Cybersicherheit, Geschäftsführer

Cybersicherheit: Geschäftsführer haften persönlich bis 15 Millionen Euro

Veröffentlicht: 16.07.2026 um 00:22 Uhr, Redaktion boerse-global.de

Zehntausende Unternehmen müssen sich bis Ende Juli beim BSI registrieren. Besonders der Mittelstand hinkt hinterher, während die persönliche Haftung der Geschäftsführung droht.

NIS2-Frist bis Juli: Viele deutsche Firmen noch nicht registriert
Ein stilisiertes digitales Vorhängeschloss auf einem Server-Rack, das Cybersicherheit und Datenschutz symbolisiert, mit verschwommenen Geschäftsleuten im Hintergrund. Illustration mit AI erstellt übermittelt durch boerse-global.de

Die Cybersicherheit rückt für die Geschäftsführung vieler deutscher Unternehmen endgültig zur Chefsache auf. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Daumenschrauben angezogen: Wer unter die NIS2-Richtlinie fällt, muss sich bis Monatsende registrieren. Die ursprüngliche Frist vom 6. März 2026 wurde bereits verlängert – doch der Rückstand ist enorm.

Nach aktuellen Erhebungen hatten sich bis Ende Mai nur rund 18.500 der betroffenen Einrichtungen registriert. Besonders im Mittelstand klafft eine Lücke. Parallel dazu erschwert das BSI den Zugang: Seit dem 15. Juli ist das Meldeportal nur noch über „Mein Unternehmenskonto“ mit einem ELSTER-Organisationszertifikat erreichbar.

Persönliche Haftung: Geschäftsführer in der Verantwortung

Die NIS2-Gesetzgebung macht Cyber-Resilienz zur unübertragbaren Leitungsaufgabe. Gemäß § 38 des BSIG haftet die Geschäftsführung bei grober Fahrlässigkeit persönlich. Die Bußgelder sind empfindlich: bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes.

Die Bedrohungslage rechtfertigt diese Härte. Laut Bitkom waren 87 Prozent der deutschen Unternehmen in den letzten zwölf Monaten von Cyberangriffen betroffen. Der Gesamtschaden: 289,2 Milliarden Euro. Eine Studie von HarfangLab unter 750 europäischen Führungskräften zeigt zudem: Über 70 Prozent erwarten schwere Beeinträchtigungen des Betriebs durch Cybervorfälle. Rund die Hälfte rechnet bereits am ersten Tag eines Ausfalls mit finanziellen Konsequenzen.

Anzeige

Angesichts der enormen Schadenssummen durch Cyberangriffe müssen Unternehmen heute proaktiv handeln, um ihre Existenz zu sichern. Experten erklären im kostenlosen E-Book, wie Sie sich wirksam absichern, bevor es zu spät ist. Kostenlose Checkliste zur Cyber-Security jetzt herunterladen

Strategische Lücke: Risikomanagement oft nur auf dem Papier

Trotz der verschärften Lage offenbaren Marktanalysen erhebliche Defizite. Das SMK Risikobarometer zeigt: 80 Prozent der Entscheider halten ihre IT-Sicherheit für gut organisiert. Doch das BSI stellt fest, dass kleine und mittlere Unternehmen im Schnitt nur 56 Prozent der Basisanforderungen erfüllen. 60 Prozent der befragten Betriebe haben kein strukturiertes Risikomanagement.

Hinzu kommt ein nachlassendes Engagement der Führungsebene. Eine Studie von MetaCompliance unter 200 europäischen IT-Sicherheitsverantwortlichen (CISOs) belegt: 79 Prozent beklagen eine abnehmende Unterstützung durch das Management. Das wiegt besonders schwer, da 68 Prozent der Fachleute die Belegschaft als größte Schwachstelle identifizieren – zunehmend unter Druck durch KI-gestütztes Social Engineering.

KI als Katalysator: Angreifer werden schneller

Der technologische Fortschritt verschärft die Situation. Der SANS AI Survey 2026 zeigt: Der Einsatz von Künstlicher Intelligenz in der Cyberabwehr stieg von 33 auf 61 Prozent. Doch 63 Prozent der Fachleute berichten von Defiziten bei der KI-basierten Bedrohungserkennung.

Angreifer nutzen KI bereits für autonome Attacken. In einem dokumentierten Fall gelang es mit KI-Tools, in Systeme mehrerer Regierungsbehörden einzudringen. Das Zeitfenster für die Ausnutzung von Schwachstellen schrumpfte von Tagen auf wenige Stunden. Die offensive Sicherheitsforschung reagiert: Horizon3.ai nutzt im Rahmen einer Kooperation mit Anthropic KI-Modelle wie Claude Mythos, um Schwachstellen wie CVE-2026-34197 und CVE-2026-48558 zu identifizieren – bevor Kriminelle sie ausnutzen können.

Anzeige

Die rasante Entwicklung von KI verschärft nicht nur die Bedrohungslage, sondern bringt auch neue rechtliche Pflichten für die Unternehmensleitung mit sich. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-Report zu neuen KI-Gesetzen und Cyberrisiken anfordern

Lieferketten unter Druck: Auch Zulieferer müssen liefern

Die NIS2-Regulierung verlangt eine kontinuierliche Risikobewertung der gesamten Lieferkette. Das setzt auch Betriebe unter Druck, die unterhalb der gesetzlichen Schwellenwerte liegen. Andreas Lüning von G Data betont: Ein bloßer Notfallplan reicht nicht. Zwar verfügen 97 Prozent der deutschen Unternehmen über ein solches Dokument, doch weniger als die Hälfte führt regelmäßige Übungen durch oder nutzt fortgeschrittene technische Eindämmungsmaßnahmen.

Angesichts des Fachkräftemangels gewinnen Modelle wie „Fractional CISOs“ oder externe Incident-Response-Teams an Bedeutung. Nur so lassen sich die geforderten Meldepflichten einhalten – etwa die 24-Stunden-Frühwarnung bei Vorfällen.

Weitere regulatorische Anforderungen stehen bereits fest: Ab September 2026 verschärft der EU Cyber Resilience Act die Anforderungen an die Produktsicherheit digitaler Komponenten. Ein tieferer Austausch zu diesen Themen wird unter anderem auf der ISACA Europe Conference erwartet, die vom 7. bis 9. Oktober 2026 in München stattfindet.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wirtschaft | 69775828 |