NIS-2-Registrierungspflicht : Zähne – aber leider kein Biss
Um die Cybersicherheit in Deutschland zu stärken, verfügen das BSI und andere Behörden über durchaus scharfe Instrumente – von öffentlichen Warnungen bis hin zu Bußgeldern in Millionenhöhe. Das Problem sind nicht die Befugnisse, sondern ihre konsequente Anwendung.
Lernen Sie den Tagesspiegel Background kennen
Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.
Mit bestehendem Konto anmelden
Mehr als drei Monate nach Ablauf der gesetzlichen Frist erinnert das Bundesamt für Sicherheit in der Informationstechnik (BSI) Unternehmen erst einmal freundlich an ihre Pflicht. Am 12. Juni 2026 bat die Behörde Wirtschaftsverbände per E-Mail, ihre Mitglieder auf die nach dem NIS-2-Gesetz vorgeschriebene Registrierung hinzuweisen. Bußgelder? Fehlanzeige. Stattdessen geht das BSI davon aus, dass die versäumten Registrierungen bis Ende Juli nachgeholt werden. Kaum etwas beschreibt die deutsche Cybersicherheitspolitik treffender: Die Pflicht gilt, der Vollzug lässt auf sich warten.
NIS-2: Pflicht ohne Konsequenz
Nach Schätzungen des Bundesinnenministeriums auf Basis des Statistischen Bundesamts mussten sich rund 30.000 Unternehmen innerhalb von drei Monaten beim BSI registrieren. Die Frist endete am 6. März 2026. Zu diesem Zeitpunkt hatten sich jedoch nur etwa 11.500 Einrichtungen registriert. Das BSI erklärte damals, es könne die Zahlen noch nicht bewerten. Seither: Prüfphase, Hinweisschreiben an 47 Einrichtungen, keine öffentlich dokumentierten Bußgeldverfahren – zumindest aber weitere 7.000 Registrierungen seit Fristablauf.
In meiner Anhörungsstellungnahme vor dem Innenausschuss im Oktober 2025 habe ich gewarnt: Das NIS-2-Gesetz ist nicht das Ende, sondern gerade mal der Anfang. Solange Kontrollen und Sanktionen unwahrscheinlich bleiben, bleibt Regulierung eine finanzielle Abwägung statt einer verbindlichen Verhaltensnorm. In unserem Podcast zogen meine Co-Hosts und ich bereits Zwischenbilanz: NIS-2 formal umgesetzt, Vollzugsstand der Öffentlichkeit weitgehend unbekannt. Das BSI-Schreiben vom 12. Juni bestätigt diesen Eindruck – und zeigt: Das Problem liegt nicht an fehlenden Befugnissen. Es fehlt am Willen, sie einzusetzen.
Das Warnproblem
Dasselbe Muster zeigt sich bei der Produktwarnbefugnis. Bis März 2022 hatte das BSI dieses Instrument lediglich drei Mal genutzt. Die vierte Warnung betraf den russischen Antivirushersteller Kaspersky – ohne konkrete technische Schwachstellen. Das Problem ist nicht die Warnung selbst, sondern der Kontrast zu anderen Fällen – denn bei schwerwiegenden technischen Sicherheitsmängeln greift das Instrument regelmäßig nicht.
So war es im Fall von Cisco: Im Juli 2025 musste das Unternehmen einräumen, dass sein Unified Communications Manager mit fest eingebauten Root-SSH-Zugangsdaten ausgeliefert wurde – weder änderbar noch entfernbar, CVSS 10.0, kein Workaround außer Patch. Eigentlich eine „unverzeihliche Schwachstelle“. Das BSI veröffentlichte eine Schwachstellenmeldung, verzichtete jedoch auf eine formale Produktwarnung nach §13 BSIG. Gewiss, eine zusätzliche Warnung neben einer öffentlichen Schwachstellenmeldung kann juristisch heikel sein – Stichwort Verhältnismäßigkeit. Entscheidend ist aber, dass das BSI nie einen wirksamen Mechanismus etabliert hat, um Hersteller bei strukturellem Produktsicherheitsversagen öffentlich zu benennen. Die Hersteller wissen das. Daraus entsteht ein Anreizproblem.
Die strukturelle Ursache
Hinter dem Vollzugsdefizit steckt wohl die politische Entscheidung, eine allzu strenge Durchsetzung zu vermeiden – möglicherweise aus Angst, es sich mit der Wirtschaft zu verscherzen. Beratung statt Bestrafung ist nicht zufällig das vorherrschende Prinzip; es ist das Ergebnis einer Behördenkultur, die über 20 Jahre auf Kooperation gesetzt hat. Hinzu kommt ein praktisches Kalkül: Sanktionsverfahren enden häufig in Rechtsstreitigkeiten, die Behörden über Jahre lahmlegen – was die Verhängung von Strafen institutionell unattraktiv macht. Wie viele Bußgeldverfahren wurden seit IT-SiG 2.0 eingeleitet? Unbekannt. Das hat System: §42 BSIG schränkt IFG-Auskunftsansprüche für die Aufsichtstätigkeit des BSI weitgehend ein – und verhindert so unabhängige Kontrolle durch Politik, Wissenschaft und Zivilgesellschaft.
Was sich ändern muss
Drei Schritte wären nötig, um geltendes Recht besser durchzusetzen.
Erstens: Der Bundestag mandatiert ein unabhängiges Audit für BSI und andere Behörden. Geklärt werden sollte hierbei: Wie viele formale Warnungen und Bußgeldverfahren wurden seit IT-SiG 2.0 eingeleitet, gegen wen, und in wie vielen Fällen wurde auf Maßnahmen verzichtet – und nach welchen Kriterien?
Zweitens: §42 BSIG wird enger gefasst. Die weitgehende IFG-Ausnahme für die Aufsichtstätigkeit des BSI verhindert genau die unabhängige Kontrolle, die Transparenz erst möglich macht.
Drittens: Das BSI braucht Rechtssicherheit, Stellen und Budget, um Sanktionsverfahren konsequent durchzuführen, sodass es die womöglich höhere Anzahl an langwierigen Rechtsstreitigkeiten bewältigen kann, ohne gleich lahmgelegt zu werden.
Aus der Wirtschaft kennen wir das Bonmot „Culture eats Strategy for Breakfast". In unserem Fall heißt das: Alle drei Maßnahmen greifen nur, wenn das BSI auch einen kulturellen Wandel vollzieht – von der freundlich-kooperativen Beratungsbehörde zur konsequenten Aufsichtsbehörde. Das ist nicht allein eine Frage der Befugnisse, die ja an sich auch vorhanden wären. Es ist eine Frage des institutionellen Selbstverständnisses. Regulierung ohne Durchsetzung verkommt zur Symbolpolitik. Die Frage ist nicht: Brauchen wir mehr Instrumente? Die Frage ist: Nutzen wir die, die wir haben? Und wenn nein, warum nicht?
Sven Herpig ist Lead Cybersecurity Policy and Resilience bei Interface.
In unserer Reihe „Perspektiven“ kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit. Zuletzt von Herpig erschienen: Crypto-Making, Crypto-Breaking – und eine Bundesregierung, die es wieder vermischt
Lernen Sie den Tagesspiegel Background kennen
Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.
Mit bestehendem Konto anmelden