NIS2-Compliance: 62% der Unternehmen verpassten März-Frist

Gleichzeitig kämpfen zahlreiche Unternehmen weiter mit der Umsetzung der NIS2-Richtlinie – und viele haben wichtige Fristen bereits verpasst.

Die regulatorische Landschaft für Cybersicherheit wird immer komplexer. NIS2, DORA für den Finanzsektor und die DSGVO greifen oft parallel. Unternehmen müssen bei einem IT-Sicherheitsvorfall unterschiedliche Fristen und Behörden berücksichtigen – ein logistischer Albtraum für die Verantwortlichen.

Unterschiedliche Meldefristen im Detail

Die Fristen variieren je nach Gesetz erheblich. DORA verlangt eine Erstmeldung an die BaFin bereits vier Stunden nach Einstufung eines schwerwiegenden Vorfalls. Die NIS2-Richtlinie gibt Unternehmen 24 Stunden Zeit für eine Frühwarnung ans BSI.

Bei Datenschutzverstößen gilt weiterhin die DSGVO-Frist von 72 Stunden. Experten betonen: Diese Fristen laufen parallel – die Erfüllung einer Meldepflicht entbindet nicht von den anderen.

Ab September kommt der Cyber Resilience Act (CRA) dazu. Hersteller smarter Produkte müssen dann Frühwarnungen innerhalb von 24 Stunden und Detailmeldungen nach 72 Stunden über die ENISA-Plattform abgeben. Ein Abschlussbericht folgt bei Schwachstellen 14 Tage nach der Korrektur, bei Vorfällen einen Monat später.

Angesichts immer neuer Gesetze wie NIS2 oder dem CRA stehen Unternehmen vor der Herausforderung, ihre IT-Sicherheit rechtssicher aufzustellen. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit stärken ohne teure Investitionen

Massive Defizite bei der Registrierung

Die Zahlen sprechen eine deutliche Sprache: 62 Prozent der rund 29.000 betroffenen deutschen Unternehmen haben die NIS2-Registrierungsfrist am 6. März verpasst. In den Niederlanden sieht es nicht besser aus – dort meldeten sich nur knapp 1.000 von rund 10.000 Organisationen.

Die Risiken sind enorm. Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes drohen. Hinzu kommt die persönliche Haftung der Geschäftsführung. Das BSI fokussiert sich daher verstärkt auf Authentifizierung, Zugriffsmanagement und strukturierte Vorfallbehandlung.

Drittanbieter als wachsendes Risiko

Die Bedrohungslage verschärft sich. Vorfälle bei Drittanbietern stiegen im Jahresvergleich um 60 Prozent – sie sind inzwischen an fast der Hälfte aller Sicherheitsvorfälle beteiligt. Ein aktueller FTC-Vergleich gegen einen Bildungsdienstleister wegen mangelnder Vertragskontrollen zeigt: Die Behörden werden härter.

Besonders die Zusammenarbeit mit Dienstleistern birgt oft unterschätzte rechtliche Risiken bei der Datenverarbeitung. Dieser kostenlose Experten-Report klärt über Ihre Haftungsrisiken bei Auftragsverarbeitern auf und zeigt, wie Sie teure Bußgelder vermeiden. Haftungsrisiken bei Auftragsverarbeitung jetzt prüfen

Die deutsche Wirtschaft reagiert mit verstärktem Outsourcing. Laut einer Studie von G DATA, Statista und brand eins beauftragen 63 Prozent der Unternehmen externe IT-Sicherheitsanbieter. 32 Prozent setzen auf Managed Security Service Provider, nur sechs Prozent organisieren Cybersicherheit komplett intern.

Neue Befugnisse für Behörden

Parallel zu den Unternehmenspflichten wächst der staatliche Handlungsspielraum. Ein Gesetzentwurf zur Cybersicherheitsstärkung sieht vor, dass das BSI schädlichen Datenverkehr umleiten sowie Incident Response und Prepositioning durchführen darf. Auch BKA und Bundespolizei sollen klare Abwehrbefugnisse im digitalen Raum erhalten.

Die Cybersicherheitsagentur Baden-Württemberg bietet betroffenen Kommunen und der Landesverwaltung ein kostenfreies IT-Notfallhandbuch an. Es basiert auf dem IT-Grundschutz des BSI und soll den Aufbau präventiver Prozesse erleichtern.

de | wirtschaft | 69628224 |