NIS2-Frist, Geschäftsführer

NIS2-Frist endet 31. Juli: Geschäftsführer haften persönlich

Veröffentlicht: 16.07.2026 um 22:48 Uhr, Redaktion boerse-global.de

Ende Juli endet die NIS2-Nachfrist für 29.500 Firmen. Bei Verstößen drohen Bußgelder bis zehn Millionen Euro und persönliche Haftung.

NIS2-Frist läuft ab: Unternehmen drohen hohe Bußgelder
Ein digitales Vorhängeschloss über einem Netzwerk aus leuchtenden Datenlinien und Servern mit einem roten Schimmer im Hintergrund. Illustration mit AI erstellt übermittelt durch boerse-global.de

Ein aktueller Bericht zeigt: Fast vier von fünf erfolgreichen Angriffen basieren auf kompromittierten Logins. Multifaktor-Authentifizierung (MFA) schützt oft nicht. Die durchschnittlichen Wiederherstellungskosten: 1,6 Millionen Euro.

Gleichzeitig tickt für rund 29.500 Unternehmen eine Uhr. Ende Juli läuft die Nachfrist zur Registrierung nach dem NIS2-Gesetz ab. Wer sie verpasst, riskiert Bußgelder bis zu zehn Millionen Euro – und die Geschäftsführung haftet persönlich.

NIS2: Wer jetzt handeln muss

Seit Dezember 2025 gilt das NIS2-Umsetzungsgesetz. Betroffen sind Unternehmen ab 50 Mitarbeitern oder mehr als zehn Millionen Euro Jahresumsatz – besonders in Energie, Gesundheit, Verkehr und digitaler Infrastruktur. Pflicht: Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die reguläre Frist endete im März. Die Nachfrist läuft am 31. July 2026 aus. Rund 29.500 Einrichtungen haben sich noch nicht vollständig gemeldet. Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Entscheidend: Die Geschäftsleitung muss die Maßnahmen persönlich umsetzen und überwachen.

Mittelstand hinkt hinterher

Trotz der neuen Pflichten klaffen große Sicherheitslücken. Mittelständler erfüllen im Schnitt nur 56 Prozent der BSI-Basisanforderungen. Zwar sagen 80 Prozent der Entscheider, sie hätten IT-Sicherheit dokumentiert. Doch 60 Prozent der geprüften Firmen haben kein strukturiertes Risikomanagement.

Anzeige

Neue Gesetze und wachsende Cyberrisiken fordern Unternehmer heute mehr denn je heraus. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Sie jetzt kennen müssen, um Ihre Firma langfristig zu schützen. Jetzt kostenlosen Cyber-Security-Report herunterladen

Das Problem sitzt tief in den Organisationen: 64 Prozent der Mitarbeiter nutzen nicht autorisierte KI-Tools. 76 Prozent verwenden Passwörter mehrfach. Im industriellen Bereich sind über 60 Prozent der Anlagen einem hohen Cyber-Risiko ausgesetzt. Nur ein Bruchteil der Fertigungssteuerung gilt als ausreichend skalierbar.

Gerichte klären Haftungsfragen

Die Rechtsprechung entwickelt sich. Das Landgericht Karlsruhe entschied im Mai 2026: Im geschäftlichen E-Mail-Verkehr besteht keine generelle Pflicht zur Ende-zu-Ende-Verschlüsselung. Im konkreten Fall war nach einer Manipulation von Kontodaten eine Fehlüberweisung von über 100.000 Euro passiert – der Schadensersatzanspruch wurde verneint.

Auch die öffentliche Verwaltung muss transparenter werden. Das Verwaltungsgericht Berlin stellte im Juni 2026 fest: Staatsanwaltschaften müssen bei Pressearbeit die Datenempfänger gemäß DSGVO dokumentieren. Diese Tätigkeit dient nicht unmittelbar der Strafverfolgung.

Anzeige

Ob Phishing oder CEO-Fraud – Hacker nutzen gezielt psychologische Schwachstellen aus, um sensible Unternehmensdaten zu kompromittieren. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie Angriffe rechtzeitig entlarven und Ihr Unternehmen in vier Schritten absichern. Kostenloses Anti-Phishing-Paket sichern

Für Bankkunden bleibt die Lage oft günstig. Bei nicht autorisierten Zahlungen – etwa durch professionelle Phishing-Angriffe – liegt die Beweislast beim Zahlungsdienstleister. Er muss grobe Fahrlässigkeit des Kunden nachweisen, um eine Erstattung zu verweigern.

Neue Regeln ab September

Die Regulierung verschärft sich weiter. Ab September 2026 führt der EU Cyber Resilience Act eine 24-Stunden-Meldepflicht für Sicherheitslücken ein. Die Bundesregierung arbeitet zudem an einem neuen Cybersicherheitsgesetz. Geplant: erweiterte Befugnisse für BKA und Bundespolizei, Eingriffsrechte bei kompromittierten Systemen und automatisierte Datenübermittlungen von KRITIS-Betreibern an das BSI. Experten rechnen mit Inkrafttreten zwischen Ende 2026 und Anfang 2027.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wirtschaft | 69782834 |