NIS-2-Registrierung: Jeder dritte Betrieb hinkt hinterher

Bayern Innovativ veröffentlichte heute einen strategischen Leitfaden zur Umsetzung der NIS-2-Anforderungen.

Das NIS-2-Umsetzungsgesetz trat am 6. Dezember 2025 ohne Übergangsfrist in Kraft. Der Kreis der regulierten Unternehmen explodierte von 4.500 auf rund 29.500 Betriebe. Betroffen sind Firmen in 18 Sektoren ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz.

Während NIS-2 die IT-Infrastruktur reguliert, bleiben die klassischen Dokumentationspflichten der DSGVO eine häufige Fehlerquelle für Bußgelder. Mit einer professionellen Excel-Vorlage erstellen Sie Ihr notwendiges Verarbeitungsverzeichnis rechtssicher und zeitsparend. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Die Einteilung unterscheidet zwischen „besonders wichtigen Einrichtungen“ (Energie, Gesundheit, Banken) und „wichtigen Einrichtungen“ (Lebensmittel, Chemie, Forschung). Besonders wichtige Einrichtungen mussten sich binnen drei Monaten beim BSI registrieren, wichtige Einrichtungen unverzüglich. Für KMU endete die Frist bereits am 6. März 2026.

Management haftet persönlich

Die Bußgelder sind happig: Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes drohen besonders wichtigen Einrichtungen. Für wichtige Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes.

Doch Geld allein ist nicht die größte Sorge. Auf der Sicherheitskonferenz „State of Security“ am 3. Juni in Berlin betonten Experten: Cybersicherheit ist durch NIS-2 zur Chefsache geworden. Die Geschäftsleitung haftet persönlich für Risiko- und Sicherheitsmanagement.

KI verschärft die Bedrohungslage zusätzlich. Sie wirkt als Katalysator für Cyberkriminalität – etwa bei Phishing-Kampagnen oder Ransomware. Gleichzeitig schaffen übereilte KI-Einführungen neue Angriffsflächen. Der EU AI Act ergänzt hier die NIS-2-Anforderungen, besonders bei nicht autorisierten KI-Tools am Arbeitsplatz.

Die neue EU-KI-Verordnung stellt Unternehmen neben NIS-2 vor weitere dringende Compliance-Aufgaben. Dieser kostenlose Umsetzungsleitfaden hilft Ihrer IT- und Rechtsabteilung, Risikoklassen und Fristen des AI Acts sofort richtig einzuordnen. EU AI Act in 5 Schritten verstehen: Jetzt kostenlosen Report sichern

Meldepflichten als logistische Hürde

Ein kritischer Punkt: die strengen Meldepflichten bei Sicherheitsvorfällen. Unternehmen müssen erhebliche Störungen binnen kurzer Fristen melden. Besonders die 24-Stunden-Frist für eine erste Meldung stellt viele Mittelständler vor Probleme.

Die DIHK und die G DATA CyberDefense AG bieten daher am 10. Juni Webinare zum korrekten Vorgehen bei Vorfallmeldungen an.

Die Relevanz dieser Maßnahmen zeigt ein Vorfall im April 2026: Ein Cyberangriff auf den Abrechnungsdienstleister Unimed führte zum Abfluss sensibler Patientendaten mehrerer Universitätskliniken. Unter NIS-2 sind betroffene Einrichtungen nun verpflichtet, Zulieferer und Dienstleister regelmäßig zu auditieren.

Trend zur digitalen Souveränität

Der Freistaat Bayern zog Konsequenzen: Am 4. Juni gab er bekannt, die Verhandlungen über einen großvolumigen Microsoft-Lizenzvertrag eingestellt zu haben. Stattdessen setzt man auf europäische Alternativen und souveräne Arbeitsplatzlösungen.

Die Privatwirtschaft investiert parallel in die Infrastruktur. Ein Konsortium aus SAP, Deutscher Telekom und Schwarz-Gruppe kündigte den Bau europäischer KI-Gigafactories an mehreren deutschen Standorten an. Ziel: weniger Abhängigkeit von außereuropäischen Cloud-Anbietern.

Eine aktuelle Umfrage unter DACH-Großunternehmen zeigt, wie dringend der Handlungsbedarf ist: 97 Prozent der befragten Firmen verzeichneten im vergangenen Jahr Cybervorfälle. Die Folgen reichen von Reputationsverlusten über Umsatzeinbußen bis zu Bußgeldern. Zwei Drittel der Unternehmen wollen ihre Ausgaben für Cybersicherheit daher deutlich erhöhen.

de | wirtschaft | 69486923 |