NIS2-Gesetz: Deutsche Wirtschaft steht vor IT-Sicherheits-Prüfung

Die Frist ist abgelaufen, jetzt beginnt die Kontrolle. Seit dem 6. März müssen sich Zehntausende deutsche Unternehmen an das verschärfte IT-Sicherheitsgesetz halten – ohne Übergangsfrist. Die Aufsicht prüft nun auch die Lieferketten, und Geschäftsführer haften persönlich.

Vom Plan zur Pflicht: Keine Gnadenfrist für Unternehmen

Die Stunde der Wahrheit schlägt für rund 30.000 Betriebe in Deutschland. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit Dezember 2025 in Kraft und hat den Kreis der regulierten Unternehmen etwa verfünffacht. Erfasst sind nun Firmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz über zehn Millionen Euro aus 18 kritischen und wirtschaftlich bedeutenden Sektoren. Dazu zählen nicht mehr nur Energieversorger und Banken, sondern auch Maschinenbauer, Chemieunternehmen, Lebensmittelhersteller und digitale Plattformen.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. IT-Sicherheit und rechtliche Pflichten jetzt prüfen

Deutschland hatte die EU-Frist zur Umsetzung der NIS-2-Richtlinie im Oktober 2024 verpasst, was ein Vertragsverletzungsverfahren der EU-Kommission nach sich zog. Das nun geltende Gesetz kennt keine Schonfrist. Die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) über ein neues Portal war bis zum 6. März 2026 Pflicht. Wer zu spät kommt, riskiert bereits jetzt Bußgelder. Das BSI kann ex-post prüfen und Anordnungen zur Behebung von Sicherheitsmängeln treffen.

Der Domino-Effekt: IT-Sicherheit in der gesamten Lieferkette

Eine der größten Neuerungen trifft den Mittelstand im Kern: die Lieferkettenhaftung. Paragraph 30 des novellierten BSI-Gesetzes verpflichtet regulierte Unternehmen, auch für die IT-Sicherheit ihrer direkten Zulieferer und Dienstleister Sorge zu tragen. Das erzeugt einen Domino-Effekt. Selbst kleinere Betriebe, die eigentlich nicht unter NIS2 fallen, müssen nun hohe Cybersecurity-Standards erfüllen, um als Lieferant für größere Konzerne attraktiv zu bleiben.

Cybersecurity wird so vom technischen Nebenthema zum strategischen Kern der Unternehmensführung. Firmen müssen die Sicherheitsprozesse ihrer Lieferanten bei der Produktentwicklung prüfen und vertraglich klare Regelungen für Incident-Management und Schwachstellenbehandlung vereinbaren. Bei schwerwiegenden Vorfällen bei einem Zulieferer gilt eine strenge Meldekaskade: Die erste Benachrichtigung muss das BSI innerhalb von 24 Stunden nach Entdeckung erreichen.

Persönliche Haftung und Millionen-Bußgelder für Führungskräfte

Die Geschäftsführung sitzt mit im Boot – und haftet persönlich. Nach Paragraph 38 des BSI-Gesetzes sind Vorstände und Geschäftsführer verantwortlich für die Genehmigung und Überwachung der Cybersicherheits-Maßnahmen. Sie müssen sich regelmäßig fortbilden, um die Risiken für ihr Unternehmen angemessen beurteilen zu können.

Die Konsequenzen bei Pflichtverletzungen sind drastisch. Bei beharrlicher Nichtbefolgung von BSI-Anordnungen kann die Behörde als letztes Mittel die Ausübung der Geschäftsführungstätigkeit vorläufig untersagen. Die finanziellen Strafen erreichen neue Dimensionen: Für besonders wichtige Einrichtungen können Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes fällig werden. Auch für „wichtige“ Entitäten bleiben bis zu sieben Millionen Euro oder 1,4 Prozent des Umsatzes möglich. Cybersecurity wird damit rechtlich und finanziell auf eine Stufe mit der Rechnungslegung oder dem Datenschutz nach DSGVO gestellt.

Angesichts drohender Millionen-Bußgelder und strenger Haftungsregeln für die Geschäftsführung ist ein proaktiver Schutz unverzichtbar. Das gratis E-Book zeigt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen kostengünstig erfüllen. Gratis E-Book: IT-Sicherheit für Unternehmer

Doppelter Druck: NIS2 im Geflecht weiterer Gesetze

Unternehmen stehen unter doppeltem Regulierungsdruck. Neben NIS2 müssen sie auch das Lieferkettensorgfaltspflichtengesetz (LkSG) für Menschenrechte und Umwelt sowie das KRITIS-Dachgesetz für die physische Resilienz kritischer Infrastrukturen beachten. NIS2 fügt diesem Puzzle nun die digitale Widerstandsfähigkeit hinzu.

Die Herausforderung: IT-Sicherheit darf nicht länger allein in der IT-Abteilung verortet sein. Sie muss in die übergreifende Einkaufs- und Compliance-Strategie integriert werden. Viele Firmen nutzen bereits zu Beginn des Jahres 2026 Bewertungstools des BSI, um ihren konkreten Handlungsbedarf in diesem mehrschichtigen Regulierungsgeflecht zu bestimmen.

Ausblick 2026: Von der Lückenanalyse zur gelebten Cyber-Hygiene

Im weiteren Verlauf des Jahres 2026 wird das BSI seine Aufsichtstätigkeit voraussichtlich intensivieren. Der Fokus liegt auf Lückenanalysen, bei denen Unternehmen ihren aktuellen IT-Sicherheitsstatus mit den konkreten Anforderungen des neuen Gesetzes abgleichen.

Zusätzlich zeichnet sich mit dem geplanten EU-Cyber Resilience Act die nächste Herausforderung ab. Er wird höhere Standards für Hardware- und Softwareprodukte selbst setzen und die NIS2-Anforderungen ergänzen. Für deutsche Unternehmen geht es nun darum, ihre Compliance lückenlos zu dokumentieren und einsatzbereite Incident-Response-Pläne vorzuhalten. Das Ziel für die kommenden Monate ist klar: über die bloße Gesetzeserfüllung hinaus zu einer Kultur nachweisbarer Cyber-Hygiene zu kommen, die sowohl professionellen Angriffen als auch staatlicher Aufsicht standhält.

de | boerse | 69118229 |