Autor Dr. Jörg Cordsen (joerg.cordsen@tts-security.com), Geschäftsführer TTS Trusted Technologies and Solutions GmbH
Die aktuell diskutierten Registrierungszahlen im Kontext von NIS-2 greifen zu kurz und vermitteln ein verzerrtes Bild der tatsächlichen Betroffenheit. Sowohl die Einordnung von Einrichtungen („wichtig“ vs. „besonders wichtig“) als auch die zugrunde liegenden Schätzmodelle unterschätzen systematisch Umfang und Kritikalität der betroffenen Unternehmen. Gleichzeitig ist die Anzahl der Registrierungen kein geeigneter Maßstab, da sie nicht widerspiegelt, ob Unternehmen ihre Betroffenheit überhaupt korrekt geprüft und bewertet haben.
1. Einleitung
Die Einführung der NIS-2 Registrierungspflicht hat ein erhebliches Medienecho ausgelöst. Im Zentrum der Berichterstattung standen rund 30.000 potenziell betroffene Unternehmen in Deutschland, neue Meldepflichten gegenüber dem BSI sowie mögliche persönliche Haftungsrisiken für die Geschäftsleitung.
Die tatsächlichen Registrierungszahlen zeichnen jedoch ein deutlich anderes Bild. Zum Stichtag 6. März 2026 hatten sich laut BSI lediglich rund 11.500 Unternehmen registriert, eine Woche nach Fristablauf waren es etwa 14.000. Das ist keine statistische Ungenauigkeit, das ist eine Mega-Baustelle.
Diese Diskrepanz ist massiv und wirft grundlegende Fragen auf:
- zur Validität der zugrundeliegenden Schätzmethodik (z. B. NACE-/WZ-Klassifikationen, Destatis-/Eurostat-Daten),
- zur Wirksamkeit der Kommunikation und Sensibilisierung,
- sowie zum Verhalten der betroffenen Unternehmen selbst.
Eine grundsätzlich mangelhafte Datenbasis erscheint dabei wenig wahrscheinlich. Plausibler ist eine Kombination aus:
- unzureichender Ansprache der betroffenen Unternehmen,
- mangelnder Klarheit über die eigene Betroffenheit,
- sowie einer bewussten abwartenden Haltung gegenüber regulatorischen Anforderungen und möglichen Sanktionen.
In Summe ist diese Entwicklung enttäuschend und zugleich riskant, insbesondere vor dem Hintergrund, dass Cybervorfälle zu den größten globalen Geschäftsrisiken zählen. Umso wichtiger ist ein seriöser und professioneller Umgang mit der Betroffenheitsprüfung sowie der Umsetzung der NIS-2 Anforderungen.
In den folgenden drei Abschnitten werden Aspekte erörtert, die das NIS-2 Handlungsfeld entscheidend beeinflussen werden. Zunächst wird aufgezeigt, dass entgegen des im BSIG ausgeführten Zahlenwerks zur Anzahl von wichtigen und besonders wichtigen Einrichtungen eine erheblich abweichende Verteilung vorliegen wird. Im Abschnitt 3 wird zudem dargelegt, dass die prognostizierten knapp 30.000 betroffenen Unternehmen zu niedrig angesetzt sind. Tatsächlich werden deutlich mehr Unternehmen betroffen sein. Der Benchmark bzgl. registrierter Einrichtungen steht dann in Abschnitt 4 im Fokus. Es stellt sich die Frage, ob diese Kennzahl wirklich geeignet ist, um die tatsächliche Umsetzung der NIS-2 Anforderungen zu beschreiben.
2. Verteilung „wichtig“ vs. besonders wichtig“ ist falsch
Die Gesetzgebung sieht vor, dass die Einordnung als „wichtige“ oder „besonders wichtige“ Einrichtung nicht auf Grundlage der primären Branchenzugehörigkeit, sondern anhand der tatsächlich ausgeübten Einrichtungsarten gemäß Anhang I und II der NIS-2 Richtlinie erfolgt. In der praktischen Anwendung wird jedoch häufig eine vereinfachte Zuordnung vorgenommen, bei der Unternehmen ihr Hauptgeschäft bewerten und daraus unmittelbar ihre Kritikalität ableiten.
