NIS2: Zwei Drittel der Behörden und Firmen verpassen Frist

Die Frist zur Registrierung nach dem neuen IT-Sicherheitsgesetz ist abgelaufen – mit gravierenden Folgen. Rund zwei Drittel der betroffenen deutschen Behörden und Unternehmen haben die Pflicht verpasst. Sie riskieren nun hohe Bußgelder und persönliche Haftung für ihre Führungskräfte. Gleichzeitig erreicht die Bedrohung durch KI-gestützte Cyberangriffe ein neues Niveau.

Angesichts der verschärften Gesetzeslage und der rasanten Entwicklung von KI-Angriffen stehen viele Unternehmen vor einer enormen Compliance-Herausforderung. Dieser kostenlose Experten-Report unterstützt Sie dabei, Ihre IT-Sicherheit ohne Budget-Explosion zu stärken und die neuen gesetzlichen Anforderungen zu erfüllen. Was Geschäftsführer über Cyber Security 2024 wissen müssen

Massive Versäumnisse trotz klarer Vorgaben

Die Lage ist alarmierend: Von schätzungsweise 30.000 als „wesentlich“ oder „wichtig“ eingestuften Organisationen haben sich bis zum Stichtag am 6. März nur etwa 11.500 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert. Diese Pflicht ist Kern des NIS2-Umsetzungsgesetzes, das seit Dezember 2025 in Kraft ist. Wer jetzt noch nicht gemeldet ist, handelt rechtswidrig.

Die Konsequenzen sind hart. Für Verstöße drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Noch bedeutsamer ist die persönliche Haftung der Geschäftsleitung nach § 38 des BSIG. Cybersicherheit ist damit endgültig zur unmittelbaren Chefsache geworden – inklusive der Verpflichtung, sich regelmäßig in IT-Sicherheit schulen zu lassen.

KI-Angriffe setzen Verteidiger unter Druck

Während die Verwaltung mit der Regulierung kämpft, wird die Bedrohungalsage immer gefährlicher. Seit dem Jahreswechsel rollt eine beispiellose Welle von Cyberangriffen über Europa. Mehrere EU-Ministerien wurden Opfer von Phishing-Kampagnen, die mit generativer Künstlicher Intelligenz (KI) erstellt wurden. Diese Angriffe in „Maschinengeschwindigkeit“ überfordern menschliche Analysten und lassen kaum Zeit zur Reaktion.

Die Dimension der Gefahr zeigte sich auch bei einer internationalen Polizeiaktion am 20. März. Dabei wurde das „Kimwolf“-Botnetz zerschlagen, das mit Angriffen von bis zu 30 Terabit pro Sekunde als das größte seiner Art galt. Solche Operationen unter Beteiligung des BSI und von Tech-Konzernen wie Amazon Web Services sind notwendig, zeigen aber auch die Professionalität der Gegner. Steuerdaten, Infrastrukturinformationen und Verteidigungsdokumente bleiben begehrte Ziele.

Ganzheitlicher Schutz wird zur Pflicht

Vor diesem Hintergrund reicht es nicht, nur Formulare auszufüllen. Eine ganzheitliche Sicherheitsstrategie ist Pflicht. Besonders im öffentlichen Sektor, wo hybride Arbeitsmodelle Standard sind, werden abgesicherte Endgeräte zur ersten Verteidigungslinie. Die Einhaltung von DSGVO, BSI-Richtlinien und EU-Vorgaben erfordert hochsichere Hardware.

Gleichzeitig rückt die Sicherheit der KI selbst in den Fokus. Ein Bundestagsausschuss betonte kürzlich, dass Cybersicherheit das Fundament für vertrauenswürdige KI ist. Das BSI arbeitet aktiv an EU-Leitlinien mit, um die neuen Vorgaben der EU-KI-Verordnung (KI-VO) und des KI-Marktüberwachungsgesetzes (KI-MIG) technisch umzusetzen. Die Verzahnung mit dem Cyber Resilience Act (CRA) soll für klare Standards sorgen.

Die neue EU-KI-Verordnung stellt Unternehmen bereits seit August 2024 vor komplexe Dokumentations- und Kennzeichnungspflichten. Unser kostenloser Leitfaden hilft Ihnen dabei, KI-Systeme richtig zu klassifizieren und rechtssicher in Ihren Betrieb zu integrieren. EU-KI-Verordnung kompakt: Jetzt Gratis-E-Book sichern

Doch der Aufbau eigener Kompetenzen ist schwer. Eine aktuelle Studie zeigt: Ein eigenes Security Operations Center (SOC) für den 24/7-Betrieb benötigt mindestens acht spezialisierte Mitarbeiter – eine enorme Hürde für viele Kommunen.

Digitale Souveränität steht auf dem Spiel

Die aktuelle Situation markiert einen Wendepunkt. Die massiven Versäumnisse bei der NIS2-Registrierung offenbaren ein fundamentales Problem: Vielen Organisationen fehlt es am Bewusstsein und an den Ressourcen, um die komplexen Sicherheitsvorgaben zu erfüllen.

Die EU treibt die Regulierung mit dem CRA und der Maschinenverordnung weiter voran. Das Ziel ist ein umfassender Rahmen, der Hersteller, Betreiber und Integratoren in die direkte Verantwortung für Cyberrisiken nimmt. Security by Design, also Sicherheit von der Entwicklung an, wird zum neuen Standard.

Für die öffentliche Verwaltung beginnt jetzt ein Wettlauf gegen die Zeit. Die Nachholung der Registrierung und die Umsetzung von Risikomanagement sind erste, dringende Schritte, um Strafen abzuwenden. Langfristig sind Investitionen in moderne Technologien und kontinuierliche Personalschulung überlebenswichtig. Nur eine proaktive Abwehr, gestützt auf die Zusammenarbeit von BSI, internationalen Partnern und der Wirtschaft, kann die digitale Infrastruktur Deutschlands resilient machen.

boerse | 69001056 |