NIS-2 Fristen 2025/2026: Wichtige Termine im Überblick

Die Uhr läuft. Das deutsche NIS-2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Ohne Übergangsfrist. Dieser Artikel listet alle Fristen auf, die Sie kennen müssen – und erklärt, was passiert, wenn Sie sie verpassen.

Was bereits passiert ist

Die NIS-2-Richtlinie wurde am 14. Dezember 2022 angenommen, am 27. Dezember 2022 im EU-Amtsblatt L 333 veröffentlicht und trat 20 Tage später, am 16. Januar 2023, in Kraft. Die Mitgliedstaaten hatten bis 17. Oktober 2024 Zeit für die nationale Umsetzung – Deutschland hat diese Frist gerissen, wie einige andere auch. Die EU-Kommission hat am 28. November 2024 ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet und am 7. Mai 2025 eine “Mit Gründen versehene Stellungnahme” abgegeben. Mit dem Inkrafttreten der deutschen Umsetzung dürfte das Verfahren in absehbarer Zeit eingestellt werden.

In Deutschland lief es so: Bundestag-Beschluss am 13. November 2025 (2./3. Lesung, BT-Drucksache 21/1501, Beschlussempfehlung 21/2782), Bundesrat-Zustimmung am 21. November 2025, Ausfertigung durch den Bundespräsidenten am 2. Dezember 2025, Veröffentlichung im Bundesgesetzblatt 2025 I Nr. 301 am 5. Dezember 2025. Und am 6. Dezember 2025 war es dann soweit: Das Gesetz gilt.

Das BSI-Portal für die Registrierung wurde am 6. Januar 2026 unter portal.bsi.bund.de freigeschaltet. Die Registrierungsfrist – drei Monate nach Inkrafttreten – endete am 6. März 2026.

Parallel hat Deutschland mit dem KRITIS-Dachgesetz die zweite große Säule (Umsetzung der CER-Richtlinie 2022/2557) auf den Weg gebracht: Bundestag-Beschluss am 29. Januar 2026, Bundesrat-Zustimmung am 6. März 2026, Verkündung im BGBl. 2026 I Nr. 66 am 16. März 2026.

Die Fristen, die jetzt laufen

Registrierung beim BSI

Die ursprüngliche Drei-Monats-Frist endete am 6. März 2026. Wer schon davor betroffen war und sich noch nicht registriert hat, ist im Verzug – Nachregistrieren ist trotzdem möglich und sollte umgehend geschehen.

Wenn Sie die Schwellenwerte erst später überschreiten – durch Wachstum, Übernahmen, Geschäftserweiterung – haben Sie ab diesem Zeitpunkt drei Monate.

Meldepflichten bei Vorfällen

Das sind die Fristen, die im Ernstfall zählen:

24 Stunden: Nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls muss eine Frühwarnung ans BSI raus.

72 Stunden: Die ausführliche Meldung – eine Aktualisierung der Frühwarnung mit erster Bewertung.

1 Monat nach der 72-Stunden-Meldung: Der Abschlussbericht. Bei andauernden Vorfällen reichen Sie statt des Abschlussberichts einen Fortschrittsbericht ein, der Abschluss folgt nach Beendigung. Ein Zwischenbericht ist nicht automatisch fällig, sondern nur auf ausdrückliches Ersuchen der zuständigen Behörde (Art. 23 Abs. 4 lit. c NIS-2).

Datenaktualisierung

Wenn sich etwas ändert – Unternehmensdaten, Ansprechpersonen, Einstufung – müssen Sie das dem BSI unverzüglich mitteilen. Mindestens jährlich sollten Sie überprüfen, ob noch alles stimmt.

Wie das bei einem Vorfall aussieht

Stellen Sie sich vor: Montagmorgen um 10 Uhr entdecken Sie einen Ransomware-Angriff.

