Julia Wolf
11.500 Unternehmen haben sich bis zum Fristende am 6. März 2026 beim BSI für die NIS-2 Registrierung angemeldet — von geschätzt 29.500 Betroffenen. Während das BSI noch zählt, zeigen der Asgoodasnew-Hack und ein Milliarden-Datenleck bei IDMerit, warum Cybersicherheit kein optionaler Tagesordnungspunkt ist.
Stellen Sie sich vor: Sie betreiben ein Unternehmen mit kritischer Infrastruktur. Energie, Gesundheit, digitale Dienste — einer dieser Sektoren, bei denen ein Ausfall mehr als nur eine leere Kaffeemaschine bedeutet. Seit dem 6. Januar 2026 existiert ein BSI-Portal, auf dem Sie sich registrieren müssen. Die Frist? Drei Monate. Klingt großzügig.
Plot Twist: Am 6. März 2026 — dem letzten Tag der Frist — hatten sich gerade einmal 11.500 Einrichtungen registriert. Von rund 29.500, die das Bundesinnenministerium als registrierungspflichtig eingestuft hat. Das sind weniger als 40 Prozent.
Und die restlichen 18.000? Gute Frage.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Zahlen am Stichtag veröffentlicht, und sie erzählen eine Geschichte, die so gar nicht zum offiziellen Optimismus passt. 11.500 Behörden, Unternehmen und andere kritische Einrichtungen haben sich im NIS-2-Portal registriert. Über 4.000 davon in der letzten Woche vor Fristende.
Wir bei digital-magazin.de haben uns die Chronologie genauer angeschaut: Mitte Februar lag die Zahl noch bei mageren 4.500. Das bedeutet, dass sich innerhalb von drei Wochen die Registrierungen mehr als verdoppelt haben. Last-Minute-Compliance, wie man sie aus der Steuererklärung kennt. Nur dass es hier nicht um Ihre Pendlerpauschale geht, sondern um die Sicherheit kritischer Infrastruktur.
BSI-Präsidentin Claudia Plattner hatte sich vorab zuversichtlich gezeigt: „NIS2 ist trotz Regierungswechsel vergleichsweise schnell umgesetzt worden und wir sind bereit.“ Das BSI sei startklar. Die Frage ist eher, ob die andere Seite das auch ist.
Spoiler: Die Zahlen sprechen eine andere Sprache.
Die offizielle Erklärung klingt noch diplomatisch. Das BSI konnte am Stichtag „keine Bewertung der vorliegenden Zahlen“ abgeben. In den kommenden Tagen werde sich zeigen, ob die bisherigen Schätzungen zu hoch gegriffen waren — oder ob tatsächlich Tausende Betreibende ihre Meldepflichten ignoriert haben.
Realistisch betrachtet gibt es mehrere Erklärungen für die Lücke. Erstens: Viele Unternehmen wissen schlicht nicht, dass sie betroffen sind. Die NIS-2-Richtlinie erfasst Organisationen ab 50 Beschäftigten oder mit mehr als 10 Millionen Euro Jahresumsatz in 18 verschiedenen Sektoren. Das BSI nimmt keine automatische Prüfung vor. Jede Organisation muss selbst klären, ob sie dazugehört.
Das ist ein bisschen so, als würde das Finanzamt sagen: „Prüfen Sie selbst, ob Sie steuerpflichtig sind. Wir sagen Ihnen erst Bescheid, wenn Sie es nicht sind.“
Zweitens: Die Registrierung erfordert ein ELSTER-Organisationszertifikat. Dessen Bearbeitung dauert laut TÜV SÜD fünf bis zehn Werktage. Wer also erst Anfang März angefangen hat, sich mit dem Thema zu beschäftigen, hatte ein Problem. Ein selbstgemachtes.
Drittens — und das ist das Pikante daran — schrecken die weitreichenden Pflichten der NIS-2-Richtlinie offenbar viele ab. Es geht nicht nur um eine einmalige Registrierung. Danach folgen laufende Meldepflichten bei Sicherheitsvorfällen, Risikomanagement-Vorgaben und die persönliche Haftung der Geschäftsführung.
Apropos persönliche Haftung — das ist der Punkt, an dem das Thema NIS-2 Registrierung von einem IT-Problem zu einem Vorstandsthema wird. Die Richtlinie sieht vor, dass Geschäftsführende persönlich haftbar gemacht werden können, wenn die Umsetzung mangelhaft erfolgt.
Richard Skalt, Advocacy Manager Cybersecurity Office bei TÜV SÜD, bringt es auf den Punkt: „Viele Unternehmen unterschätzen die Bedeutung formaler Pflichten wie Registrierung, laufende Aktualisierung von Unternehmensdaten und fristgerechte Meldungen von Sicherheitsvorfällen.“
Konkret heißt das: Wer sich nicht registriert hat, riskiert Bußgelder. Wer einen Sicherheitsvorfall nicht meldet, riskiert noch höhere Bußgelder. Und wer als Geschäftsführung nicht nachweisen kann, dass angemessene Maßnahmen ergriffen wurden, riskiert die persönliche Haftung.
