NIS2-Richtlinie: 29.500 deutsche Firmen müssen Compliance-Anforderungen erfüllen

IT-Abteilungen verbringen mittlerweile fast zwei Fünftel ihrer Arbeitszeit mit der Einhaltung von Vorschriften – und die meisten Fachleute zweifeln, ob sie alle Anforderungen überhaupt stemmen können.

Eine aktuelle Studie des Sicherheitsunternehmens Sophos zeigt das Ausmaß der Belastung. Befragt wurden 5.000 IT-Manager aus 17 Ländern. Das Ergebnis: Im Schnitt müssen Unternehmen fünf verschiedene Standards parallel erfüllen – darunter die EU-Datenschutzgrundverordnung (DSGVO), die NIS2-Richtlinie und die ISO-27001-Norm.

Angesichts der steigenden regulatorischen Anforderungen ist eine lückenlose Dokumentation für Unternehmen überlebenswichtig geworden. Mit dieser kostenlosen Excel-Vorlage und der passenden Anleitung erstellen Sie Ihr rechtssicheres Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und beugen Bußgeldern effektiv vor. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Große Verunsicherung in der Branche

Die Zahlen sind alarmierend: 82 Prozent der IT-Experten sind unsicher, ob sie alle regulatorischen Anforderungen überhaupt erfüllen können. 79 Prozent geben an, dass das Tempo der Gesetzesänderungen eine konsistente Umsetzung nahezu unmöglich mache. Besonders betroffen sind kleine und mittlere Unternehmen, denen oft die spezialisierten Fachkräfte fehlen.

In Deutschland steht vor allem die Umsetzung der NIS2-Richtlinie im Fokus. Zwar gelten die Pflichten bereits seit Dezember 2025, doch die Meldefrist für betroffene Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) lief erst am 6. März 2026 ab. Rund 29.500 deutsche Firmen sind betroffen – aus 18 Sektoren wie Energie, Verkehr, Gesundheit und Finanzen.

Die finanziellen Risiken bei Verstößen sind enorm:

• Wesentliche Einrichtungen: Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes
• Wichtige Einrichtungen: Strafen bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes

Hinzu kommen die persönliche Haftung der Geschäftsführung und eine 24-Stunden-Meldepflicht bei schwerwiegenden Sicherheitsvorfällen.

Neuer Standard „Grundschutz++" kommt 2027

Die deutsche Regulierungslandschaft steht vor einem Wandel. Das BSI kündigte an, dass die Zertifizierung nach dem aktualisierten Standard „Grundschutz++" – basierend auf ISO 27001 – ab dem 1. Januar 2027 möglich sein wird. Spezialschulungen für Berater starten bereits am 1. November 2026.

Allerdings räumte das BSI im Frühjahr 2026 ein, dass in den Leitlinien noch methodische Lücken klaffen. Die bestehenden Checklisten für Basisschutzmaßnahmen bleiben aber gültig. Für Finanzinstitute endete die Übergangsfrist für den Digital Operational Resilience Act (DORA) bereits am 17. Januar 2025 – der Fokus liegt nun auf ganzheitlicher digitaler Stabilität und strengem Risikomanagement bei Drittanbietern.

Neben IT-Infrastruktur und klassischen Richtlinien rücken auch neue Technologien wie Künstliche Intelligenz in den Fokus der Compliance-Abteilungen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act bietet Ihnen den notwendigen Überblick über Risikoklassen und Fristen, um Ihr Unternehmen rechtssicher aufzustellen. EU AI Act in 5 Schritten verstehen: Kostenlosen Report jetzt sichern

Hilfe für Unternehmen: Tools und Zertifikate

Um den Unternehmen die Orientierung zu erleichtern, haben verschiedene Dienstleister neue Werkzeuge entwickelt. AirITSystems bietet ein kostenloses Selbstbewertungstool für die NIS2-Lückenanalyse an, das an ISO 27001 angelehnt ist. TÜV Süd veröffentlichte am 21. Mai 2026 ein Whitepaper, das die Schnittstellen zwischen NIS2, ISO 27001 und technischen Regelwerken wie TRBS 1115-1 beleuchtet. Darin wird auf Bitkom-Schätzungen verwiesen, wonach der jährliche Schaden durch Cyberangriffe in Deutschland bei rund 200 Milliarden Euro liegt.

Unternehmen setzen weiterhin auf formale Zertifikate. Die Janz Tec AG aus Paderborn bestand am 7. Mai 2026 ein Kombi-Audit für ISO 27001, ISO 9001 und ISO 14001. Im Bereich technischer Infrastruktur gaben Schwarz Digits und Siemens auf der Hannover Messe 2026 eine Partnerschaft bekannt: Private 5G-Campuslösungen sollen in die STACKIT-Cloud integriert werden – mit Fokus auf hardwarebasierte Zugangskontrolle für Betreiber kritischer Infrastrukturen und Behörden.

Jobboom für Sicherheitsexperten

Der Regulierungsdruck treibt die Nachfrage nach Fachkräften. Ende Mai 2026 schrieben mehrere große Organisationen Stellen für Compliance- und Identitätsmanagement aus. Die Berliner Senatskanzlei sucht einen Berater für landesweites Informationssicherheitsmanagement – Bewerbungsschluss ist der 19. Juni 2026.

Auch die Chemieindustrie (Currenta) und der Luftfahrtkonzern Airbus haben Stellen für Sicherheitsanalysten und Spezialisten für Identity and Access Management (IAM) ausgeschrieben. Die Anforderungen zeigen: Der Umgang mit dem komplexen KRITIS-Regelwerk und die Sicherstellung digitaler Betriebsstabilität sind längst Daueraufgaben geworden – und keine vorübergehende Modeerscheinung.

de | wirtschaft | 69436209 |