Dienstag 10 Uhr: Die 24-Stunden-Frist für die Frühwarnung läuft ab. Die Meldung muss raus, auch wenn Sie noch nicht alles wissen.

Donnerstag 10 Uhr: Die 72-Stunden-Frist für die ausführliche Meldung läuft ab. Jetzt müssen Sie mehr Details liefern.

Falls personenbezogene Daten betroffen sind: Auch die DSGVO-Meldung an die Datenschutzbehörde muss bis Donnerstag 10 Uhr raus.

Ein Monat später: Der Abschlussbericht ist fällig.

Das ist ambitioniert. Vor allem die 24-Stunden-Frist. Sie haben nicht viel Zeit zum Überlegen – Sie müssen handeln.

Was “Kenntnisnahme” bedeutet

Die Frist beginnt, wenn eine verantwortliche Person im Unternehmen vom Vorfall erfährt. Das kann der IT-Administrator sein, der den Angriff bemerkt. Der Helpdesk, der ungewöhnliche Meldungen bekommt. Der Geschäftsführer, der informiert wird.

Wichtig: Nicht erst wenn Sie alle Details haben. Sondern wenn der Verdacht besteht. Warten Sie nicht, bis Sie alles verstanden haben – dann ist die Frist möglicherweise schon abgelaufen.

Was passiert, wenn Sie Fristen verpassen

Verspätete Registrierung: Ordnungswidrigkeit, Bußgeld möglich, erhöhte Aufmerksamkeit bei späteren Prüfungen.

Verspätete Vorfallsmeldung: Ordnungswidrigkeit, Bußgeld möglich, erschwerter Nachweis der Compliance, mögliche Probleme mit der Cyberversicherung.

Unterlassene Meldung: Schwerer Verstoß, höheres Bußgeld, mögliche persönliche Haftung der Geschäftsleitung.

Das BSI wird vermutlich nicht jeden Tag bei jedem Unternehmen vorbeischauen. Aber wenn etwas passiert, wenn es eine Prüfung gibt, wenn Sie in den Fokus geraten – dann werden diese Dinge wichtig.

Wie Sie die Fristen einhalten

Für die Registrierung: Fangen Sie jetzt an. Richten Sie den MUK-Account ein, sammeln Sie die erforderlichen Daten, warten Sie nicht bis zur letzten Woche. Die MUK-Registrierung braucht Zeit.

Für Vorfallsmeldungen: Definieren Sie vorher, wer was wann macht. Erstellen Sie Meldevorlagen. Stellen Sie 24/7-Erreichbarkeit sicher – Ransomware kommt gerne am Freitagabend. Legen Sie Eskalationswege fest.

Für laufende Pflichten: Führen Sie einen Kalender mit wiederkehrenden Aufgaben. Benennen Sie Verantwortliche. Dokumentieren Sie alles. Planen Sie regelmäßige Review-Termine.

Ihre Checkliste

Sofort erledigen (falls noch offen):

• MUK-Account einrichten
• Betroffenheitsprüfung abschließen
• Verantwortlichkeiten klären
• BSI-Registrierung nachholen, falls die 6.-März-2026-Frist verpasst wurde
• Ansprechpersonen benennen
• Meldeprozesse etablieren

Laufend:

• Bei Vorfällen die 24/72-Stunden-Fristen einhalten
• Registrierung bei Änderungen aktualisieren
• Jährliche Reviews und Schulungen durchführen

Der Punkt

Die NIS-2-Fristen sind verbindlich. Besonders kritisch: Die Registrierungsfrist von drei Monaten. Die 24-Stunden-Frist für die Frühwarnung. Die 72-Stunden-Frist für die ausführliche Meldung.

Planen Sie das in Ihre Prozesse ein. Und vergessen Sie nicht: Ein Cyberangriff richtet sich nicht nach Bürozeiten. Die Meldefristen laufen auch am Wochenende und an Feiertagen. Sie müssen handlungsfähig sein, wenn es passiert – nicht erst am nächsten Werktag.