NIS2
NIS2-Registrierungsfrist läuft aus: Jetzt zählt der Nachweis, nicht die Anmeldung
Nach dem 31. Juli zählt der Sicherheitsnachweis
Von Peter Köhncke, Country Manager DACH & Central Europe bei FireMon
Mit dem 31. Juli 2026 läuft die aktuelle vom Bundesamt für Sicherheit in der Informationstechnik (BSI) verlängerte Frist zur NIS2-Registrierung in Deutschland ab. Unternehmen richten ihre Blicke bereits auf die nächsten Schritte. Peter Koencke, Country Manager DACH & Central Europe bei FireMon, erläutert, worauf es jetzt ankommt:

Von den schätzungsweise 29.500 Unternehmen und Einrichtungen, die in Deutschland unter die NIS2-Pflicht fallen, hatten sich bis zum ursprünglichen Stichtag am 6. März 2026 lediglich rund 11.500 registriert. Das entspricht einer Quote von knapp 39 Prozent. Die Fristverlängerung trägt dem Umstand Rechnung, dass viele Unternehmen und Institutionen noch dabei sind, die operativen und organisatorischen Anforderungen der Richtlinie umzusetzen.
Die Registrierung ist jedoch nur der administrative Ausgangspunkt und nicht das Ziel. Je mehr Unternehmen diesen ersten Schritt abschließen, desto wahrscheinlicher wird eine intensivere regulatorische Prüfung, ob Sicherheitsmaßnahmen tatsächlich strukturiert verwaltet, dokumentiert und wirksam sind. Genau dort beginnt die eigentliche Arbeit.
Für viele IT- und Sicherheitsteams liegt die zentrale Herausforderung in der gewachsenen Komplexität ihrer Netzwerksicherheitsrichtlinien. Oft mangelt es an einer strukturierten Governance, die erforderlich ist, um die Wirksamkeit der Kontrollmaßnahmen nachweisen zu können. NIS2 rückt Netzwerksicherheit europaweit auf die Agenda von Vorständen und Geschäftsführung. Angesichts der gestiegenen persönlichen Verantwortung des Managements reicht es nicht mehr aus, auf das bloße Vorhandensein von Kontrollen zu verweisen. Es muss nachgewiesen werden, dass diese Maßnahmen kontinuierlich überprüft, validiert und am Geschäftsrisiko ausgerichtet sind.
In diesem Umfeld wandelt sich die Steuerung der Netzwerksicherheitsrichtlinien von einer im Hintergrund laufenden IT-Aufgabe zu einer zentralen Compliance-Funktion. Viele Unternehmen werden feststellen, dass sich ihre Netzwerksicherheitsrichtlinien und Zugriffskontrollen im Laufe der Jahre ohne systematische Überprüfung angesammelt haben. Dadurch sind Lücken entstanden, die schwer zu erkennen sind und sich unter behördlicher Aufsicht noch schwerer dokumentieren lassen. NIS2 verlangt im Grunde, dass Unternehmen zu jedem Zeitpunkt angeben können, welche Kontrollmaßnahmen vorhanden sind, ob diese wie vorgesehen funktionieren und wer dafür verantwortlich ist. Dies erfordert Prozesse und Transparenz, die durch regelmäßige manuelle Überprüfungen allein nicht gewährleistet werden können.
Der 31. Juli ist ein administrativer Meilenstein. Was Behörden letztlich danach sehen wollen, ist, ob ein Unternehmen seine eigene Sicherheitslage kennt und das auch belegen kann.