Cybersicherheit: Kaum Unternehmen melden sich beim BSI an
Unternehmen im Luftverkehr fallen unter die Regulierung NIS-2. (Archivbild) Foto: Annette Riedl/dpa
Nur ein Bruchteil der betroffenen Firmen aus dem Bereich kritische Infrastruktur haben ihre Cybersicherheits-Pflichten bislang erfüllt. Nun drohen Bußgelder und Zwangsmaßnahmen.
Berlin. Nicht einmal jedes sechste Unternehmen in Deutschland, das für das Gemeinwesen wichtig ist, ist seiner Pflicht nachgekommen, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Das geht aus einer Antwort der Bundesregierung auf eine parlamentarische Anfrage der Grünen-Fraktion hervor. Zwei Wochen vor Ablauf der Frist am 6. März 2026 hätten sich lediglich 4.856 wichtige und besonders wichtige Einrichtungen beim BSI registriert. Eigentlich hätten sich rund 29.500 Unternehmen und Organisationen beim BSI eintragen lassen müssen, die in den kritischen Bereichen der Infrastruktur aktiv sind.
Die Registrierungspflicht ist ein Teil der NIS-2-Richtlinie der Europäischen Union für Cybersicherheit der kritischen Infrastruktur. Dabei geht es darum, dass die für das Gemeinwesen wichtigen Unternehmen künftig mehr machen müssen, um sich vor IT-Ausfällen und Cyberangriffen zu schützen. Dazu gehören unter anderem Schulungen von Mitarbeitern, aber auch die Registrierung beim BSI. Außerdem müssen der Cybersecurity-Behörde in Bonn sämtliche Vorfälle gemeldet werden, die die Cybersicherheit betreffen.
Registrierung für den Ernstfall
Bei der Registrierung muss jedes Unternehmen, das als „wesentliche“ oder „wichtige“ Einrichtung eingestuft wird, seine Stammdaten und Kontaktinformationen beim BSI hinterlegen. Dies dient dazu, dass die Behörde im Falle einer großflächigen Cyber-Bedrohungslage die richtigen Ansprechpartner sofort erreichen und warnen kann, wenn etwa eine neue kritische Sicherheitslücke entdeckt wird.
Firmen, die die Frist versäumen, begehen eine Ordnungswidrigkeit. Von sofort an kann das BSI gegen die Unternehmen Zwangsgelder festsetzen, um die Registrierung zu erzwingen. Gleichzeitig können auch Bußgelder verhängt werden, da es sich um einen Verstoß gegen die Compliance-Pflichten handelt. In gravierenden Fällen kann die Bonner Behörde auch Aufsichtsmaßnahmen einleiten, was oft mit tiefergehenden Prüfungen des gesamten Sicherheitskonzepts einhergeht.
Die Grünen-Bundestagsabgeordnete Jeanne Dillschneider (Bündnis 90/Die Grünen) sagte: „Die Antwort der Bundesregierung zum niedrigen Stand der Registrierungen ist ein Armutszeugnis. Wenn sich nur ein Bruchteil registriert, wurde der Ernst der Lage noch immer nicht erkannt. Und das, während die Bedrohungslage wächst und wir täglich Cyberangriffe erleben.“
