NIS 2: Zehntausende deutsche Firmen drohen Strafen nach Fristende

Die Umsetzung der EU-Cybersicherheitsrichtlinie NIS 2 stellt den deutschen Mittelstand vor massive Herausforderungen. Nach Ablauf der ersten Anmeldefrist befinden sich schätzungsweise 18.000 Unternehmen in rechtlicher Grauzone – bei drohenden Bußgeldern und persönlicher Haftung für Geschäftsführer.

Seit dem 6. Dezember 2025 ist das nationale Umsetzungsgesetz, das NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), in Kraft. Es erfasst rund 30.000 Unternehmen in 18 kritischen Sektoren. Ein zentraler Meilenstein war die Anmeldefrist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) am 6. März 2026. Diese verstrich jedoch für einen Großteil der Betroffenen folgenlos: Nur etwa 11.500 der schätzungsweise 29.850 verpflichteten Organisationen meldeten sich fristgerecht. Fast zwei Drittel sind damit aktuell nicht konform.

Angesichts der neuen gesetzlichen Anforderungen und drohender Bußgelder müssen Unternehmen ihre IT-Strategie jetzt proaktiv anpassen. Dieser kostenlose Leitfaden zeigt Geschäftsführern, wie sie ihr Unternehmen mit einfachen Maßnahmen schützen und die neuen Cyber-Security-Vorgaben für 2024 rechtssicher umsetzen. Experten-Report: Strategien gegen Cyberkriminelle jetzt kostenlos herunterladen

Nach der Frist: Bußgelder und bürokratische Hürden

Für die säumigen Unternehmen ist das Risiko nun konkret. Das BSI kann Verwaltungsverfahren einleiten und allein für das Versäumnis der Anmeldung Bußgelder von bis zu 500.000 Euro verhängen. Der Anmeldeprozess über das BSI-Portal MUK erwies sich für viele als Hürde, da ein ELSTER-Organisationszertifikat benötigt wird. Dessen physischer Aktivierungscode kann mehrere Tage auf sich warten lassen.

Doch die Registrierung ist nur der erste Schritt. Kern der NIS 2 ist die Einführung umfassender technischer und organisatorischer Maßnahmen (TOM). Als „wesentliche“ oder „wichtige“ Einrichtung eingestufte Unternehmen müssen signifikante Sicherheitsvorfälle nun innerhalb von 24 Stunden (Frühwarnung) und mit einer detaillierten Meldung binnen 72 Stunden berichten. Die hohe Zahl nicht angemeldeter Firmen deutet auf ein massives Informationsdefizit im Mittelstand hin. Viele Betriebe in neu erfassten Sektoren wie Lebensmittelproduktion, Abfallwirtschaft oder verarbeitendem Gewerbe sind sich ihrer Pflichten wohl nicht bewusst.

Persönliche Haftung: Geschäftsführer in der Pflicht

Eine der einschneidendsten Neuerungen ist die verschärfte Management-Haftung nach §38 NIS2UmsuCG. Cybersicherheit ist keine reine IT-Aufgabe mehr. Geschäftsführer und Vorstände haften persönlich für die Einführung und Überwachung der Sicherheitsmaßnahmen. Sie müssen sich regelmäßig schulen lassen und den Stand der Technik in ihrem Unternehmen gewährleisten. Eine Delegation dieser Verantwortung ist nicht möglich.

Die finanziellen Konsequenzen für die Führungsebene sind enorm. Für „wesentliche“ Einrichtungen können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes fällig werden. Bei „wichtigen“ Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4 % des Umsatzes. Haftungsfreistellungen per internem Vertrag sind ausgeschlossen. Dieser Paradigmenwechsel soll Cybersicherheit als strategisches Geschäftsrisiko im Boardroom verankern – angesichts eines jährlichen Gesamtschadens durch Cyberangriffe in Deutschland von schätzungsweise 202 Milliarden Euro (Stand Ende 2025) eine logische Konsequenz.

Neben der allgemeinen IT-Sicherheit rückt vor allem der Schutz vor gezielten Phishing-Angriffen in den Fokus der regulatorischen Anforderungen. Erfahren Sie in diesem Experten-Guide, wie Sie Ihr Unternehmen in 4 Schritten effektiv vor Hacker-Angriffen schützen und branchenspezifische Risiken minimieren. Kostenlosen Anti-Phishing-Guide für Unternehmen sichern

Technische Vorgaben und der Druck entlang der Lieferkette

Unternehmen müssen nachweisen, dass sie ihrem Risikoprofil angemessene Sicherheitsmaßnahmen umsetzen. Der Fokus liegt auf Multi-Faktor-Authentifizierung (MFA), verschlüsselter Kommunikation und umfassender Lieferkettensicherheit. Gerade der letzte Punkt betrifft viele kleinere Zulieferer, die selbst nicht direkt unter die NIS 2 fallen, aber für große „wesentliche“ Konzerne arbeiten. Diese beginnen bereits, NIS-2-Compliance als vertragliche Bedingung in ihre Einkaufsprozesse aufzunehmen.

Der „Stand der Technik“ umfasst 2026 automatisierte Bedrohungserkennung, strukturiertes Schwachstellenmanagement und regelmäßige Tests der Business Continuity. Sicherheit ist ein kontinuierlicher Prozess. Das BSI betont die Notwendigkeit einer aktuellen Inventarliste aller IT-Assets. Zudem plant das Bundesinnenministerium mit einem weiteren „Cybersicherheitsstärkungsgesetz“ noch erweiterte Befugnisse für das BSI, etwa bei der Abfrage technischer Informationen bei Dienstleistern.

Hohe Kosten und Fachkräftemangel als Bremsklötze

Die Umstellung auf NIS-2-Konformität ist kostspielig. Viele KMU klagen über den akuten Mangel an Cybersicherheitsexperten auf dem deutschen Arbeitsmarkt. In der Folge setzen sie verstärkt auf Managed Security Service Provider (MSSP) und Compliance-Automatisierungslösungen. Diese können den administrativen Aufwand zwar um bis zu 50 % senken, doch die Investitionskosten bleiben eine Hürde.

Verbände und Studien sehen diese Ausgaben jedoch als notwendige Investition in die Zukunft. Eine Bitkom-Studie von 2025 zeigte, dass über die Hälfte der deutschen KMU schärfere Regeln begrüßt, um sich vor Ransomware und staatlicher Spionage zu schützen. Die Analyse ist klar: Die Kosten für eine erfolgreiche Cyberattacke – durch Produktionsausfall, Datenverlust und Reputationsschaden – übersteigen die Präventionskosten bei weitem.

Ausblick: Audits stehen an, EU könnte Entlastung bringen

Für das restliche Jahr 2026 wird der Fokus des BSI voraussichtlich von der Anmeldung auf aktive Audits umschwenken. Während „wichtige“ Einrichtungen meist nur reaktiv nach Vorfall kontrolliert werden, müssen sich „wesentliche“ auf proaktive Prüfungen einstellen. Die erste Welle wird noch dieses Jahr erwartet, mit Schwerpunkt auf Hochrisikosektoren wie Energie und Gesundheitswesen.

Eine gewisse Entlastung könnte von der EU kommen. Die Kommission schlug Anfang 2026 eine „Digital Omnibus Regulation“ vor, die eine Kategorie für „kleine Mittelständler“ mit bis zu 750 Mitarbeitern vorsieht. Dies könnte einige „wesentliche“ zu „wichtigen“ Einrichtungen herabstufen und den Aufwand verringern. Diese Änderungen werden aber frühestens Mitte 2027 in deutsches Recht überführt. Bis dahin gilt: Die Frist ist abgelaufen, die Haftung aktiv. Jedes Unternehmen, das noch nicht handelt, setzt sich erheblichen Risiken aus.

boerse | 68988071 |