NIS2-Compliance: 38,5% der Firmen verpassen Registrierungsfrist

Die neue EU-Cybersicherheitsrichtlinie NIS2 ist in Deutschland seit Dezember 2025 in Kraft – doch die Unternehmen hinken hinterher. Von den rund 29.000 betroffenen Firmen haben sich bis zum Frühjahr 2026 gerade einmal 38,5 Prozent beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert. Dabei lief die primäre Anmeldefrist bereits am 6. März 2026 ab.

Interne Audits als Rettungsanker

Um die Lücke zwischen gesetzlichen Anforderungen und betrieblicher Realität zu schließen, setzen Experten auf interne Prüfungen. Diese sogenannten Gap-Analysen liefern ein klares Bild der aktuellen Sicherheitslage. Im Fokus stehen dabei Risikoanalyse, Incident-Management, Lieferkettensicherheit, Schwachstellenmanagement, Mitarbeiterschulungen und Dokumentation.

Angesichts der strengen NIS2-Anforderungen und der drohenden persönlichen Haftung für Geschäftsführer wird ein fundiertes Verständnis der aktuellen Bedrohungslage zur unternehmerischen Pflicht. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und IT-Sicherheitsrisiken Sie jetzt kennen müssen, um Ihr Unternehmen proaktiv zu schützen. Gratis Cyber-Security-Leitfaden jetzt herunterladen

Je nach Unternehmensgröße dauern solche Audits zwischen wenigen Tagen und acht Wochen. Das Ergebnis: ein priorisierter Maßnahmenplan und prüffähige Unterlagen. Entscheidende Erfolgsindikatoren sind die Umsetzungsrate der Maßnahmen, der Reifegrad der Dokumentation und die Abdeckung der Pflichtschulungen.

Lieferkettendruck und persönliche Haftung

Die NIS2-Richtlinie betrifft nicht nur die 18 direkt genannten Sektoren. Große Konzerne geben die Anforderungen zunehmend über Vertragsklauseln an ihre Zulieferer weiter. Dieser Lieferketteneffekt zwingt auch kleinere Anbieter zur Compliance – selbst wenn sie die Größenkriterien für eine direkte Regulierung nicht erfüllen.

Die Risiken bei Verstößen sind enorm. Nach §38 BSIG haften Vorstände und Geschäftsführer persönlich, wenn sie erforderliche Sicherheitsmaßnahmen nicht umsetzen. Für „wesentliche" Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. „Wichtige" Organisationen müssen mit Strafen von bis zu sieben Millionen Euro oder 1,4 Prozent des globalen Umsatzes rechnen.

Flickenteppich in Europa

Die Umsetzungsfristen für NIS2 variieren innerhalb der EU erheblich. Italien hat die Richtlinie bereits im Oktober 2024 in Kraft gesetzt, die Compliance-Frist endete dort am 17. Januar 2025. Österreich plant die Umsetzung für den 1. Oktober 2026 mit einer Registrierungsfrist bis zum 31. Dezember 2026.

In Deutschland schloss der Gesetzgebungsprozess Ende 2025 ab: Der Bundestag verabschiedete das Gesetz am 13. November, der Bundesrat folgte am 21. November. Für Schweizer Anbieter mit umfangreichen EU-Geschäften sind besonders die deutschen und österreichischen Fristen relevant – sie müssen EU-Standards erfüllen, um ihre europäischen Kunden weiter bedienen zu können.

Technische Pflichten und Geschäftskontinuität

Neben der administrativen Registrierung verlangt NIS2 konkrete technische Fähigkeiten. Im Zentrum steht das Geschäftskontinuitätsmanagement mit robusten Backup-Strategien und Notfallplänen. Marktbeobachter stellen fest: Viele Unternehmen sichern zwar Daten, testen aber selten die tatsächliche Wiederherstellung unter realistischen Bedingungen. Das ist ein kritischer Mangel – denn sowohl NIS2 als auch die DSGVO fordern die Verfügbarkeit und schnelle Wiederherstellbarkeit von Daten im Krisenfall.

Zudem müssen Organisationen über Erkennungs- und Reaktionsfähigkeiten verfügen. Ein formelles Security Operations Center (SOC) ist nicht explizit vorgeschrieben, wohl aber die zugrundeliegenden Fähigkeiten. Unternehmen können zwischen internen Lösungen, Managed Detection and Response (MDR) oder Hybridmodellen externer Dienstleister wählen.

Um die komplexe Vertragsanpassung zu bewältigen, kommen zunehmend automatisierte Tools auf den Markt. Eine Kooperation zwischen LEGANTA und top.legal bietet etwa automatisierte Vertragsanalysen, die Compliance-Lücken identifizieren und die nötigen rechtlichen Anpassungen erleichtern.

de | wirtschaft | 69474460 |