Diese Vorgehensweise ist nicht belastbar. Maßgeblich ist nicht die dominierende Geschäftstätigkeit, sondern das Vorliegen einer Tätigkeit, die unter Anhang I fällt. Bereits eine solche Tätigkeit ist ausreichend, um die Einstufung als besonders wichtige Einrichtung zu begründen.
Ein Unternehmen aus dem produzierenden Gewerbe kann beispielsweise durch den Betrieb von IT-Infrastruktur oder die Erbringung entsprechender Leistungen für verbundene Unternehmen oder Dritte funktional als Anbieter digitaler Dienste oder Managed Service Provider einzustufen sein. Die Einordnung verschiebt sich damit unabhängig von der ursprünglichen sektoralen Zuordnung. Damit können Unternehmen aus den Sektoren „Industrie / verarbeitendes Gewerbe“ oder „Lebensmittel“ auch als „besonders wichtig“ einzustufen sein.
Im vorherigen Beispiel mit dem Anbieter digitaler Dienste oder Managed Service Provider wird zudem die Durchführungsverordnung (EU) 2024/2690 relevant, wodurch die NIS-2 Anforderungen aus dem BSIG konkretisiert werden. Daraus entsteht ein ISO-27001-ähnliches Pflichtprogramm mit regulatorischer Verbindlichkeit. Zusätzlich werden die Fälle präzisiert, in denen ein Sicherheitsvorfall als erheblich anzusehen und entsprechend meldepflichtig ist.
Für die Betroffenheitsprüfung bedeutet dies, dass eine vollständige Analyse aller relevanten Tätigkeiten erforderlich ist. Eine ausschließlich sektorale Betrachtung ist nicht ausreichend.
Die zugrunde liegenden Schätzmodelle einschließlich der vom BSI kommunizierten Größenordnungen basieren jedoch typischerweise auf sektoraler Zuordnung und statistischen Unternehmensdaten. Im Gesetzentwurf zur Umsetzung der NIS-2 Richtlinie werden im Kapitel Erfüllungsaufwand insgesamt 29.850 betroffene Einrichtungen genannt. Davon 8.250 besonders wichtige Einrichtungen und 21.600 wichtige Einrichtungen. In den 8.250 besonders wichtigen Einrichtungen sind 4.693 Anbieter digitaler Dienste und Betreiber kritischer Anlagen inkludiert, die schon durch die NIS-1 reguliert sind. Entsprechend wird mit lediglich 3.557 zusätzlichen besonders wichtigen Einrichtungen gerechnet.
Dies stellt eine systematische Unterschätzung der Anzahl besonders wichtiger Einrichtungen dar.
3. Es gibt deutlich mehr betroffene Einrichtungen
Aus der praktischen Durchführung einiger Betroffenheitsprüfungen ergibt sich eine zusätzliche, bislang unzureichend berücksichtigte Erkenntnis. Rechtlich selbstständige Projektgesellschaften, die als Betreiber von Anlagen in NIS-2 relevanten Sektoren tätig sind und die Größenkriterien erfüllen (ggf. unter Berücksichtigung verbundener oder Partnerunternehmen), sind grundsätzlich als eigenständige Einrichtungen im Sinne der NIS-2 Richtlinie zu qualifizieren.
Projektgesellschaften bieten aus unternehmerischer Sicht erhebliche Vorteile, etwa:
- Haftungsabschirmung
- flexible Finanzierungsstrukturen
- Beteiligungsmodelle
- steuerliche Optimierung
- sowie vereinfachte Exit-Optionen
Projektgesellschaften erzeugen aber auch regulatorische Komplexität.
Wer annimmt, dass Projektgesellschaften aufgrund ihrer geringen Größe, fehlender eigener IT-Systeme oder ausgelagerter Kerntätigkeiten nicht betroffen sein könnten, sollte sich an die zahlreichen kleinen Netzgesellschaften erinnern, die als betriebsgeführte Netzbetreiber bei der Bundesnetzagentur registriert sind. Unmissverständlich ist dort die Zertifizierungspflicht durchgesetzt worden.
