NIS2-Umsetzung: Nur 34% der Unternehmen erfüllen Anforderungen
Veröffentlicht: 12.07.2026 um 03:23 Uhr, Redaktion boerse-global.de
Die Frist läuft – und die Haftung verschärft sich.
Seit Dezember 2025 ist das NIS2-Umsetzungsgesetz in Kraft. Doch die Realität sieht anders aus: Gerade einmal 34 Prozent der betroffenen Firmen haben die Sicherheitsanforderungen vollständig umgesetzt. Das zeigt eine aktuelle Erhebung.
Registrierungslücke bei betroffenen Unternehmen
Rund 29.500 Unternehmen in Deutschland fallen unter die neuen Regeln. Betroffen sind Betriebe mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro in kritischen Sektoren. Bis zum 9. Juli hatten sich jedoch erst 11.500 Firmen – etwa 39 Prozent – beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert.
Die wirtschaftlichen Risiken sind enorm. Die einmaligen Umstellungskosten für die deutsche Wirtschaft liegen bei geschätzt 2,2 Milliarden Euro, die jährlichen Folgekosten bei rund 2,3 Milliarden Euro. Zum Vergleich: Der Schaden durch Cyberkriminalität beträgt laut Branchenverbänden fast 290 Milliarden Euro pro Jahr. 87 Prozent der Unternehmen wurden bereits Ziel von Angriffen.
Persönliche Haftung für die Geschäftsführung
Ein zentraler Punkt der NIS2-Regulierung: die persönliche Haftung der Geschäftsführung. Paragraph 38 des neuen BSIG macht Leitungsorgane für Versäumnisse bei Risikomanagement-Maßnahmen persönlich verantwortlich. Die Bußgelder können bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen.
Angesichts drakonischer Bußgelder und der neuen persönlichen Haftung für Geschäftsführer ist ein lückenloses Risikomanagement heute Pflicht. Dieser kostenlose Umsetzungsleitfaden hilft Ihnen, die komplexen Anforderungen des EU AI Acts und weiterer Sicherheitsvorgaben rechtssicher zu erfüllen. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt
Was operativ gefordert wird, ist umfangreich. Paragraph 30 des BSIG-neu listet zehn Mindestbereiche auf:
- Dokumentierte Zugriffsrichtlinien und Multi-Faktor-Authentifizierung
- Verschlüsselung nach AES-256-Standard
- Konzepte für Business Continuity und Incident Response
- Sicherheit in der Lieferkette
Gerade die Lieferkettensicherheit zieht kleinere IT-Dienstleister mit in die Pflicht. Ihre Auftraggeber müssen die Einhaltung der Standards vertraglich einfordern. Bei Sicherheitsvorfällen gilt eine strikte Meldepflicht: erste Warnung binnen 24 Stunden, detaillierte Meldung nach 72 Stunden, Abschlussbericht nach einem Monat.
KI als Waffe und Schutzschild
Am 7. Juli legte die EU-Kommission einen neuen Aktionsplan vor. Ziel: die europäische Resilienz durch Künstliche Intelligenz stärken. Bis Ende 2026 will die ENISA sichere Testumgebungen aufbauen – speziell für Energie, Gesundheit und öffentliche Verwaltung.
KI ist dabei ein zweischneidiges Schwert. Angreifer nutzen sie für automatisiertes Phishing und Deepfakes. Verteidiger setzen auf schnellere Anomalieerkennung in Netzwerken.
Die fortschreitende Professionalisierung von Cyberangriffen erfordert von Unternehmen eine proaktive Absicherung ihrer gesamten digitalen Infrastruktur. Erfahren Sie in diesem kostenlosen Experten-Report, wie Sie aktuelle Sicherheitslücken schließen und gesetzliche Anforderungen ohne hohe Zusatzinvestitionen umsetzen. IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen
In der Praxis setzen Unternehmen vermehrt auf spezialisierte Tools wie „Credential Vaults“. Sie automatisieren Zugriffslogs und senken Helpdesk-Tickets für Passwort-Resets um bis zu 50 Prozent. Einsparungen im mittleren fünfstelligen Bereich sind möglich.
Bedrohungslage spitzt sich zu
Die Dringlichkeit wird durch aktuelle Schwachstellen unterstrichen. Kritische Lücken in Roundcube-Mailservern (CVE-2024-42009 mit CVSS 9,3, CVE-2025-49113 mit 9,9) und eine ungepatchte Backdoor in Tenda-Routern (CVE-2026-11405) zeigen die Verwundbarkeit. Seit 2022 hat sich die Zahl der Angriffe auf industrielle Produktionsanlagen verdoppelt.
Weitere Fristen stehen an. In Österreich tritt das nationale Gesetz (NISG 2026) am 1. Oktober in Kraft. Auf EU-Ebene folgt am 11. September die Meldepflicht im Cyber Resilience Act (CRA). Hersteller reagieren bereits: Erste Industriesteuerungen sind explizit auf CRA-Anforderungen ausgelegt.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
