt formal säumig – die Vollzugskulanz tilgt die Pflichtverletzung nicht rückwirkend. Genau diese Unterscheidung trennt operative Erleichterung von rechtlicher Heilung.
Die Zahlen erklären, warum die Behörde so vorgeht. Von rund 29.500 betroffenen Unternehmen in Deutschland hatten sich bis zum gesetzlichen Stichtag nur rund 11.500 registriert. Bis Ende Mai lag die Zahl bei rund 18.500. Es klafft Stand Ende Mai 2026 weiter eine Lücke von rund 11.000 Pflichtigen. Die Vollzugskulanz ist damit auch ein Eingeständnis: Der Vollzug trifft auf eine Wirtschaft, die den Zeitplan unterschätzt hat.
Ein Registrierungsverstoß bleibt bußgeldbewehrt. Nach § 65 BSIG drohen der Einrichtung bis zu 500.000 Euro. Das Bußgeld trifft die Einrichtung. Die natürliche Person der Leitung ist Adressatin des Bußgeldtatbestands hier nicht. Schwerer wiegt für die Organe die Innenhaftung nach § 38 Abs. 2 BSIG: Wer die Pflichten aus Absatz 1 verletzt, haftet der eigenen Einrichtung für einen schuldhaft verursachten Schaden – nach den gesellschaftsrechtlichen Regeln der jeweiligen Rechtsform. Die Nachweisakte schützt genau im Regressfall. Das Bußgeld bleibt ein Randfakt. Die Regressfähigkeit entscheidet über das persönliche Risiko der Leitung.
§ 38 BSIG knüpft die Verantwortung an die Leitungsebene selbst. Die Geschäftsleitung muss Risikomanagementmaßnahmen billigen, ihre Umsetzung überwachen und sich zu Cyberrisiken schulen lassen. BSI-Präsidentin Claudia Plattner formuliert es wörtlich so: Geschäftsführungen seien „dazu verpflichtet, die Risikomanagementmaßnahmen umzusetzen, ihre Umsetzung zu überwachen und sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen“. Operative Arbeit darf an CISO, IT-Leitung oder externe Dienstleister gehen. Die Letztverantwortung bleibt.
Delegation entlastet nicht. Wer einen CISO bestellt und das Thema aus der Agenda streicht, hat die Pflicht nicht erfüllt. Es bleibt die Pflicht, zu billigen und zu überwachen. Fehlt der schriftliche Billigungsakt, fehlen Quartalsberichte an die Leitung oder fehlen Schulungsnachweise der Geschäftsführerinnen und Geschäftsführer, steht im Prüffall eine Lücke – auch wenn die Technik im Rechenzentrum läuft.
§ 30 Abs. 1 Satz 3 BSIG verlangt, dass die Einrichtung die Einhaltung ihrer Risikomanagementpflicht dokumentiert. Es geht um den Nachweis der ergriffenen Maßnahmen im Rahmen dieser Pflicht. Wer im Ernstfall keine Unterlagen vorlegen kann, riskiert Sanktionen unabhängig davon, ob operativ vieles „irgendwie“ erledigt wurde. Praxisberichte aus der Beratung zeigen dasselbe Muster: Technische Controls sind oft da. Protokolle über Managemententscheidungen, Billigung von Sicherheitskonzepten und Leitungsschulungen fehlen.
Ob die Business Judgement Rule im NIS-2-Kontext schützt, ist juristisch noch ungeklärt – es fehlt Rechtsprechung. Eine verbreitete Kanzlei-Lesart trennt scharf: Die BJR schützt unternehmerisches Ermessen. Gebundene Pflichten aus § 38 BSIG fallen darunter nach dieser Lesart nicht. Wo § 38 BSIG Billigung, Überwachung und Schulung verbindlich setzt, ist für Ermessen kein Raum; die BJR greift dort schlicht nicht. Schulungs- und Dokumentationslücken bleiben damit eigenständige Pflichtverstöße. Das gilt für den Alleingeschäftsführer einer GmbH genauso wie für ein mehrköpfiges Leitungsgremium.
Beratungslogik verkauft häufig Leitungsseminare und Tool-Roadmaps. Der dünne Punkt ist die Beweisbarkeit: Wer den Workshop ohne Beschlussprotokoll verlässt, hat eine Veranstaltung gehabt – keinen Nachweisfaden. DACH-Realität verschärft das: Betriebsrat und Datenschutz berühren Monitoring und Schulungsformate. Mitbestimmung und Auftragsverarbeitung blockieren keine Compliance. Beides verlangt frühe Einbindung – sonst stockt der Nachweisbau, sobald Protokolle und Teilnahmelisten formal sauber werden müssen.
Der Perspektivwechsel ist einfach zu formulieren und schwer umzusetzen. Maßgeblich wird: Welches Dokument trägt welche Behauptung? Wer hat es wann gezeichnet? Zwei Spalten trennen Behauptung von Beweis.
Nur behauptet
Im Ernstfall belegbar
Drei Risiken prägen die nächsten Monate. Erstens: Die Registrierung wird erledigt, die Nachweisakte bleibt lückenhaft – die Sichtbarkeit steigt, die Verteidigungsfähigkeit nicht. Zweitens: Mehrere Geschäftsführer teilen Verantwortung so, dass niemand den Billigungsakt unterschreibt. Drittens: Nach dem 31. Juli 2026 trifft die Aufsicht auf Säumige ohne Portal-Eintrag und ohne Dokumentationskette. Ownership ist die knappe Ressource: Wer führt die Nachweisakte, wer freigibt Leitungsschulung und Protokollierung, wer eskaliert, wenn der CISO meldet und die Agenda schweigt?
