NIS2 und DORA ab Februar: Persönliche Haftung für Vorstände

Mehr als 230.000 Computer in 150 Ländern waren binnen Tagen infiziert. Was damals als lokaler Ausbruch begann, entwickelte sich zur globalen Krise. Und die Folgen? Sie sind heute spürbarer denn je.

Laut einer aktuellen Studie vom März 2026 belaufen sich die langfristigen wirtschaftlichen Schäden inzwischen auf umgerechnet rund 7,4 Milliarden Euro – fast doppelt so viel wie ursprünglich geschätzt. Der Grund: kumulierte Produktivitätsverluste und milliardenschwere Investitionen in die Infrastruktur.

Angesichts der rasanten Entwicklung neuer Bedrohungen und gesetzlicher Anforderungen wie NIS2 ist ein proaktiver Schutz für Unternehmen heute unerlässlich. Dieser kostenlose Report zeigt, wie Sie Sicherheitslücken effektiv schließen und neue gesetzliche Pflichten ohne riesiges Budget erfüllen. Cyber Security E-Book jetzt gratis herunterladen

Persönliche Haftung für Vorstände – der „WannaCry-Effekt"

Der wohl tiefgreifendste Wandel betrifft die Verantwortlichkeit. Seit Februar 2026 gelten die EU-Verordnungen NIS2 und DORA in voller Schärfe. Die Zeiten der „Bemühen-wir-uns"-Mentalität sind endgültig vorbei.

Vorstände und Geschäftsführer haften heute persönlich für Sicherheitslücken. Fahrlässigkeit führt nicht mehr nur zu Unternehmensstrafen, sondern zu persönlicher Haftung und temporären Management-Verboten. Ein radikaler Bruch mit 2017, als ein solcher Vorfall noch als technisches Versagen abgetan wurde.

Die Meldefristen sind ebenfalls drastisch verschärft: Erste Warnungen müssen innerhalb von 24 Stunden erfolgen, vollständige Meldungen nach 72 Stunden. Ohne automatisierte Erkennungs- und Meldesysteme ist das schlicht nicht zu schaffen.

Der Versicherungsmarkt als heimlicher Regulierer

Der finanzielle Druck wächst rasant. Für 2026 schätzen Experten den globalen Schaden durch Ransomware auf umgerechnet 53 Milliarden Euro – mit steigender Tendenz auf über 255 Milliarden Euro bis 2031. Der Cyberversicherungsmarkt reagiert: Er soll bis Jahresende auf rund 21 Milliarden Euro anwachsen.

Doch Versicherer verlangen heute konkrete Sicherheitsmaßnahmen als Mindeststandard:
- Phishing-resistente Mehrfaktor-Authentifizierung
- Unveränderliche Backups
- Kontinuierliches Monitoring von Drittanbietern

Besonders brisant: die sogenannte „Unpatched-Vulnerability"-Klausel. Wer einen bekannten Sicherheitspatch länger als 30 bis 60 Tage nicht einspielt, riskiert den Versicherungsschutz. Eine direkte Lehre aus WannaCry – der Angriff nutzte eine Schwachstelle (CVE-2017-0144), für die Monate zuvor ein Patch verfügbar war.

Krankenhäuser, Fabriken, Schulen – die alten Ziele bleiben

Die Opfer von 2017 sind auch 2026 die Hauptbetroffenen. Das verarbeitende Gewerbe, das Gesundheitswesen und Bildungseinrichtungen stehen ganz oben auf der Liste. Ihr Problem: geringe Toleranz für Ausfälle und hohe Abhängigkeit von sensiblen Daten.

Die durchschnittlichen Kosten eines Angriffs im Gesundheitssektor liegen bei 10,4 Millionen Euro. Trotz gestiegener Investitionen berichten 67 Prozent der Kliniken von Ransomware-Angriffen im vergangenen Jahr.

Die Methoden haben sich weiterentwickelt: Statt einfacher Verschlüsselung setzen Angreifer heute auf „Double Extortion" – Daten werden gestohlen und erst dann verschlüsselt. Selbst wer Backups hat, muss mit der Veröffentlichung sensibler Informationen rechnen. Künstliche Intelligenz ermöglicht zudem automatisierte Phishing-Kampagnen, die die Zeit zwischen Erstzugriff und Schadensausbreitung drastisch verkürzen.

Phishing-Angriffe werden durch den Einsatz von KI immer raffinierter und stellen für die moderne IT-Infrastruktur ein extremes Risiko dar. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie manipulative Taktiken entlarven und Angreifer in nur vier Schritten erfolgreich abwehren. Kostenloses Anti-Phishing-Paket sichern

Die ungeliebte Altlast: Legacy-Systeme

Das größte Problem bleibt die technische Verschuldung. Ein erheblicher Teil industrieller und medizinischer Hardware läuft noch immer auf veralteten Betriebssystemen, die sich kaum patchen lassen. Rund 70 Prozent aller Sicherheitslücken bleiben 30 Tage nach Verfügbarkeit eines Patches ungeschlossen.

Die Angriffsvektoren haben sich kaum verändert: Ausgenutzte Schwachstellen machen 42 Prozent der Vorfälle aus, gefolgt von kompromittierten Zugangsdaten und bösartigen E-Mails. Die Werkzeuge werden raffinierter – die strukturellen Schwächen der Unternehmens-IT bleiben bestehen.

Zwei Klassen von Unternehmen

Ein klarer Trend zeichnet sich ab: Während die Angriffszahlen insgesamt steigen, sinken die Schadenskosten für Unternehmen mit hohem Sicherheitsniveau. Eine Studie vom Januar 2026 zeigt einen Rückgang um neun Prozent bei gut geschützten Firmen. Der Abstand zu Nachzüglern wächst – Cybersicherheit wird zum entscheidenden Wettbewerbsfaktor in globalen Lieferketten.

Ausblick: Dauerhafte Prüfbereitschaft

Zum zehnten Jahrestag von WannaCry im kommenden Jahr zeichnet sich ein weiterer Meilenstein ab: das Ende der jährlichen Compliance-Prüfungen. Regulierer fordern zunehmend einen Zustand permanenter Überwachbarkeit.

Ab September 2026 tritt der Cyber Resilience Act (CRA) in Kraft. Er verpflichtet Hersteller digitaler Produkte zur Sicherheit ab dem ersten Verkaufstag – der endgültige Abschied von der „Patch-wenn-du-kannst"-Mentalität. Die Lehre des vergangenen Jahrzehnts: Proaktive Compliance kostet weniger als die systemische Sanierung nach einem Angriff.

de | wirtschaft | 69416685 |