NIS2-Umsetzung, BSI

NIS2-Umsetzung: BSI setzt Frist bis 31. Juli für 29.500 Unternehmen

Veröffentlicht: 08.07.2026 um 19:46 Uhr, Redaktion boerse-global.de

Viele deutsche Firmen verpassen NIS2-Fristen. Das BSI gewährt Aufschub bis Juli 2026, sonst drohen hohe Bußgelder.

NIS2-Umsetzung stockt: BSI setzt Nachfrist bis Juli 2026
NIS2-Umsetzung - Nahaufnahme eines Vertragsdokuments, das teilweise von einer digitalen Benutzeroberfläche mit Cybersicherheitsdaten und Netzwerkverbindungen verdeckt wird. 08.07.2026 - Bild: über boerse-global.de

Trotz gesetzlicher Vorgaben seit Ende 2025 bleibt die Umsetzung der NIS2-Richtlinie in der deutschen Wirtschaft schleppend. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun eine Nachfrist bis zum 31. Juli 2026 gesetzt. Unternehmen, die diese Frist versäumen, drohen Bußgelder von bis zu 500.000 Euro.

Von den rund 29.500 betroffenen Organisationen hatten sich bis Ende Mai 2026 lediglich etwa 18.500 registriert. Eine magere Quote, die das BSI zum Handeln zwang.

Vertragliche Lücken als blinde Flecken

Die größten Gefahren für die Cybersicherheit liegen oft nicht in der IT-Infrastruktur selbst. Aktuelle Marktanalysen zeigen: Viele Unternehmen übersehen die rechtliche Ausgestaltung ihrer Zulieferverhältnisse. Die LEGANTA NIS2 Intelligence Platform identifizierte automatisierte Vertragslücken als kritischen Risikofaktor.

„Cyber-Risiken entstehen häufig bereits in Verträgen, in denen entscheidende Klauseln fehlen", warnt Hugo Christian Riess, Gründer der Plattform. Wer die vertraglichen Verpflichtungen seiner Lieferanten nicht im Detail kenne, könne die daraus resultierenden Risiken nicht steuern.

Viele Kontrakte aus früheren Jahren enthalten keine ausreichenden Regelungen zu Auditrechten, Meldepflichten oder spezifischen Sicherheitsanforderungen. Die automatisierte Analyse auf NIS2-relevante Klauseln gewinnt daher massiv an Bedeutung.

Anzeige

Die zunehmende Vernetzung mit Dienstleistern erfordert nicht nur technische, sondern auch rechtlich wasserdichte Absicherungen Ihrer Betriebsgeheimnisse. Erfahren Sie in diesem kostenlosen Ratgeber, wie Sie rechtssichere Musterformulierungen für gerichtsfeste Geheimhaltungsvereinbarungen einsetzen. So sichern kluge Unternehmer ihre Betriebsgeheimnisse rechtswirksam ab

Legacy-Systeme bremsen den Fortschritt

Neben vertraglichen Defiziten bereiten veraltete Betriebstechnologien (OT) Kopfzerbrechen. Eine Studie von Plusserver zeigt: Nur 34 Prozent der befragten Unternehmen haben die NIS2-Vorgaben vollständig umgesetzt. 47 Prozent bewerten den Prozess als schwierig.

Die Haupt-Hürde: Legacy-OT-Systeme. 48 Prozent der Befragten nennen sie als zentrales Problem. Diese alten Systeme lassen sich kaum in moderne Sicherheitskonzepte integrieren.

Die Folgen sind bereits spürbar: 51 Prozent der Unternehmen stellen Veränderungen im Geschäftsverkehr mit ihren Partnern fest. Branchenexperten empfehlen ein schrittweises Vorgehen – beginnend mit einer Bestandsaufnahme und klaren Verantwortlichkeiten. Technisch helfen Netzwerksegmentierung, Zero-Trust-Architekturen und Deep Packet Inspection in OT-Netzen.

CRA und AI Act erhöhen den Druck

Der regulatorische Druck wächst weiter. Der Cyber Resilience Act (CRA) sieht bereits ab September 2026 erste Meldepflichten für Schwachstellen vor. Bis Ende 2027 soll das Gesetz vollständig wirksam werden und eine CE-Kennzeichnung für Produkte mit digitalen Elementen vorschreiben.

Am 2. August 2026 tritt zudem die nächste Anwendungsstufe des AI Act in Kraft. Betreiber von Hochrisiko-KI-Systemen müssen dann besondere Robustheit und Cybersicherheit über den gesamten Lebenszyklus nachweisen. Da KI-Anwendungen oft unter alle drei Regelwerke – NIS2, CRA und AI Act – fallen können, steigt die Komplexität für das Risikomanagement enorm.

Anzeige

Angesichts der neuen regulatorischen Anforderungen durch den EU AI Act müssen Unternehmen jetzt schnell ihre Risikoklassen und Dokumentationspflichten identifizieren. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen den notwendigen Überblick über alle relevanten Fristen und Pflichten. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt

Klare Rollenverteilung im Maschinenbau

Das NIS2-Umsetzungsgesetz schärft die Verantwortlichkeiten zwischen Maschinenbauern und Betreibern. Hersteller sind für die Sicherheit des Produktdesigns gemäß IEC 62443 verantwortlich. Die Datensicherung im laufenden Betrieb liegt dagegen beim Betreiber.

Experten raten: Den initialen Programmstand und die Sicherungsprozesse bereits bei der Übergabe schriftlich in Protokollen festhalten. Nur so lassen sich Haftungsrisiken minimieren.

Für Einrichtungen der Gesundheitswirtschaft und andere KRITIS-Sektoren erhöht sich der Handlungsdruck durch verschärfte Nachweis- und Meldepflichten. Auch potenzielle Haftungsrisiken für die Geschäftsleitung werden zunehmend thematisiert – in Fachseminaren und Beratungen gleichermaßen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wirtschaft | 69725798 |