Seit dem 6.3.2026 ist die Frist zur Registrierung für regulierte Unternehmen nach BSIG abgelaufen. Unternehmen stellen sich nun die Frage, wie sie mit dem Versäumnis und den Rechtspflichten nach BSIG umgehen sollen.
Die mit Abstand schlechteste Lösung
ist der Versuch, durch Nichtstun unter dem Radar der Behörden zu bleiben. Die Kopf-in-den-Sand Methode, die schon in Bezug auf die Einhaltung der Rechtspflichten nach DSGVO schlecht funktionierte und die Verantwortlichen unter permanenten Stress in Folge der Versäumnisse zu setzen vermochte, wird nach Inkrafttreten des BSIG noch weniger funktionieren. Das Bundesamt für Sicherheit in der Informationstechnik kann die fehlende Registrierung selbst vornehmen:
§ 33 (3) Die Registrierung von besonders wichtigen Einrichtungen und wichtigen Einrichtungen und Domain-Name-Registry-Diensteanbietern kann das Bundesamt im Einvernehmen mit den jeweils zuständigen Aufsichtsbehörden auch selbst vornehmen, wenn ihre Pflicht zur Registrierung nicht erfüllt wird.
Zudem hat das BSI das Recht gem. § 33 Abs. 4
(4) Rechtfertigen Tatsachen die Annahme, dass eine Einrichtung ihre Pflicht zur Registrierung nach Absatz 1 oder 2 nicht erfüllt, so hat diese Einrichtung dem Bundesamt auf Verlangen die aus Sicht des Bundesamtes für die Bewertung erforderlichen Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen und Auskunft zu erteilen, soweit nicht Geheimschutzinteressen oder überwiegende Sicherheitsinteressen entgegenstehen.
Die mögliche folgende Prüfung durch das BSI könnte für betroffene Unternehmen unangenehm ausfallen.
Frist verpasst – Jetzt nachmelden!
Wer die Frist verpasst hat, sollte die Nachmeldung möglichst rasch nachholen. Das garantiert zwar nicht, dass das BSI nicht doch Maßnahmen und Bußgelder verhängt, könnte aber gegebenenfalls die möglichen negativen Folgen abmildern. Vor allem dann, wenn nachvollziehbar sonstige Rechtspflichten nach NIS2/BSIG erfüllt und dokumentiert sind. Neben der Registrierungspflicht sind zudem die Dokumentationspflichten zu beachten. Wer ein stimmiges und an den etablierten Standards orientiertes Informationssicherheits-Management-System (ISMS) eingeführt hat, kann auf Anforderung den Nachweis erbringen, dass er trotz nicht erfolgter Registrierung tätig geworden ist.
Im eigenen Interesse ist eine zeitnahe Nachmeldung zu empfehlen.
Wir beraten und betreuen eine Reihe mittelständischer Unternehmen und Organisationen in den Bereichen Datenschutz und Datensicherheit. Gern evaluieren wir in einem kostenfreien Erstgespräch den Bedarf in Ihrer Organisation. Sie erreichen uns unter info@prisecon.de oder unter den unten angegebenen Geschäftsdaten.