NIS-2-Gesetz: Neue Regeln für 29.500 Unternehmen ab Dezember
15.06.2026 - 18:36:56 | boerse-global.de
Der Kreis der betroffenen Firmen hat sich von 2.000 auf 29.500 Unternehmen ausgeweitet. Der Mittelstand steht unter Druck.
IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Dieser Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheits-Leitfaden jetzt kostenlos herunterladen
Umfangreiche Pflichten für den Mittelstand
Betroffen sind Unternehmen ab 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz – sofern sie in einem von 18 definierten Sektoren tätig sind. Die Richtlinie unterscheidet zwischen besonders wichtigen Sektoren wie Energie und Gesundheit und wichtigen Sektoren wie Chemie oder Lebensmittelerzeugung.
Auch kleinere Betriebe können indirekt betroffen sein. Die NIS-2-Vorgaben adressieren explizit die Sicherheit der Lieferkette.
Das Herzstück der Neuregelung: ein IT-Sicherheitskonzept mit zehn Pflichtbereichen nach BSI-Standard. Dazu gehören Risikomanagement, Vorfallsbewältigung, Datensicherung und Verschlüsselung. Die Registrierungsfrist beim BSI endete bereits im Frühjahr 2026.
Haftungsrisiken und hohe Bußgelder
Für die Geschäftsleitung wird es persönlich gefährlich. Sie haftet für die Einhaltung der Cybersicherheitsmaßnahmen und kann bei Verstößen persönlich in Regress genommen werden.
Die Bußgelder erinnern an die DSGVO: Bei besonders wichtigen Einrichtungen drohen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen sind es 7 Millionen Euro oder 1,4 Prozent des globalen Umsatzes.
Hinzu kommen strikte Meldepflichten. Unternehmen müssen innerhalb von 24 Stunden eine Frühwarnung abgeben. Nach 72 Stunden folgt ein detaillierter Bericht an die Behörden.
Defizite bei der praktischen Umsetzung
Die Rechtslage gilt seit Monaten – doch die Vorbereitung hinkt hinterher. Eine aktuelle Branchenstudie zur Cybersicherheit 2026 zeigt: Drei Viertel der befragten Firmen waren bereits von Malware betroffen. Fast 70 Prozent erlebten gezielte Phishing-Angriffe. Neue Herausforderungen kommen durch KI-gestützte Attacken, die jedes zweite Unternehmen beschäftigen.
Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf. Kostenlosen Umsetzungsleitfaden zum EU AI Act sichern
Trotzdem hat weniger als ein Drittel der betroffenen Organisationen die NIS-2-Umsetzung intensiv vorangetrieben. Experten raten dringend zur Überprüfung der IT-Infrastruktur.
Besonderes Augenmerk liegt auf modernen Backup-Strategien. Ein Großteil der angegriffenen Organisationen verzeichnete auch Attacken auf ihre Datensicherungen. Fachleute empfehlen Konzepte mit mehreren Kopien auf unterschiedlichen Medien – mindestens ein Speicherort sollte unveränderlich sein.
Hilfe in Sicht
Die Deutsche Energie-Agentur (dena) veranstaltet am 18. Juni 2026 ein Webinar zu Cybersicherheits-Strategien für die Industrie. Parallel gibt es regionale Informationsveranstaltungen, etwa in Nordrhein-Westfalen, die das Spannungsfeld zwischen NIS-2 und der europäischen KI-Verordnung thematisieren.