Bei besonders wichtigen Einrichtungen können die Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen. Das ist keine Ordnungswidrigkeit, das ist ein existenzbedrohender Betrag.
Die 18.000 fehlenden Registrierungen bekommen in diesem Licht eine ganz andere Dimension. Entweder die Schätzung war falsch — oder eine erhebliche Zahl von Unternehmen spielt mit dem Feuer.
Während sich Deutschland mit Registrierungsfristen beschäftigte, lieferte die Praxis am selben Wochenende ein Lehrstück. Am 1. März 2026 — fünf Tage vor Ablauf der NIS-2-Frist — wurde der Refurbished-Elektronik-Händler Asgoodasnew Opfer eines gezielten Hackerangriffs.
Die Angreifenden nutzten eine bis dahin unbekannte Schwachstelle in einem Klarna-Zahlungsmodul der OXID-eShop-Software. Über diese Lücke gelangten sie an die Datenbank und kopierten vermutlich: Namen, Adressen, E-Mail-Adressen, Bestellhistorien und verschlüsselte Passwörter.
Der Clou: Es war nicht nur Asgoodasnew betroffen. Auch der Onlineshop kirstein.de meldete einen identischen Angriff. Die Schwachstelle lag im Drittanbieter-Modul, nicht im Shop-System selbst. Eine klassische Supply-Chain-Attacke im Kleinen.
Asgoodasnew reagierte mit einem kompletten Passwort-Reset für alle Kundenkonten und nahm den Shop vorübergehend offline. Die zuständige Datenschutzbehörde wurde informiert, externe IT-Forensik beauftragt. Alles nach Vorschrift.
Das Problem liegt woanders. Verschlüsselte Passwörter klingen beruhigend, sind es aber nicht zwangsläufig. Kombiniert mit E-Mail-Adressen und echten Bestellhistorien lassen sich damit hochgradig glaubwürdige Phishing-Mails konstruieren. „Ihre Bestellung vom 14. Februar konnte nicht zugestellt werden“ — wer da nicht zweimal hinschaut, hat schon geklickt.
Falls der Asgoodasnew-Vorfall noch in die Kategorie „einzelner Shop, überschaubarer Schaden“ fällt — hier kommt die nächste Eskalationsstufe. Sicherheitsforschende von Cybernews entdeckten eine ungeschützte MongoDB-Datenbank, die mit dem US-amerikanischen Identitätsverifikations-Anbieter IDMerit in Verbindung steht.
Inhalt: rund eine Milliarde sensibler Datensätze. Namen, Adressen, Geburtsdaten, nationale Ausweisnummern. Aus 26 Ländern. Auch aus Deutschland.
Das Brisant daran ist nicht nur der Umfang. IDMerit bietet KI-basierte Know-Your-Customer-Dienste (KYC) an — also genau die Identitätsprüfungen, die Banken, Fintechs und Online-Dienste nutzen, um sicherzustellen, dass Sie wirklich Sie sind. Wenn ausgerechnet dieser Verifikationsdienst Daten verliert, ist das wie ein Tresor-Hersteller, dessen eigener Safe offensteht.
Die Entdeckung lag bereits seit November 2025 vor. Cybernews kontaktierte IDMerit, das Unternehmen nahm die Datenbank offline. Dann wurde es kompliziert.
Plot Twist: Ein freiberuflich für Cybernews tätiger White-Hat-Hacker hatte IDMerit zuvor kontaktiert und angeboten, einen Sicherheitsbericht gegen Bezahlung zu liefern. IDMerit interpretierte das als Erpressungsversuch. Das Unternehmen bestritt jegliche Schwachstellen und behauptete, keine unbefugten Zugriffe festgestellt zu haben. Cybernews wiederum erklärte, bis zum 26. Februar 2026 nichts von dieser Kommunikation gewusst zu haben.
Eine Milliarde Datensätze, eine offene Datenbank, ein Streit über Ethical Hacking — und mittendrin persönliche Daten aus 26 Ländern. Wenig überraschend sorgt der Fall in der Security-Community für hitzige Diskussionen.
Diese drei Geschichten wirken auf den ersten Blick wie separate Nachrichtenmeldungen. Sind sie auch. Aber sie erzählen zusammen eine Geschichte, die unbequem ist.
Die NIS-2-Richtlinie wurde geschaffen, weil die europäische Wirtschaft ihre Cybersicherheit nicht freiwillig auf ein ausreichendes Niveau gebracht hat. Das war keine politische Laune, sondern eine Reaktion auf die Realität.
