NIS 2: Tausende deutsche Firmen verpassen Cybersicherheits-Frist

Die neue EU-Cybersicherheitspflicht ist in Kraft – doch ein Großteil der deutschen Wirtschaft ist nicht vorbereitet. Die entscheidende Registrierungsfrist für die NIS-2-Richtlinie lief am 6. März 2026 ab. Trotz monatelanger Vorlaufzeit operieren Tausende Unternehmen nun außerhalb der Legalität. Sie sehen sich mit strengen Meldepflichten, persönlicher Haftung für Geschäftsführer und Bußgeldern in Millionenhöhe konfrontiert.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind und welche neuen Gesetze die Lage jetzt verschärfen, erfahren Sie in diesem Experten-Report. Stärken Sie Ihre IT-Sicherheit mit einfachen Maßnahmen und schützen Sie sich vor teuren Konsequenzen. Kostenlosen Cyber Security Leitfaden herunterladen

Dramatisch erweiterter Kreis: Vom Mittelstand bis zur Cloud

Das deutsche Umsetzungsgesetz, das NIS2UmsuCG, trat bereits am 6. Dezember 2025 in Kraft. Es gewährte den betroffenen Unternehmen eine dreimonatige Frist zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese ist nun verstrichen.

Der regulatorische Radius hat sich explosionsartig vergrößert. Waren zuvor vor allem klassische Kritische Infrastrukturen wie Energie- oder Gesundheitswesen betroffen, zieht das neue Gesetz weite Teile der Breitenwirtschaft in die Pflicht. Dazu zählen Lebensmittelverarbeitung, Abfallwirtschaft, der gesamte Post- und Kurierdienst sowie große Teile des verarbeitenden Gewerbes. Auch digitale Dienstleister wie Cloud-Anbieter oder Suchmaschinen fallen nun unter die Aufsicht.

Konkret betrifft es mittelständische Unternehmen ab 50 Mitarbeitern und einem Jahresumsatz von zehn Millionen Euro. Insgesamt unterstehen nun rund 30.000 Unternehmen der BSI-Aufsicht – statt bisher nur 4.500.

Überforderung und Bürokratie: Der Mittelstand kämpft

Die Umstellung verläuft holprig. Eine repräsentative Umfrage des ZEW Mannheim zeigt tiefe Verunsicherung. Rund 60 Prozent der betroffenen Firmen halten den bürokratischen Aufwand für überzogen. Kritik gibt es auch an den umfangreichen Meldepflichten und den harten Sanktionen.

Zwar geben 57 Prozent der befragten Unternehmen aus Informationswirtschaft und Industrie an, die meisten Vorgaben umgesetzt zu haben. Doch alarmierende 17 Prozent räumen ein, die Standards nicht oder nur unzureichend erfüllt zu haben. Die Dringlichkeit unterstreichen aktuelle Cyberangriffe: Jedes siebte IT-Unternehmen und jedes achte Industrieunternehmen erlitt im vergangenen Jahr finanziellen Schaden durch Hackerangriffe.

Angesichts der Überforderung veröffentlichte das Institut der Wirtschaftsprüfer (IDW) am 3. März ein umfangreiches Hilfspapier. Die Botschaft ist klar: IT-Sicherheit ist kein rein technisches Thema mehr, sondern eine Chefsache mit strengen Compliance-Vorgaben.

24-Stunden-Meldepflicht und persönliche Haftung

Die neuen operativen Anforderungen stellen viele Mittelständler vor immense Herausforderungen. Eine der härtesten Vorgaben: die 24-Stunden-Meldepflicht bei schwerwiegenden Vorfällen. Innerhalb eines Tages muss eine erste Warnung beim BSI eingehen, gefolgt von einem detaillierten Bericht nach 72 Stunden und einem Abschlussreport binnen eines Monats.

Unternehmen müssen zudem „Stand der Technik“-Maßnahmen nachweisen. Dazu gehören Risikoanalysen, Notfallpläne und für Kritische Infrastrukturen aktive Bedrohungserkennungssysteme. Besonders heikel: Die gesamte Lieferkette muss auf Sicherheitslücken überprüft werden.

Die Strafen bei Verstößen sind beispiellos. Für „wesentliche“ Einrichtungen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. „Wichtige“ Einrichtungen können mit sieben Millionen Euro oder 1,4 Prozent des Umsatzes belangt werden.

Neben der NIS-2-Richtlinie fordern auch neue KI-Gesetze und verschärfte Haftungsregeln die volle Aufmerksamkeit der Geschäftsführung. Dieser kostenlose Report enthüllt effektive Strategien für den Mittelstand, um sich ohne Budget-Explosion gegen Cyberkriminelle zu wappnen. Experten-Report zur Cyber Security 2024 sichern

Die vielleicht einschneidendste Neuerung ist die persönliche Haftung der Geschäftsführung. Bei Compliance-Verstößen können Unternehmen Regressansprüche gegen ihre Vorstände und Geschäftsführer geltend machen. Diese sind zudem gesetzlich verpflichtet, sich fortlaufend in Cybersicherheit schulen zu lassen. Juristen warnen: Ein Cyberangriff bei versäumter Registrierung könnte die Strafe vervielfachen und die Manager massiven persönlichen Risiken aussetzen.

Was jetzt kommt: Durchsetzung und Lieferketten-Druck

Mit dem Ablauf der Frist tritt das BSI von der Einführungs- in die Überwachungs- und Durchsetzungsphase. Nachzügler müssen ihre Registrierung dringend nachholen und umfassende Prüfungen starten, um ihr Haftungsrisiko zu minimieren.

Die Marktwirkung wird weit über die direkt regulierten 30.000 Unternehmen hinausstrahlen. Denn das Gesetz verpflichtet diese, auch ihre Lieferketten abzusichern. Vertragliche Klauseln werden daher künftig auch nicht-regulierte Zulieferer und Partner zwingen, NIS-2-Standards einzuhalten. Anbieter ohne ausreichende Cyber-Resilienz drohen, von lukrativen Geschäften ausgeschlossen zu werden.

Trotz des chaotischen Starts sehen Branchenbeobachter in dem strengen Rahmen eine notwendige Entwicklung. Indem Cybersicherheit im Vorstand verankert und Fahrlässigkeit teuer wird, soll die NIS-2-Richtlinie die Widerstandsfähigkeit der europäischen Wirtschaft heben. Das Ziel: Ein vereinter Schutzwall gegen die wachsende Bedrohung durch staatliche Cyber-Spionage und organisierte Erpresserbanden.

boerse | 68660707 |