NIS2: 30.000 deutsche Unternehmen jetzt unter strenger Cybersicherheits-Aufsicht

Die Frist ist abgelaufen, die Aufsicht beginnt: Seit heute unterliegen rund 30.000 deutsche Unternehmen verschärften Cybersicherheits-Pflichten. Die Übergangsfrist für die nationale Umsetzung der EU-NIS2-Richtlinie endete am 6. März. Gleichzeitig schließt die EU-Kommission morgen eine Konsultation zur Vereinfachung des digitalen Regelwerks. Diese Zangenbewegung aus nationaler Strenge und europäischer Reform markiert einen Wendepunkt.

Die neue Aufsichtswelle rollt an

Die Umsetzung der NIS2-Richtlinie in nationales Recht hat den Kreis der regulierten Unternehmen massiv erweitert. Waren zuvor nur etwa 4.500 Organisationen der kritischen Infrastruktur (KRITIS) betroffen, zieht das novellierte BSI-Gesetz nun fast 30.000 Firmen in 18 Branchen in den Fokus. Neben Energie, Gesundheit und Finanzen betrifft dies nun auch die verarbeitende Industrie, Lebensmittelproduktion, Chemie, Abfallwirtschaft und digitale Dienstleister wie Cloud-Anbieter.

Angesichts der neuen gesetzlichen Anforderungen und der steigenden Bedrohungslage müssen Unternehmen ihre IT-Infrastruktur jetzt proaktiv absichern. Dieser kostenlose Leitfaden zeigt Geschäftsführern, wie sie die Sicherheit effektiv stärken, ohne das Budget zu sprengen. IT-Sicherheit ohne Budget-Explosion: Experten-Report jetzt kostenlos herunterladen

Die Pflichten gelten grundsätzlich für Unternehmen in diesen Sektoren mit mindestens 50 Beschäftigten oder einem Jahresumsatz über 10 Millionen Euro. Die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) über das Portal war für viele eine erste Hürde. Sie erforderte ein ELSTER-Organisationszertifikat, dessen Beantragung bis zu zwei Wochen dauern kann. Wer dies auf den letzten Drücker versuchte, hat die Frist womöglich verpasst – und steht nun im Fadenkreuz der Aufseher.

Harte Pflichten und persönliche Haftung

Mit dem Ende der Übergangsfrist gelten nun verschärfte Meldepflichten. Bei schwerwiegenden IT-Sicherheitsvorfällen muss innerhalb von 24 Stunden eine erste Warnung an das BSI gehen. Ein detaillierter Bericht folgt binnen 72 Stunden, ein abschließender Report innerhalb eines Monats. Zeit für interne Untersuchungen vor der Meldung gibt es nicht mehr.

Zudem schreibt der Gesetzgeber zehn konkrete Risikomanagement-Maßnahmen vor. Dazu gehören Business-Continuity-Pläne, striktes Patch-Management, der Einsatz von Verschlüsselung und Multi-Faktor-Authentifizierung für kritische Systeme. Die Wirksamkeit dieser Maßnahmen muss regelmäßig überprüft werden.

Die finanziellen Konsequenzen bei Verstößen sind drastisch: Bußgelder können bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen – je nachdem, welcher Wert höher ist. Noch bedeutsamer ist die neue persönliche Haftung für Geschäftsführer und Vorstände. Cybersicherheit ist nun gesetzlich als Führungsaufgabe verankert. Manager müssen sich regelmäßig schulen lassen und die Umsetzung der Sicherheitsmaßnahmen aktiv überwachen. Bei Versäumnissen haften sie persönlich.

EU plant Entlastung – doch die kommt spät

Während in Deutschland der Vollzug beginnt, arbeitet Brüssel an einer Entbürokratisierung. Derzeit muss ein Unternehmen einen Cybervorfall möglicherweise parallel nach NIS2, der Datenschutz-Grundverordnung (DSGVO) und dem Digital Operational Resilience Act (DORA) melden – jedes Mal mit anderen Fristen und Formaten.

Neben der IT-Sicherheit rückt durch neue EU-Regulierungen auch der Einsatz von Künstlicher Intelligenz in den Fokus der Compliance-Abteilungen. Sichern Sie sich diesen kostenlosen Leitfaden, um Kennzeichnungspflichten und Risikoklassen der neuen KI-Verordnung rechtzeitig umzusetzen. Gratis E-Book: Die neue EU-KI-Verordnung einfach erklärt

Hier soll das „Omnibus VII“-Paket der EU-Kommission Abhilfe schaffen. Es sieht eine einheitliche Meldestelle vor, über die alle Pflichten erfüllt werden können. Zudem ist eine „European Business Wallet“ geplant, ein digitaler Brieftasche für verifizierte Dokumente in allen 27 Mitgliedstaaten.

Die öffentliche Konsultation zu diesem Paket endet am 11. März. Brüssel rechnet damit, den Verwaltungsaufwand für Unternehmen bis 2029 um bis zu fünf Milliarden Euro zu senken. Doch Experten warnen: Selbst wenn die Verhandlungen zügig verlaufen, wird die einheitliche Plattform frühestens Ende 2026 oder 2027 technisch umgesetzt. Für deutsche Firmen kommt diese Entlastung also zu spät.

Was Unternehmen jetzt tun müssen

Die Priorität liegt klar auf der nationalen Compliance. Wer die Registrierungsfrist verpasst hat, sollte umgehend das ELSTER-Zertifikat beantragen und dem BSI seine Bemühungen zur Nachholung dokumentieren. Denn auch ohne Registrierung gelten die 24-Stunden-Meldepflichten bereits seit Dezember 2025.

Unternehmen müssen ihren Ansatz grundlegend ändern: von reaktiver IT-Sicherheit zu proaktivem, dokumentiertem Risikomanagement. Eine der größten Herausforderungen ist die Sicherheit der Lieferkette. Da das Gesetz Risiken durch Drittanbieter einbezieht, entsteht ein Dominoeffekt in der Wirtschaft. Auch kleine Zulieferer unter der 50-Mitarbeiter-Schwelle werden von ihren großen Kunden zunehmend gezwungen, NIS2-konforme Standards einzuhalten – sonst droht der Verlust des Vertrags.

Die Botschaft dieser Woche ist eindeutig: Die Ära lascher Cybersicherheit ist in Europa vorbei. Die geplanten EU-Vereinfachungen ändern nichts am Kern – schnelles, transparentes Incident-Management bleibt Pflicht. Unternehmen, die diese Standards in ihren Alltag integrieren, vermeiden nicht nur hohe Strafen. Sie bauen auch eine entscheidende Widerstandsfähigkeit gegen immer raffiniertere Cyberangriffe auf.

de | boerse | 68654628 |