Cybersicherheit: 30.000 Unternehmen müssen bis 17. Juli registrieren

Die ersten Schulungsprogramme für Führungskräfte sind gestartet.

Die G DATA academy hat Ende Mai ein spezielles E-Learning-Curriculum für Vorstände und Geschäftsführer aufgelegt. Das Angebot reagiert auf die neuen gesetzlichen Pflichten aus dem NIS2UmsuCG, das die Cybersicherheit von einer technischen Aufgabe zur Chefsache gemacht hat.

Neue Gesetze und KI-gestützte Angriffe verschärfen die Haftungsrisiken für die Geschäftsführung massiv. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um ihre IT-Sicherheit zukunftssicher aufzustellen. Kostenloses E-Book zu Cyber Security Trends anfordern

Persönliche Haftung für Vorstände

Das Gesetz, das nach Zustimmung von Bundestag und Bundesrat am 6. Dezember 2025 in Kraft trat, hat den Kreis der betroffenen Unternehmen drastisch erweitert: Statt bisher rund 4.500 sind nun etwa 30.000 Einrichtungen reguliert. Die Geschäftsleitung muss künftig aktiv die Cybersicherheitsmaßnahmen des Unternehmens genehmigen und überwachen.

Bei Verstößen droht nicht nur ein Bußgeld. Die Aufsichtsbehörden können bei wiederholten Verstößen oder grober Fahrlässigkeit sogar ein temporäres Berufsverbot für Führungskräfte verhängen. Für kleine und mittlere Unternehmen schätzen Branchenexperten die jährlichen Compliance-Kosten auf rund 86.000 Euro.

Pflicht-Schulung alle drei Jahre

Ein Kernstück der neuen Regelung ist die verpflichtende Weiterbildung für Führungskräfte. Alle drei Jahre müssen Vorstände und Geschäftsführer eine Schulung absolvieren – in der Regel etwa vier Stunden. Die Inhalte sind klar definiert: Risikoerkennung, Risikomanagement und die Bewertung von Auswirkungen auf den Geschäftsbetrieb.

Neben der G DATA academy haben auch andere Anbieter reagiert. Die heise academy hat für Juni und Juli 2026 praktische Präsenzveranstaltungen angesetzt. Die Schulungen decken ein breites Spektrum ab – von Phishing und Passwortsicherheit über Deepfakes bis hin zu Meldewegen.

Strenge Meldefristen für Sicherheitsvorfälle

Besonders hart sind die neuen Meldefristen für Sicherheitsvorfälle. Betroffene Unternehmen müssen innerhalb von 24 Stunden eine erste Frühwarnung abgeben, gefolgt von einem detaillierten Bericht nach 72 Stunden und einem umfassenden Abschlussbericht nach einem Monat.

Die Strafen für Verstöße können empfindlich sein: Bis zu 20 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes drohen bei Verstößen gegen die Meldepflichten.

Während die NIS2-Regulierung die Infrastruktur betrifft, bleibt der Faktor Mensch das größte Sicherheitsrisiko im Unternehmensalltag. Experten erklären in diesem kostenlosen Anti-Phishing-Paket, wie Sie Ihr Unternehmen in 4 Schritten wirksam vor psychologischen Manipulationstaktiken und Hacker-Angriffen schützen. Kostenloses Anti-Phishing-Paket herunterladen

Registrierungspflichten in vollem Gange

Die Fristen für die Registrierung laufen bereits. Während die Anmeldung der Verwaltungsaccounts (MUK) bis Ende 2025 abgeschlossen sein musste, ist das zentrale BSI-Portal für die institutionelle Registrierung seit dem 6. Januar 2026 aktiv. Für Betreiber kritischer Infrastrukturen naht ein wichtiger Termin: Bis zum 17. Juli 2026 müssen sie sich sowohl beim Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) für die physische Sicherheit registrieren.

Neue Schwellenwerte für kritische Infrastrukturen

Die Bundesregierung arbeitet zudem an einer neuen Kritis-Verordnung (KritisV). Der vom Innenministerium vorgelegte Entwurf definiert präzise Leistungsschwellen, ab denen Einrichtungen als kritisch gelten:

• Gesundheitswesen: Krankenhäuser mit 30.000 oder mehr stationären Fällen jährlich
• Lebensmittelindustrie: Produzenten mit mehr als 434.500 Tonnen Lebensmittelverarbeitung
• Digitale Infrastruktur: Content Delivery Networks (CDN) mit einem Jahresvolumen von 75 Petabyte oder Top-Level-Domain-Registries mit 250.000 oder mehr Domains
• Versorger: Fernwärmeanbieter für mindestens 250.000 Haushalte, Kläranlagen für 500.000 Einwohner

Der Entwurf soll noch vor der Sommerpause 2026 verabschiedet werden.

Lieferkettensicherheit im Fokus

Die verschärften Regeln kommen zu einer Zeit erhöhter Sensibilität für Datensicherheit. Der jüngste Angriff auf den Dienstleister Unimed mit über 120.000 betroffenen Patientendaten mehrerer Universitätskliniken zeigt die Verwundbarkeit. Rechtsexperten betonen, dass die Kliniken nach aktueller Rechtslage für solche Datenlecks selbst haften – ein deutlicher Hinweis auf die Bedeutung der Lieferkettensicherheit, die das NIS2-Gesetz besonders in den Fokus nimmt.

de | wirtschaft | 69447191 |