Insbesondere im Energiesektor entfalten Projektgesellschaften eine erhebliche Wirkung:
- Wind- und Solarparks werden typischerweise in personenlosen, eigenständigen Projektgesellschaften (z. B. GmbH & Co. KG) organisiert
- große Stadtwerke und Projektentwickler verfügen häufig über deutlich zweistellige Anzahlen solcher Gesellschaften
- durch die Einbindung in Konzernstrukturen wird regelmäßig der Size-Cap bzgl. der Mitarbeiterzahl überschritten, da die Mitarbeiterzahlen der verbundenen Unternehmen additiv und der Partnerunternehmen anteilig hinzugezählt werden
Jede dieser Projektgesellschaften kann eine eigenständige NIS-2 relevante Einrichtung darstellen und unterliegt damit grundsätzlich der Registrierungspflicht.
Selbstverständlich existieren Projektgesellschaften auch in anderen Sektoren, jedoch bei weitem nicht in der gleichen Skalierung und Systematik wie im Energiesektor.
4. Ohne Betroffenheitsprüfung keine Registrierung
In der aktuellen Diskussion wird stark auf die Anzahl der registrierten Unternehmen abgestellt. Dies greift zu kurz, da die Registrierungspflicht nicht der Ausgangspunkt ist, sondern das Ergebnis einer vorherigen Betroffenheitsprüfung.
Jedes Unternehmen ist verpflichtet, eine Betroffenheitsprüfung durchzuführen – erstmalig bis zum 6. März 2026. Bei wesentlichen Änderungen ist diese anschließend zu wiederholen. Das Ergebnis der Betroffenheitsprüfung ist nachvollziehbar zu dokumentieren und kann gemäß § 32 Abs. 4 BSIG durch das BSI abgefragt werden.
Im Eigeninteresse sollte daher jeder Geschäftsführer sicherstellen,
- dass das Unternehmen seine Betroffenheit geprüft hat
- dass die Prüfung methodisch korrekt durchgeführt wurde
- dass die richtigen Schlussfolgerungen (z. B. Registrierung) gezogen wurden
Die Anzahl der Registrierungen ist damit kein verlässlicher Indikator für die tatsächliche Umsetzung der NIS-2 Anforderungen.
5. Fazit
Die Diskrepanz zwischen erwarteten und tatsächlichen Registrierungszahlen ist kein rein methodisches Problem. Teilweise regiert hier der Zufall, und es fehlt den Unternehmen an einem systematischen Umgang mit den NIS-2 Anforderungen.
Ein erheblicher Teil der betroffenen und nicht bzw. fehlerhaft gemeldeten Unternehmen hat sich bislang entweder nicht ausreichend mit der eigenen Betroffenheit auseinandergesetzt oder unterschätzt die regulatorischen Anforderungen. Etliche Unternehmen gehen davon aus, dass sie wichtige Einrichtungen sind. Tatsächlich sind sie jedoch besonders wichtige Einrichtungen.
Gleichzeitig sprechen strukturelle Faktoren, insbesondere die Vielzahl von Projektgesellschaften, dafür, dass die tatsächliche Anzahl betroffener Einrichtungen eher höher als niedriger anzusetzen ist. Wie viele mehr es konkret sind, lässt sich schwer quantifizieren – klar ist jedoch: Es geht nicht um Dutzende oder Hunderte, sondern um Tausende.
Die aktuelle Situation ist daher mehrfach kritisch:
- Zu wenige Unternehmen registrieren sich, obwohl potenziell mehr Einrichtungen betroffen sind als angenommen
- Etliche Unternehmen registrieren sich leider fehlerhaft
- Die Anzahl der registrierten Unternehmen ist kein belastbarer Benchmark, da sie nichts darüber aussagt, ob die Betroffenheit überhaupt geprüft, nachvollziehbar dokumentiert und auf Anforderung belegt werden kann
Dies lässt sich für jedes Unternehmen konkretisieren:
„Die eigentliche Gefahr ist nicht NIS-2, sondern die Illusion, nicht betroffen zu sein.“
