NIS-2-Frist: 30.000 Unternehmen müssen sich bis Juli registrieren
21.06.2026 - 10:32:10 | boerse-global.de
Bis zum 31. Juli 2026 müssen sie sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Aktuelle Marktanalysen zeigen: Viele Firmen haben das Lieferantenrisiko noch nicht im Griff.
Registrierungslücke und Millionenstrafen
Die neuen EU-Vorgaben fordern von Unternehmen nicht nur technische Schutzmaßnahmen, sondern auch eine lückenlose Dokumentation. Wie Sie Ihre IT-Sicherheit ohne hohe Investitionen stärken und gleichzeitig alle neuen gesetzlichen Anforderungen erfüllen, erfahren Sie in diesem kostenlosen E-Book. IT-Sicherheit stärken und gesetzliche Pflichten erfüllen
Rund 30.000 Unternehmen aus 18 Sektoren sind von der Regulierung betroffen. Bis Mai hatten sich jedoch erst etwa 18.500 Organisationen registriert. Die seit Dezember 2025 geltende Richtlinie sieht empfindliche Sanktionen vor:
Für „essentielle Einrichtungen" drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes. Bei „wichtigen Einrichtungen" sind es bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes. Hinzu kommt die persönliche Haftung der Geschäftsführung. Das Management muss Cybersicherheitsmaßnahmen genehmigen und deren Umsetzung überwachen. Ein Versäumnis kann direkt auf die Leitungsebene zurückfallen.
Lieferantenrisiko: Zuständigkeiten oft verstreut
Ein Kernstück der NIS-2-Compliance ist das Third Party Risk Management (TPRM). Ein Report des Sicherheitsdienstleisters BlueVoyant zeigt: Die Verantwortlichkeiten sind in vielen Betrieben heterogen verteilt. Bei 64 Prozent der befragten Unternehmen liegt die TPRM-Zuständigkeit außerhalb der IT – etwa in Recht, Finanzen oder Einkauf. Nur 36 Prozent haben die Aufgabe in der IT-Abteilung verankert.
Trotz der regulatorischen Anforderungen planen 96 Prozent der Unternehmen, ihr Lieferanten-Ökosystem weiter auszubauen. Rund 60 Prozent der Firmen stufen zwischen 30 und 50 Prozent ihrer Zulieferer als kritisch für den Geschäftsbetrieb ein. Bisher nutzt jedoch nur knapp die Hälfte spezialisierte TPRM-Systeme für kontinuierliches Monitoring.
Neue Branchen im Visier
Die Regulierung betrifft nun auch Sektoren, die bisher nicht zum engeren Kreis der kritischen Infrastrukturen (KRITIS) zählten. Dazu gehören Maschinen- und Anlagenbau, Abfallwirtschaft, Lebensmittelketten sowie Post- und Kurierdienste. Grundsätzlich fallen Unternehmen ab 50 Mitarbeitern und einem Jahresumsatz von über 10 Millionen Euro unter die Bestimmungen.
Die technischen Kernanforderungen sind umfangreich:
- Risikomanagement: Multi-Faktor-Authentisierung, Verschlüsselung und Netzsegmentierung
- Incident Management: Dreistufiges Meldeverfahren – Frühwarnung binnen 24 Stunden, Detailmeldung nach 72 Stunden, Abschlussbericht nach einem Monat
- Business Continuity: Pläne für Betriebsaufrechterhaltung und schnelle Wiederherstellung nach Cyberangriffen
Besonders im Maschinenbau gilt die Absicherung der Operational Technology (OT) als Schwachstelle. Die Norm IEC 62443 dient hier häufig als Referenz.
Drei Gesetze, ein Albtraum
Unternehmen müssen NIS-2 im Kontext weiterer EU-Verordnungen betrachten. Der Cyber Resilience Act (CRA) führt ab dem 11. September 2026 eine Meldepflicht für aktiv ausgenutzte Schwachstellen ein. Ab Dezember 2027 gelten alle CRA-Pflichten. Hier drohen Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des Umsatzes.
Neben NIS-2 und dem CRA stellt auch der EU AI Act Unternehmen vor komplexe neue Compliance-Herausforderungen. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle Fristen, Risikoklassen und Dokumentationspflichten der KI-Verordnung. Kostenloses E-Book zum EU AI Act herunterladen
Parallel dazu treten im August 2026 strenge Auflagen für Hochrisiko-KI-Systeme durch den EU AI Act in Kraft. Die Kombination dieser Gesetze erhöht den Dokumentations- und Prüfungsaufwand massiv. Dass Nachholbedarf besteht, zeigt eine Bitkom-Studie vom Juni 2026: Weniger als die Hälfte der Bevölkerung kann grundlegende Begriffe wie Phishing korrekt erklären.
Die Bundesregierung hat unterdessen reagiert. Am 27. Mai beschloss das Kabinett einen Entwurf, der Behörden wie BSI oder BKA unter bestimmten Voraussetzungen „Hackbacks" zur aktiven Gefahrenabwehr erlauben soll. Die erste Lesung im Bundestag ist für den 25. Juni angesetzt.
