NIS-2: BSI startet Vollzug, Tausende Firmen im Nachholstress

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Handschuh geworfen. Seit dieser Woche geht die Behörde von der Beratungs- in die Durchsetzungsphase des NIS-2-Umsetzungsgesetzes über. Für rund 18.500 deutsche Unternehmen, die die Registrierungsfahrt verpasst haben, beginnt nun der Wettlauf gegen die Zeit – und gegen mögliche Bußgelder in Millionenhöhe.

Deutschland: Vollzugsstart nach verpasster Frist

Die Lage ist ernst. Die Übergangsfrist zur Registrierung im BSI-Portal lief am 6. März 2026 ab. Geschätzte 29.500 Unternehmen aus 18 kritischen Sektoren waren in der Pflicht. Doch fast zwei Drittel, etwa 18.500 Betriebe, haben den Termin verstreichen lassen. Der Grund? Viele Betriebe aus nun regulierten Branchen wie der Lebensmittelproduktion oder Abfallwirtschaft waren IT-Sicherheitsvorschriften bisher kaum gewohnt.

Jetzt schlägt die Stunde des BSI. Die Behörde versendet erste Anhörungsschreiben und kann bindende Anordnungen erlassen. Unternehmen müssen umgehend den Nachweis für umgesetzte technische und organisatorische Maßnahmen (TOMs) erbringen. Die Konsequenzen bei Nichtbeachtung sind drastisch: Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes drohen.

Angesichts der drakonischen Bußgelder bei Nichteinhaltung neuer EU-Vorgaben rückt neben der NIS-2 auch die rechtssichere Nutzung künstlicher Intelligenz in den Fokus. Dieser kostenlose Leitfaden zeigt Ihnen kompakt, welche Fristen, Pflichten und Risikoklassen der EU AI Act für Ihr Unternehmen bereithält. EU AI Act Umsetzungsleitfaden jetzt kostenlos herunterladen

„Die Panik ist greifbar“, berichtet ein Compliance-Berater aus dem Umfeld. Viele Firmen unterschätzten den Aufwand. Die Registrierung erfordert ein gültiges ELSTER-Organisationszertifikat – dessen Beantragung allein mehrere Wochen dauern kann. Für Nachzügler wird die Lage damit immer enger.

Österreich nutzt die Vorlaufzeit

Während in Deutschland der Vollzug läuft, bereitet sich der Nachbar auf seinen Stichtag vor. Das österreichische NISG 2026 tritt am 1. Oktober 2026 in Kraft und betrifft schätzungsweise 4.000 Organisationen. Die Registrierungsfrist endet hier erst am 31. Dezember 2026.

Österreichische Unternehmen nutzen diese strategische Vorlaufphase für umfassende Gap-Analysen. Der Fokus liegt darauf, bestehende Informationssicherheits-Managementsysteme (ISMS) an die neuen Vorgaben anzupassen. Besonderes Augenmerk liegt auf den strengen Meldepflichten bei Sicherheitsvorfällen: Kritische Incidents müssen binnen 24 bis 72 Stunden gemeldet werden. Diese Vorgabe befeuert die Nachfrage nach „Incident Response as a Service“ und automatisierten Monitoring-Tools.

KI-Gesetz verschärft die Anforderungen

Die Beratungslandschaft wird zudem durch eine weitere EU-Regulierung verkompliziert: den KI-Gesetz. Dessen wesentliche Pflichten für Hochrisiko-KI-Systeme greifen ab dem 2. August 2026. Viele Sicherheits-Tools in Unternehmen fallen unter diese Kategorie.

Berater müssen nun ein hybrides Paket aus rechtlicher, technischer und ethischer Expertise schnüren. Gefragt ist der „Digital Omnibus“-Ansatz, der die Anforderungen aus KI-Gesetz, NIS-2 und dem Cyber Resilience Act (CRA) verbindet. Letzterer startet seine erste Phase verpflichtender Schwachstellenmeldungen am 11. September 2026.

Die Folge: Einmalige Audits reichen nicht mehr aus. Consulting-Firmen setzen auf „Continuous Compliance“-Modelle. Automatisierte Tools liefern Echtzeit-Telemetriedaten und auditfähige Nachweise, um die sich überlappenden Meldefristen der verschiedenen EU-Verordnungen zu erfüllen.

Persönliche Haftung treibt Professionalisierung

Die vielleicht tiefgreifendste Veränderung betrifft die Führungsetagen. Sowohl die deutsche als auch die österreichische NIS-2-Umsetzung sehen eine persönliche Haftung von Vorständen und Geschäftsführern vor. Sie müssen die Einhaltung der Vorgaben gewährleisten und überwachen.

IT-Sicherheit ist damit vom technischen Backoffice-Thema zum zentralen Boardroom-Priority aufgestiegen. Berater führen vermehrt gesetzlich vorgeschriebene „Management Trainings“ durch. Diese schulen Risikobewertung, rechtliche Konsequenzen von Sicherheitslücken und die Sorgfaltspflichten, die eine persönliche Disqualifikation von Führungsposten verhindern sollen.

Da die persönliche Haftung von Geschäftsführern eine Professionalisierung der IT-Abwehr erzwingt, benötigen Verantwortliche proaktive Schutzstrategien. Erfahren Sie in diesem kostenlosen E-Book, wie Sie aktuelle Cyberbedrohungen abwenden und neue gesetzliche Anforderungen ohne teure Investitionen erfüllen. Gratis E-Book: Cyber Security Strategien für Unternehmen

Genau diese haftungsgetriebene Nachfrage führt zu einem akuten Talentmangel. Gesucht sind keine Generalisten mehr, sondern Experten, die die Brücke zwischen technischer Infrastruktur und Gesellschaftsrecht schlagen können.

Ausblick: Dauerhafte regulierte Resilienz

Der Engpass am Beratermarkt wird sich voraussichtlich durch das gesamte Jahr 2026 ziehen. Compliance wird zum „Passierschein“ für den EU-Binnenmarkt. Auftraggeber schließen Zulieferer zunehmend von Vergaben aus, wenn diese keine NIS-2-Konformität nachweisen können – ein Schutzmechanismus für die eigene Lieferkette.

Die nächste Phase steht bereits bevor: Nach der Registrierung und ersten Analyse folgen rigide Audits der umgesetzten Maßnahmen. Das BSI und das geplante österreichische Bundesamt für Cybersicherheit werden ihre Prüffrequenzen voraussichtlich Ende 2026 und 2027 erhöhen.

Gleichzeitig erfordert der Aufstieg „agentiver KI“ in der Cybersicherheit neue Formen der Aufsicht, wenn autonome Tools Incident Response übernehmen. Die Botschaft dieser ersten Aprilwoche 2026 ist eindeutig: Die Ära freiwilliger IT-Sicherheit ist endgültig vorbei. Sie wurde durch einen Dauerzustand regulierter Resilienz ersetzt.

de | boerse | 69089888 |