Quellen liegen dabei nicht immer auf einer Linie. Kanzlei- und Verbandsbeiträge sprechen oft von „Nachfrist“ – das klingt nach geheilter Verspätung. Primär ist der BSI-Wortlaut enger: Die gesetzliche Frist ist abgelaufen; im Verbände-Schreiben rechnet die Behörde mit Nachmeldungen bis 31. Juli 2026 (heise online, 17.06.2026). „Duldung“ ist die Kanzlei-Auslegung dieser Vollzugskulanz. Im BSI-Schreiben steht der Begriff nicht. Digital Chiefs hält diese Lesart, weil sie die Entscheidung der Leitung schärft: nachziehen und parallel den Nachweis bauen. Heilung der Säumnis ist nicht zu erwarten.
Der erste Schritt ist kein Tool-Kauf. Er ist eine Akte mit fünf Elementen, die in neunzig Tagen stehen muss – geführt von der Geschäftsleitung, operativ gestützt durch CISO und Legal.
Tage 1–30: Status und Lückenkarte. Betroffenheit klären oder bestätigen. Registrierungsstatus im BSI-Portal prüfen und offene Zugangsvoraussetzungen (ELSTER/MUK) abschließen. Parallel: Inventar der vorhandenen Dokumente – Risikoanalyse, ISMS-Scope, Incident- und Continuity-Pläne, bisherige Leitungsbeschlüsse. Was fehlt, bekommt Owner und Datum.
Tage 31–60: Billigung und Schulung. Die Geschäftsleitung billigt formell das Risikomanagement und den Maßnahmenkatalog. Das Protokoll hält Scope, Ausnahmen und Verantwortliche fest. Die gesetzlich geforderte Leitungsschulung wird terminiert und nachgewiesen – mit Teilnehmerliste und dokumentiertem Inhalt. Der CISO liefert den ersten schriftlichen Überwachungsbericht an die Leitung.
Tage 61–90: Betriebsrhythmus. Quartalskalender für Leitungsberichte, Meldewege und Eskalation. Rollen im BSI-Portal für Registrierung und Vorfallmeldung. Lücken aus der Inventur mit Fristen und Budget-Owner. Wer bis hier nur die Registrierung abgehakt hat, hat die halbe Pflicht erfüllt. Wer die Nachweisakte führt, kann im Ernstfall antworten.
Die Trade-offs sind real. Tempo bei der Registrierung ohne Dokumentationsqualität erzeugt Scheinsicherheit. Perfektionismus bei der Akte ohne Portal-Eintrag lässt die sichtbarste Pflicht offen. Die saubere Entscheidung: Nachmelde-Fenster für die Registrierung nutzen und in denselben neunzig Tagen die Beweisbarkeit herstellen. Das ist unspektakulär. Es ist der Teil, den Aufsicht und Regress später lesen.
Wer als Geschäftsführer selbst haftet, kennt den Unterschied zwischen „wir kümmern uns“ und „wir können es zeigen“. NIS-2 macht aus diesem Unterschied keine Stilfrage. Es macht ihn zur Leitungspflicht mit persönlichem Risiko – vor allem im Regress der eigenen Einrichtung.
Nein. Die gesetzliche Frist endete am 6. März 2026. Das BSI rechnet laut Verbände-Schreiben mit Nachmeldungen bis 31. Juli 2026; Kanzleien lesen das als Duldung (Vollzugskulanz). Eine gesetzliche Fristverlängerung ist es nicht. Die Säumnis heilt das nicht rückwirkend.
Nein. Operative Aufgaben dürfen delegiert werden. Billigung der Risikomanagementmaßnahmen, Überwachung der Umsetzung und eigene Schulung bleiben bei der Geschäftsleitung. Ohne nachgewiesene Überwachung bleibt das Regressrisiko bei der Leitungsebene.
Entscheidend sind dokumentierte Billigung, aktuelle Risikoanalyse, ISMS-Nachweise, Schulungsbelege der Geschäftsleitung, Incident- und Continuity-Pläne sowie die BSI-Registrierungsbestätigung. § 30 Abs. 1 Satz 3 BSIG verlangt die Dokumentation der eingehaltenen Risikomanagementpflicht. Fehlen die Unterlagen, drohen Sanktionen auch bei faktisch vorhandenen Maßnahmen.
Ein Registrierungsverstoß kann nach § 65 BSIG mit einem Bußgeld bis 500.000 Euro gegen die Einrichtung geahndet werden. Zusätzlich droht der Geschäftsleitung nach § 38 Abs. 2 BSIG Innenhaftung gegenüber der eigenen Einrichtung bei schuldhafter Pflichtverletzung. Nach Ende des Nachmelde-Fensters ist mit strengerer Aufsichtspraxis zu rechnen.
Ungeklärt und oft überschätzt. Die Business Judgement Rule schützt unternehmerisches Ermessen. Gebundene Pflichten aus § 38 BSIG fallen nach verbreiteter Lesart nicht darunter. Fehlen Schulungsnachweis und belastbares ISMS, greift die BJR danach gar nicht erst – Rechtsprechung zu NIS-2 fehlt noch.
Weiterlesen auf Digital Chiefs
Digital ChiefsToken-OPEX: Inference steuert, nicht das Seat-BudgetDigital ChiefsHardware schlägt Software-Deals – Capex neu sortierenDigital ChiefsDie Rechnung für zehn Jahre InsellösungenMehr aus dem MBF Media Netzwerk
cloudmagazinKRITIS in die Cloud: Was die Migration absichert mybusinessfutureCybersecurity-Boom: NIS2 Deutschlands Sicherheitsbranche securitytodayDer AI Act ist in Wahrheit ein Security-GesetzBildquelle: KI-generiert (Juli 2026)
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen