NIS-2: Deutsche Unternehmen verpassen Frist für Cybersicherheit

Deutsche Firmen sind schlecht auf die verschärften EU-Vorgaben zur Cybersicherheit vorbereitet. Mehr als die Hälfte hat eine zentrale Registrierungsfrist verpasst – ausgerechnet in einer Zeit eskalierender globaler Cyberangriffe. Die neue Rechtslage macht IT-Sicherheit zur Chefsache und zur Frage der wirtschaftlichen Existenz.

Eine verpasste Frist mit Folgen

Die Bilanz ist alarmierend: Seit dem 6. Dezember 2025 gilt in Deutschland die verschärfte NIS-2-Richtlinie der EU. Sie gibt Unternehmen aus kritischen Sektoren wie Energie, Gesundheit und Digitalinfrastruktur drei Monate Zeit, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren. Diese Frist endete am 6. März 2026. Eine Analyse des Cyber Intelligence Institute und der Kanzlei Reuschlaw vom 19. März zeigt nun ein massives Versagen: Von geschätzt 29.500 betroffenen Unternehmen haben weniger als die Hälfte die Registrierung im Meldeportal abgeschlossen.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind: Neue Gesetze verschärfen die Lage und IT-Experten warnen vor teuren Konsequenzen. Dieser kostenlose Leitfaden zeigt, wie Sie Ihr Unternehmen mit einfachen Maßnahmen effektiv schützen. IT-Sicherheit stärken ohne teure Investitionen

Betroffen sind Firmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von über zehn Millionen Euro. Experten beobachten zwei Hauptprobleme: Viele Unternehmen sind von den teils komplexen rechtlichen Definitionen überfordert. Andere versuchen bewusst, unter dem Radar der Aufsicht zu bleiben. Dabei warnten Fachleute wie vom TÜV SÜD bereits vor der Deadline vor der unterschätzten Bürokratie. Die neuen Regeln verlangen nämlich nicht nur eine einmalige Meldung, sondern fortlaufende Dokumentation und strenge Meldefristen bei Sicherheitsvorfällen.

Globale Bedrohung trifft auf lokale Untätigkeit

Die deutsche Trägheit steht in krassem Kontrast zur globalen Bedrohungslage. Anfang März 2026 legte ein schwerer Cyberangriff den Medizintechnik-Konzern Stryker lahm. Der Angriff auf dessen Microsoft-Systeme störte weltweit die Auftragsabwicklung, Produktion und Logistik. Sicherheitsforscher führen den Vorfall auf eine Iran-nahe Hacktivisten-Gruppe zurück. Mitarbeiter berichteten, wie Unternehmensrechner in Echtzeit gelöscht wurden.

Der Fall Stryker zeigt, wie schnell sich IT-Störungen durch globale Lieferketten fortpflanzen. Analysten sehen einen klaren Trend: Geopolitische Spannungen befeuern gezielte Angriffe auf kritische Infrastrukturen. Die Angreifer agieren heute schneller denn je und durchqueren firmeninterne Netzwerke in Sekunden. In dieser Lage ist proaktive Cyberabwehr keine option mehr, sondern eine betriebswirtschaftliche Notwendigkeit.

Vom Papierkram zur operativen Abwehr

Die Aufsichtsbehörden drängen nun darauf, dass Unternehmen von theoretischer Compliance zu robuster operativer Abwehr übergehen. Der neue Rechtsrahmen verpflichtet dazu, signifikante Vorfälle innerhalb von 24 Stunden dem BSI zu melden und binnen 72 Stunden eine ausführliche Lageeinschätzung nachzureichen.

Neben gesetzlichen Fristen nutzen Hacker oft psychologische Schwachstellen der Mitarbeiter gnadenlos aus. Dieser Experten-Guide zur Hacker-Abwehr zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen wirksam vor aktuellen Phishing-Angriffen schützen. Kostenlosen Anti-Phishing-Guide herunterladen

Um diese engen Fristen einzuhalten, muss sich die Sicherheitsstrategie grundlegend ändern. Experten fordern die flächendeckende Übernahme des „Assume-Breach“-Prinzips. Dieses geht vom realistischen Szenario aus, dass die klassische Perimeter-Abwehr irgendwann versagt. Die oberste Priorität liegt dann in der schnellen Erkennung und Eindämmung von Angreifern, die es bereits ins Innere des Netzwerks geschafft haben.

Das BSI hat am 9. März 2026 eine bundesweite Umfrage gestartet, um den tatsächlichen Bedarf der Wirtschaft an digitaler Widerstandsfähigkeit zu ermitteln. Im Fokus stehen dabei fortgeschrittene Konzepte wie Infrastructure as Code, Software Bill of Materials und Security Operations Center als Dienstleistung. Das Ziel ist klar: Aus passiver Pflichterfüllung soll aktive, kontinuierliche Einsatzbereitschaft werden.

Das Risiko, unsichtbar bleiben zu wollen

Die Entscheidung Tausender Unternehmen, die Registrierung zu ignorieren, ist strategisch riskant. Sie schließen sich damit vom Informationsaustausch des BSI aus. Wer versucht, der Aufsicht zu entgehen, verliert den Zugang zu Frühwarnsystemen und kritischen Gefahreninformationen – genau den Werkzeugen, die verheerende Betriebsunterbrechungen verhindern könnten.

Sicherheitsexperten fordern die Behörden nun auf, von nachsichtigen Übergangslösungen abzusehen. Stattdessen brauche es klare Signale durch gezielte Prüfungen und transparente Kommunikation. Die Finanzwelt hat die Zeichen der Zeit bereits erkannt: Seit Mitte März 2026 bewerten Investmentanalysten Cyberrisiken zunehmend als direkten Treiber des Unternehmenswerts. Mangelnde Vorbereitung auf Vorfälle und schlechte Netzwerktrennung bedrohen die Geschäftsperformance, da Cyberangriffe die Betriebskosten in die Höhe treiben und Cashflows belasten. Starke Cyberabwehr wird so zum Indikator für solide Unternehmensführung.

boerse | 68920518 |