NIS2-Richtlinie: 29.500 Unternehmen müssen Security-by-Design erfüllen

Ein Hackerangriff auf einen externen Abrechnungsdienstleister hat die sensiblen Daten von 4100 Patienten offengelegt – darunter 1100 Gesundheitsakten. Der Vorfall am Klinikum Karlsruhe zeigt: Unternehmen müssen von reiner Compliance zu echechtem Krisenmanagement übergehen.

Der aktuelle Vorfall am Klinikum Karlsruhe unterstreicht die massiven Risiken durch externe Dienstleister. Wie Sie Ihre Haftungsrisiken bei der Auftragsdatenverarbeitung minimieren und teure DSGVO-Bußgelder vermeiden, erfahren Sie in diesem kostenlosen Experten-Report. Gratis E-Book mit fertigen Vorlagen und Checklisten zum sofortigen Einsatz

Neue Regeln, härtere Strafen

Seit Dezember 2025 ist die NIS2-Richtlinie in Kraft, die Meldefrist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) lief im März 2026 ab. Rund 29.500 Unternehmen in Deutschland fallen unter die neuen Vorschriften. Sie schreiben „Security-by-Design" als Mindeststandard vor. Wer sich nicht daran hält, riskiert Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Doch die Stimmung in der Wirtschaft ist zwiespältig. Eine Bitkom-Studie von 2025 zeigt: 72 Prozent der Unternehmen halten die aktuellen Datenschutzauflagen für übertrieben – 2020 waren es noch 40 Prozent. Trotz dieser Kritik steigt die Umsetzungsquote der Datenschutz-Grundverordnung (DSGVO) kontinuierlich: von lächerlichen sieben Prozent kurz nach Einführung 2018 auf nun 71 Prozent. Seit Inkrafttreten der DSGVO haben die Behörden rund 2888 Bußgelder in Höhe von insgesamt etwa sechs Milliarden Euro verhängt.

Löschen mit Nachweis: Die neue Pflicht

Ein Kernpunkt moderner Datenschutzpraxis ist die prüfungssichere Datenlöschung. Die Finanzämter werden immer genauer: Ein Urteil des Bundesfinanzhofs von 2025 stellt klar, dass Unternehmen steuerrelevante E-Mails bei Betriebsprüfungen vorlegen müssen. Allerdings dürfen die Finanzbeamten kein allgemeines Journal des gesamten E-Mail-Verkehrs verlangen.

Neben der prüfungssicheren Löschung fordern Behörden bei Prüfungen oft als Erstes ein lückenloses Verzeichnis aller Verarbeitungstätigkeiten. Diese kostenlose Excel-Vorlage hilft Ihnen dabei, Ihre Dokumentationspflicht gemäß Art. 30 DSGVO rechtssicher und zeitsparend zu erfüllen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Auch bei Backups gibt es klare Vorgaben. Nach dem Standard BAIT AT 7.3 gilt eine Datensicherung nur dann als valide, wenn die Wiederherstellung unter realistischen Bedingungen erfolgreich getestet wurde. Unternehmen müssen verbindliche Service-Level-Agreements für Wiederherstellungszeitpunkte (RPO) und Wiederherstellungszeiten (RTO) einhalten. Die Praxis zeigt: Nach einem schweren Cybervorfall brauchen Firmen im Schnitt 24 Tage, um den vollen Betrieb wieder aufzunehmen.

Künstliche Intelligenz beschleunigt Angriffe

Die Bedrohungslage verschärft sich rasant. Am 22. Mai 2026 diskutierte der KI-Entwickler Anthropic über eine mögliche Veröffentlichung seiner Mythos-KI-Modelle. Zwar betonten die Entwickler, dass das Modell weiterhin beschränkt bleibt und kein Veröffentlichungstermin feststeht. Doch frühere Vorschauen zeigten: Die KI kann innerhalb weniger Wochen Tausende kritische Sicherheitslücken identifizieren – darunter jahrealte Schwachstellen in Open-Source-Projekten.

Noch alarmierender: Ein Tool namens „Heretic" kann offenbar die Sicherheitsvorkehrungen etablierter Modelle wie Llama 3.3 in unter zehn Minuten entfernen. Die Phishing-Plattform Kali365, die seit April 2026 aktiv ist, umgeht nachweislich die Mehrfaktor-Authentifizierung. Spezialisierte Gruppen schaffen es, Daten aus Cloud-Speichern in nur vier Minuten zu extrahieren.

Internationale Regulierer ziehen nach

Die Beschleunigung der Angriffe zwingt auch die Aufsichtsbehörden zum Handeln. Während Deutschland bei den Meldefristen von NIS2 (24 Stunden) und DSGVO (72 Stunden) bleibt, gehen andere Länder weiter: Indiens CERT-In hat am 25. Mai 2026 eine 12-Stunden-Frist zur Schließung ausgenutzter Sicherheitslücken eingeführt.

Das BSI reagiert: Ab dem 1. Januar 2027 soll die Zertifizierung für „Grundschutz++" (ISO 27001) verfügbar sein. Die Ausbildung für Berater startet bereits im November 2026. Ein Signal, dass die Behörden die wachsende Kluft zwischen regulatorischen Anforderungen und der realen Bedrohungslage ernst nehmen.

de | wirtschaft | 69432131 |