Die Realität sieht so aus: Ein Zahlungsmodul eines Drittanbieters reicht aus, um einen kompletten Online-Shop zu kompromittieren. Eine ungesicherte Datenbank bei einem Identitätsverifikationsdienst legt eine Milliarde Datensätze offen. Und von 29.500 registrierungspflichtigen Einrichtungen in Deutschland schafft es nicht einmal die Hälfte, sich fristgerecht bei der zuständigen Behörde anzumelden.
Das Team von digital-magazin.de beobachtet diese Entwicklung seit Monaten. Die Muster wiederholen sich: Sicherheitskonzepte existieren auf dem Papier, aber die Umsetzung hinkt hinterher. Regulierung kommt — und wird unterschätzt. Dann passiert etwas. Dann sind alle überrascht.
Spoiler: Niemand sollte überrascht sein.
Das BSI-Portal für die NIS-2 Registrierung ging am 6. Januar 2026 online. Es läuft — ironischerweise — auf Amazon Web Services (AWS). Deutschlands Behörde für Cybersicherheit hostet das zentrale Meldeportal für kritische Infrastruktur bei einem US-Hyperscaler. Man muss das nicht kommentieren, aber man darf kurz schmunzeln.
Funktional deckt das Portal bislang die Erstregistrierung ab. Weitere Features sollen folgen: ein einheitliches Meldeformat für Sicherheitsvorfälle, Echtzeit-Datenaustausch zur akuten Bedrohungslage. Das klingt ambitioniert. Ob die Umsetzung hält, was die Roadmap verspricht, bleibt abzuwarten.
Für die Registrierung selbst müssen Unternehmen Angaben zu Größe, Rechtsform, Sektor, NIS-2-Kontaktstelle und zuständiger Bundesbehörde machen. Änderungen sind innerhalb von zwei Wochen zu melden. Das klingt nach Verwaltungsaufwand — und ist es auch. Aber verglichen mit den Folgen eines ungemeldeten Sicherheitsvorfalls ist es ein überschaubarer Preis.
Wer sich fragt, was nach NIS-2 kommt: Die nächste Herausforderung steht schon in den Startlöchern. Auf der secIT by heise 2026 in Hannover (18. bis 19. März) präsentiert unter anderem achelos eine Deep-Dive-Session zum Thema Post-Quantum-Kryptographie.
Das Thema wird drängender, als vielen bewusst ist. Quantencomputer, die aktuelle Verschlüsselungsstandards brechen können, sind keine Science-Fiction mehr. Sie sind ein Zeitfenster. Und wer heute verschlüsselte Daten abfängt, kann sie morgen mit einem Quantencomputer entschlüsseln. „Harvest now, decrypt later“ — so nennt die Branche dieses Angriffsmuster.
Für Unternehmen, die sich gerade erst mit der NIS-2 Registrierung auseinandersetzen, mag Post-Quantum-Kryptographie wie ein fernes Zukunftsthema wirken. Aber genau das dachten viele auch über NIS-2, als die Richtlinie 2022 verabschiedet wurde. Vier Jahre später stehen sie vor abgelaufenen Fristen und offenen Fragen.
Die Bedrohungslandschaft entwickelt sich schneller als die meisten Compliance-Abteilungen. Das ist kein Vorwurf, das ist eine Bestandsaufnahme.
Falls Sie zu den 18.000 gehören, die sich noch nicht registriert haben: Ja, die Frist ist abgelaufen. Nein, das bedeutet nicht, dass Sie sich jetzt zurücklehnen können. Im Gegenteil. Eine verspätete Registrierung ist besser als keine. Und die Alternative — ein Bußgeldverfahren — ist deutlich teurer.
Hier die dringendsten Schritte:
Die NIS-2 Registrierung war ein erster Schritt. Ein formaler. Die eigentliche Arbeit beginnt jetzt — und sie wird Jahre dauern. Risikomanagement-Systeme aufbauen, Meldeketten etablieren, Lieferketten absichern, Mitarbeitende schulen.
Parallel dazu liefert die Wirklichkeit täglich neue Argumente dafür, warum all das nötig ist. Ein Klarna-Plugin als Einfallstor. Eine MongoDB-Datenbank ohne Passwortschutz. 18.000 Unternehmen, die eine gesetzliche Frist verstreichen lassen.
Wir bei digital-magazin.de werden die Entwicklung weiter begleiten. Die nächsten Monate werden zeigen, ob das BSI die fehlenden Registrierungen nachverfolgt, ob Bußgelder verhängt werden und ob die NIS-2-Richtlinie tatsächlich zu dem Sicherheitssprung führt, den Europa braucht.
Eines ist schon jetzt klar: Die Bedrohungen warten nicht auf Compliance-Fristen. Der nächste Sicherheitsvorfall kommt. Die Frage ist nur, ob Sie dann vorbereitet sind.
Oder ob Sie noch Ihr ELSTER-Zertifikat beantragen.
