NIS-2: Frist verstrichen, deutsche Unternehmen im Compliance-Stress

Die Ära der freiwilligen Cybersicherheit ist in Europa endgültig vorbei. Mit dem verpassten Anmeldeschluss beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und neuen EU-Vorgaben beginnt ein strengeres Regime. Doch viele Firmen sind überfordert.

Angesichts der neuen gesetzlichen Anforderungen stehen viele Unternehmen vor der Herausforderung, ihre IT-Sicherheit ohne explodierende Kosten zu stärken. Dieser Experten-Report enthüllt effektive Strategien und Schutzmaßnahmen, mit denen sich mittelständische Betriebe auch ohne riesiges Budget gegen Cyberkriminelle wappnen können. Effektive Strategien gegen Cyberangriffe entdecken

Doppelter Regulierungsdruck aus Brüssel und Berlin

Am 6. März 2026 ist eine kritische Frist für die deutsche Wirtschaft verstrichen. Alle vom erweiterten NIS-2-Direktiven-Gesetz betroffenen Unternehmen mussten sich bis dahin beim BSI registrieren. Zeitgleich veröffentlichte die EU-Kommission am 3. März ihren lang erwarteten Entwurf für Leitlinien zum Cyber Resilience Act (CRA).

Zusammen markieren diese Schritte den Übergang zu verbindlichen Resilienz-Vorgaben. Die Botschaft ist klar: Cybersicherheit ist keine optionale IT-Aufgabe mehr, sondern eine gesetzliche Pflicht der Geschäftsführung. Doch wie eine neue Studie zeigt, kommt diese Botschaft bei vielen Betroffenen nicht an – oder überfordert sie schlichtweg.

Hohe Bußgelder und persönliche Haftung drohen

Die NIS-2-Umsetzung in Deutschland hat den Kreis der regulierten Unternehmen massiv ausgeweitet. Neben klassischer kritischer Infrastruktur wie Energieversorgern oder Krankenhäusern sind nun auch Cloud-Dienste, Rechenzentren, Online-Marktplätze, Teile der Chemieindustrie und der Lebensmittelverteilung betroffen.

Die Konsequenzen von Verstößen sind drastisch. Schon formale Fehler bei der Anmeldung können Bußgelder in sechsstelliger Höhe nach sich ziehen. Eine umfassende Nicht-Einhaltung der zehn zentralen Sicherheitsmaßnahmen kann bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes kosten. Entscheidend ist die neue persönliche Haftung für Geschäftsführer, die Cybersicherheit zu einer Top-Level-Verantwortung macht.

Studie offenbart massive Überforderung

Trotz der klaren Vorgaben hinkt die Praxis hinterher. Eine am 5. März veröffentlichte Studie des Leibniz-Zentrums für Europäische Wirtschaftsforschung (ZEW) zeigt ein alarmierendes Bild. Rund 60 Prozent der etwa 1.100 befragten Unternehmen halten den administrativen Aufwand der NIS-2 für zu hoch.

„Funktionierende IT-Systeme sind für die Geschäftstätigkeit der meisten Unternehmen essenziell“, sagt Studienleiter Dr. Daniel Erdsiek vom ZEW. Die Bedrohungslage ist real: Neun Prozent der IT-Wirtschaft und sieben Prozent der Industrieunternehmen erlitten im vergangenen Jahr Betriebsausfälle durch Cyberangriffe.

Besorgniserregend: 17 Prozent der betroffenen Firmen geben zu, die neuen Anforderungen aktuell nicht oder nur unvollständig zu erfüllen. Eine gefährliche Lücke angesichts der eskalierenden Bedrohungen.

KI verschärft die Bedrohungslage von innen

Da Angreifer zunehmend KI-Tools nutzen, um interne Schwachstellen und menschliche Fehler auszunutzen, wird eine proaktive Abwehr immer wichtiger. Dieser kostenlose Guide bietet eine 4-Schritte-Anleitung zur erfolgreichen Hacker-Abwehr und zeigt auf, wie Sie Ihr Unternehmen wirksam vor modernen Phishing-Angriffen schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Parallel zum Regulierungsdruck wächst die Komplexität der Cybergefahren. Ein Report des Sicherheitsunternehmens Mimecast identifiziert KI-gestützte Insider-Risiken als neue kritische Bedrohung. Angreifer nutzen zunehmend interne Schwachstellen, um die Perimeter-Abwehr zu umgehen.

Die Verbreitung von KI-Produktivitätstools und großen Sprachmodellen in Unternehmen vergrößert die Angriffsfläche. „Insider-Risiken haben sich zu einer folgenschweren Bedrohung entwickelt“, warnt Leslie Nielsen, CISO bei Mimecast. Sicherheitsmaßnahmen müssten die Nutzer direkt am Punkt des Risikos abholen – besonders, da KI die großflächige Datenabschöpfung erleichtere.

Was kommt jetzt auf die Unternehmen zu?

Die Schonfrist ist vorbei. Die Behörden werden ihren Fokus nun auf Durchsetzung und Compliance-Prüfungen legen. Unternehmen müssen umgehend die zehn Kernmaßnahmen der NIS-2 umsetzen, darunter Lieferkettensicherheit, Multi-Faktor-Authentifizierung und spezielle Mitarbeiterschulungen.

Zudem gilt ein strikter Meldezeitraum: Signifikante Sicherheitsvorfälle müssen innerhalb von 24 Stunden dem BSI gemeldet werden. Das erfordert hoch effiziente interne Meldewege.

Für Hersteller von Hardware und Software wird der September 2026 zur nächsten kritischen Marke. Dann treten die Meldepflichten für Sicherheitslücken nach dem Cyber Resilience Act in Kraft. Der Leitlinien-Entwurf der EU-Kommission soll hier Rechtssicherheit schaffen.

Die Herausforderung für 2026 ist klar: Es geht nicht mehr darum, jeden Angriff zu verhindern – das ist unmöglich. Sondern darum, schnell wieder handlungsfähig zu sein und Betriebsstörungen zu minimieren. Die Ära der aktiven, demonstrierbaren Resilienz hat begonnen.