NIS2-Compliance: 25.000 bis 40.000 Unternehmen müssen handeln
24.06.2026 - 18:16:49 | boerse-global.de
Der Druck auf Unternehmen wächst: Strengere EU-Vorgaben wie NIS2 und der Cyber Resilience Act (CRA) zwingen deutsche Firmen zum Handeln. Immer mehr setzen dabei auf externe Dienstleister und spezialisierte Software für den Aufbau von Informationssicherheits-Managementsystemen (ISMS) nach ISO 27001. Ziel ist nicht nur die formale Compliance, sondern eine messbar höhere Widerstandsfähigkeit.
NIS2 und CRA treiben die Nachfrage
Der wichtigste Treiber ist die europäische Gesetzgebung. Die NIS2-Richtlinie trat bereits im Dezember 2025 in Kraft. Seit dem 6. März 2026 ist die Registrierungsfrist für betroffene Unternehmen abgelaufen. Schätzungen von TÜV Nord zufolge sind in Deutschland zwischen 25.000 und 40.000 Einrichtungen betroffen. Parallel dazu wirkt der Cyber Resilience Act, der seit Dezember 2024 Hersteller vernetzter Produkte in die Pflicht nimmt.
Auf der Fachkonferenz CGC Strategies in Berlin (22. und 23. Juni) warnten Experten: Bei Verstößen gegen die Sorgfaltspflichten kann die Geschäftsführung persönlich haftbar gemacht werden. Die Folge: Unternehmen suchen verstärkt nach ganzheitlichen Lösungen, um Risiken zentral zu steuern und Maßnahmen lückenlos nachzuweisen.
Externe Partner sind längst Standard
Die Studie „Cybersicherheit in Zahlen“ von G DATA, Statista und brand eins zeigt den Trend deutlich. Über 5.000 Befragte gaben Auskunft: 63 Prozent der Unternehmen nutzen IT-Sicherheitsanbieter, 32 Prozent setzen auf Managed Security Service Provider (MSSP). Nur sechs Prozent arbeiten im Bereich Cybersicherheit vollständig eigenständig.
Ein Beispiel für den Nutzen dieser Strategie: Das Hofheimer Unternehmen enclaive gab am 23. Juni den erfolgreichen Abschluss seiner ISO 27001-Zertifizierung bekannt. Ziel sei es, durch den international anerkannten Standard die Beschaffungsprozesse in stark regulierten Branchen zu beschleunigen. Dienstleister wie die usd AG oder Nextwork unterstützen Betriebe mit Gap-Analysen, der Definition von ISMS-Prozessen oder der Gestellung eines virtuellen Informationssicherheitsbeauftragten (vISO).
Angesichts der neuen EU-Vorgaben müssen Unternehmen ihre IT-Sicherheit stärken, ohne zwingend das Budget zu sprengen. Dieser kostenlose Report klärt auf, wie Sie Sicherheitslücken schließen und gleichzeitig alle neuen gesetzlichen Anforderungen rechtssicher erfüllen. Gratis-E-Book: IT-Sicherheit proaktiv stärken
Automatisierung macht den Unterschied
Viele Organisationen scheitern an isolierten Risikobetrachtungen und mangelnder Transparenz. In einem Fachinterview am 23. Juni wurde betont: Herkömmliche Werkzeuge wie Excel-Tabellen oder Word-Dokumente reichen für die komplexen Anforderungen moderner Compliance-Vorgaben oft nicht mehr aus.
Hier kommen Governance-Risk-Compliance-Plattformen (GRC) ins Spiel. Anbieter wie Kertos versprechen durch Automatisierung eine Reduzierung des manuellen Aufwands um bis zu 80 Prozent. Eine Zertifizierungsreife soll innerhalb von acht bis zehn Wochen erreichbar sein. Auch in der Produktentwicklung setzt man auf Automatisierung. Das Unternehmen ONEKEY berichtete am 23. Juni, dass KI-gestützte Plattformen zur Analyse von Sicherheitslücken und zur Erstellung von Software-Stücklisten (SBOM) den Aufwand für Hersteller um mehr als 60 Prozent senken.
Wer KI-gestützte Plattformen einsetzt, muss auch die neuen regulatorischen Rahmenbedingungen des EU AI Acts beachten. Dieser kompakte Umsetzungsleitfaden bietet Ihrer IT- und Rechtsabteilung den nötigen Überblick über alle Fristen, Pflichten und Risikoklassen. Kostenloses E-Book zur EU-KI-Verordnung herunterladen
Beratung und Auditierung bleiben getrennt
Ein formaler Grundsatz bleibt bei der ISO 27001-Zertifizierung unangetastet: die Unabhängigkeit der Prüfinstanzen. Externe Berater und Softwarelösungen können bei der Vorbereitung und dem Aufbau des ISMS helfen. Das abschließende Zertifizierungsaudit muss jedoch von einer unabhängigen und akkreditierten Stelle durchgeführt werden.
Ergänzend zur ISO 27001, die den Fokus auf Informationssicherheit legt, rücken spezifische Erweiterungen in den Blick. Die ISO 27701 bietet eine Ergänzung für den Datenschutz. Zertifizierungen nach Artikel 42 der DSGVO sind weiterhin freiwillig und maximal drei Jahre gültig. Für Behörden und die öffentliche Verwaltung in Baden-Württemberg stellte die Cybersicherheitsagentur (CSBW) zudem ein neues Notfallhandbuch auf Basis des BSI IT-Grundschutzes vor – zur besseren Prävention und für den Notbetrieb bei Cyberangriffen.
