NIS2-Frist abgelaufen: 40.000 Unternehmen riskieren Millionen-Bußgelder

Eine aktuelle Studie zeigt: 77 Prozent der Geschäftsführer fühlen sich persönlich für die Cybersicherheit ihres Unternehmens verantwortlich. Doch während die Botschaft oben angekommen ist, klafft in den mittleren Führungsebenen eine gefährliche Lücke.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Ratgeber jetzt kostenlos herunterladen

NIS2 und Co.: Warum die Zeit drängt

Der Druck kommt von allen Seiten. Die Registrierungsfrist für die NIS2-Richtlinie beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ist abgelaufen – und tausende deutsche Unternehmen sollen noch nicht registriert sein. Die Folge: massive Haftungsrisiken für die Geschäftsführung.

Die Studie „Cybersicherheit in Zahlen" des Bochumer Sicherheitsunternehmens G Data vom 26. Mai 2026 zeichnet ein klares Bild. Während 77 Prozent der Geschäftsführer die Verantwortung für IT-Sicherheit übernehmen, sehen sich nur 60 Prozent der Bereichsleiter in der Pflicht. Bei Abteilungsleitern sind es gerade noch 50 Prozent, bei Teamleitern 41 Prozent. Und in der Belegschaft? Nur 34 Prozent der Mitarbeiter fühlen sich stark verantwortlich, jeder Vierte überhaupt nicht.

„Das ist ein gefährliches Gefälle", warnt ein Sprecher von G Data. Denn die neuen Regelwerke – neben NIS2 auch der Cyber Resilience Act (CRA) und der Digital Operational Resilience Act (DORA) – führen die persönliche Haftung für Vorstände ein. Sie müssen Sicherheitsmaßnahmen nicht nur genehmigen, sondern auch deren Umsetzung überwachen. Zudem sind Führungskräfte zu verpflichtenden Schulungen verdonnert – mit Zertifizierungspflicht innerhalb von zwei Jahren.

Lieferketten im Visier: Sicherheit endet nicht am Werkstor

Die Regulierung geht weit über die eigenen vier Wände hinaus. NIS2 und DORA verlangen ein systematisches Risikomanagement für Drittanbieter. Der Grund: Externe Abhängigkeiten sind oft das schwächste Glied in der Sicherheitskette.

Der TÜV SÜD hat am 26. Mai ein Whitepaper veröffentlicht, das einen Fahrplan durch das regulatorische Dickicht zeichnet. Die Empfehlung: ein kontinuierlicher „Plan-Do-Check-Act"-Prozess, der Compliance-Bemühungen bündelt und Kosten senkt. Der Standard ISO 27001 gilt dabei als Königsweg, um die Anforderungen von NIS2 und speziellen technischen Vorschriften zu erfüllen.

Immer mehr Unternehmen werden Opfer von Cyberangriffen, wobei oft Schwachstellen in der Lieferkette oder bei Dienstleistern ausgenutzt werden. Dieser Gratis-Report hilft Ihnen, Sicherheitslücken proaktiv zu schließen und neue gesetzliche Anforderungen kosteneffizient zu erfüllen. Kostenlose Checkliste zur IT-Sicherheit sichern

Betroffen sind rund 40.000 Unternehmen in Deutschland. Die NIS2-Richtlinie erfasst 18 kritische Sektoren – vom Maschinenbau über die IT bis zum verarbeitenden Gewerbe. Sie gilt für mittelständische Firmen ab 50 Mitarbeitern oder einem Jahresumsatz von über zehn Millionen Euro. Die Strafen sind happig: Für „wesentliche" Einrichtungen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes. „Wichtige" Einrichtungen müssen mit bis zu sieben Millionen Euro oder 1,4 Prozent des Umsatzes rechnen.

24 Stunden Meldefrist: Neuer Zeitdruck für Unternehmen

Eine der größten Herausforderungen ist das strikte Meldezeitfenster. Schwere Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden – deutlich schneller als die 72 Stunden, die die DSGVO vorsieht. Dass die Eile berechtigt ist, zeigen die Zahlen: Seit dem Start von DORA im Dezember 2025 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bereits mehr als 600 schwere Vorfälle registriert.

Die Bedrohungslage verschärft sich rasant. Branchenanalysten identifizieren eine neue Generation KI-gesteuerter Angriffswerkzeuge. Modelle wie „Mythos" können eigenständig Sicherheitslücken in Systemen wie OpenBSD aufspüren und zu Angriffsketten verknüpfen. Gleichzeitig basieren 90 Prozent aller Cyberangriffe auf kompromittierten Identitäten.

Die finanziellen Folgen sind bereits heute sichtbar. Seit Einführung der DSGVO haben die Aufsichtsbehörden rund sechs Milliarden Euro an Bußgeldern in knapp 2.900 Fällen verhängt. Und wer erst einmal getroffen wurde, braucht im Schnitt 24 Tage, um den Betrieb wiederherzustellen.

Der Zeitplan: Was jetzt auf Unternehmen zukommt

Die Regulierungswelle rollt in Etappen. Der Cyber Resilience Act (CRA) ist seit Dezember 2024 in Kraft, seine Meldepflichten werden aber erst am 11. September 2026 verbindlich. Die EU hat zwar 16,5 Millionen Euro für das SECURE-Programm zur Unterstützung kleiner und mittlerer Unternehmen bereitgestellt. In Deutschland ist die staatliche Hilfe jedoch bescheiden: Nur 1,28 Millionen Euro pro Jahr stehen für die CRA-Umsetzung zur Verfügung. Die Hauptlast tragen die Unternehmen selbst.

Was passiert, wenn Unternehmen die Anforderungen ignorieren, zeigte sich Anfang April 2026: Ein bestätigter Ransomware-Angriff auf ChipSoft führte zum Diebstahl von Patientendaten und legte 70 Prozent der niederländischen Krankenhäuser lahm. Solche Vorfälle sind genau das, was NIS2 und das KRITIS-Dachgesetz verhindern sollen. Die Gesetze fordern zunehmend redundante, infrastrukturunabhängige Notfallkommunikationssysteme, damit kritische Abläufe selbst bei einem totalen Netzausfall weiterlaufen.

Ausblick: Cybersicherheit als Daueraufgabe im Vorstand

Für die betroffenen Unternehmen heißt es jetzt: die Registrierungslücke beim BSI schließen und eine robuste interne Governance aufbauen. Branchenexperten raten, NIS2 nicht als bürokratische Hürde zu sehen, sondern als strategische Chance, die IT-Infrastruktur zu modernisieren.

Die heise security Tour 2026 bietet dazu praxisnahe Schulungen. Nach dem Auftakt am 20. Mai in Köln folgen Stationen in Hamburg (28. Mai) und Stuttgart (11. Juni), ergänzt durch Online-Sessions bis September. Im Fokus stehen Identitätsmanagement, Zero-Trust-Architekturen und der sichere Einsatz Künstlicher Intelligenz.

Für die Zehntausenden betroffenen Unternehmen bleibt nur ein Weg: die Implementierung eines umfassenden Risikomanagement-Zyklus – von der Klassifizierung der Vermögenswerte über die Risikobewertung bis zur kontinuierlichen Überwachung. Mit der persönlichen Haftung der Geschäftsführung ist Cybersicherheit endgültig zur Chefsache geworden – und wird es bleiben.

de | wirtschaft | 69428733 |