NIS-2: Heute endet die Anmeldefrist – „betroffene MVZ und BAG oft überfordert“

Bonn. Am heutigen Freitag endet die Frist für Unternehmen, sich auf der Online-Plattform des Bundesamts für Sicherheit in der Informationstechnik (BSI) als NIS-2-relevant zu registrieren. Laut Bundesregierung sind in Deutschland rund 30.000 Firmen aus 18 Branchen in der Pflicht, den Finger zu heben. Darunter nach Schätzungen des Bundesverbands Medizinische Versorgungszentren (BMVZ) auch um die 1.000 MVZ und BAG.

Betroffenheitskriterien sind entweder Belegschaften mit mehr als 50 Köpfen oder ein Jahresumsatz, der zehn Millionen Euro übersteigt. Diesen Unternehmen wird durch die europäische NIS-2-Richtlinie auferlegt, ein anspruchsvolles Risikomanagement in Sachen Cybersicherheit zu betreiben sowie als „erheblich“ einzustufende Sicherheitsvorfälle zu melden.

Wie viele Betriebe sich inzwischen beim BSI angemeldet haben, wollte die Bonner Behörde vor dem Wochenende nicht mitteilen. Eine allgemeine Zahl werde kommenden Montag veröffentlicht, sektorspezifische Zahlen „voraussichtlich Ende März“, versicherte ein Sprecher auf Nachfrage. Kurz vor Torschluss habe das Anmeldegeschehen „in den letzten Tagen noch einmal zugenommen“. Im BSI sei man sich durchaus „bewusst, dass die Prüfung der Betroffenheit und die zweistufige Registrierung im Einzelfall aufwändig sein kann“.

Viele wähnen sich nicht angesprochen

Die Behörde erwarte aber, „dass die noch offenen Registrierungen im 1. Halbjahr 2026 nachgeholt werden“. Und das dürften nicht wenige sein: Auf eine Anfrage der Bundestagsabgeordneten Jeanne Dillschneider (Grüne) habe das Innenministerium wissen, dass sich bis Ende Februar erst 4.856 Unternehmen angemeldet haben, berichtet unter anderen die „Frankfurter Rundschau“.

Der IT-Dienstleister Schwarz Digits veröffentlichte aktuell Ergebnisse einer repräsentativen Unternehmensbefragung (n = 1.001), wonach rund die Hälfte (48 Prozent) irrtümlich „davon ausgehen, nicht von der NIS-2-Richtlinie betroffen zu sein“. Insbesondere Firmen, die mit weniger als 50 Mitarbeitern die 10-Millionen-Euro-Umsatzgrenze überschreiten „wiegen sich zu 92 Prozent in trügerischer Sicherheit und schließen eine Betroffenheit fälschlicherweise aus“.

Zu diesen umsatzstarken Einrichtungen zählten in der Praxislandschaft „beispielsweise Dialyse- oder Radiologie-BAG“, betont Susanne Müller, Geschäftsführerin des Bundesverbands Medizinische Versorgungszentren (BMVZ). Wie viele MVZ und BAG sich im BSI-Portal bis zum heutigen Fristablauf eingetragen haben, weiß Müller auch nicht. Nimmt aber an, „dass die Quote unter MVZ aufgrund der dort anders aufgestellten Verwaltungsstruktur höher ist als bei den Gemeinschaftspraxen“; zumal ihr Verband seine Mitglieder „seit eineinhalb Jahren“ über die Anmeldepflicht informiere.

„Fehlende branchenspezifische Unterstützung“

Müller kritisiert gleichwohl die unbefriedigende amtliche Informationspolitik. Wir erleben, dass die NIS-2-Thematik die betroffenen MVZ und BAG oft überfordert. Die fehlende branchenspezifische Unterstützung ist das große Manko.“ Hinzu kommt, dass das BSI erst Anfang Januar sein Portal freigeschaltet und damit den Korridor zur Registrierung ab Inkrafttreten des NIS-2-Umsetzungsgesetzes Anfang Dezember faktisch von drei auf zwei Monate verkürzt hat.

„Man kann nicht dem kompletten Mittelstand dermaßen komplexe und mit Unklarheiten behaftete Vorgaben machen“, moniert Müller, „und dann hoffen, dass innerhalb von zwei Monaten überall Kapazitäten frei gemacht werden, um fristgerecht den neuen Pflichten nachzukommen.“

Deshalb dürfe auch „der heutige Tag keinesfalls als Frist genommen werden, um die im Gesetz verankerten Sanktionen scharf zu stellen“. Ob das Bundesamt beabsichtigt, nun in großem Stil Bußgelder zu verhängen, ist ungewiss. Der Behördensprecher erklärte hierzu lediglich: „Eine Verlängerung der Anmeldefrist ist nicht möglich“. (cw)