NIS2-Gesetz: Tausende deutsche Firmen im Compliance-Stresstest

Seit heute Morgen befinden sich Tausende deutsche Unternehmen in einer kritischen Phase der Rechtsdurchsetzung. Die erste große Frist des neuen IT-Sicherheitsgesetzes NIS2 ist abgelaufen – und die Zahlen zeigen ein alarmierendes Bild. Nur etwa 38,5 Prozent der betroffenen Firmen haben sich fristgerecht beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert. Das lässt mehr als 18.000 Organisationen in einer rechtlichen Grauzone zurück, die nun Bußgelder und verschärfte Kontrollen fürchten müssen.

Angesichts der verschärften gesetzlichen Anforderungen durch NIS2 müssen Unternehmen ihre IT-Sicherheit strategisch neu bewerten. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue rechtliche Pflichten ohne teure Investitionen erfüllen. Gratis-E-Book zur IT-Sicherheit jetzt herunterladen

Management in der persönlichen Haftung

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) trat am 6. Dezember 2025 in Kraft und markiert einen Paradigmenwechsel. Nicht mehr nur die IT-Abteilung, sondern die Geschäftsführung trägt die persönliche Verantwortung für die Cybersicherheit ihres Unternehmens.

Konkret bedeutet das: Vorstände und Geschäftsführer müssen regelmäßig an IT-Sicherheitsschulungen teilnehmen – mindestens alle drei Jahre. Diese Schulungen gehen weit über allgemeine Mitarbeiter-Sensibilisierung hinaus. Sie vermitteln strategische und rechtliche Kompetenzen in drei Kernbereichen: Risikoanalyse, Bewertung technischer Schutzmaßnahmen und Abschätzung der Geschäftsauswirkungen von Sicherheitsvorfällen.

Die persönliche Haftung ist das wohl umstrittenste Element der deutschen Umsetzung. „Die Verantwortung für die Überwachung kann nicht delegiert werden“, betonen Rechtsexperten. Ein Vorstand kann sich bei einem schwerwiegenden Sicherheitsvorfall nicht mehr con mangelndem Technikverständnis herausreden.

Bußgelder bis zu zwei Prozent des Umsatzes

Die finanziellen Konsequenzen bei Verstößen sind erheblich. Für „besonders wichtige Einrichtungen“ – dazu zählen große Unternehmen aus Energie, Transport und Bankwesen – können Bußgelder bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes fällig werden. Auch der breitere Kreis der „wichtigen Einrichtungen“, zu dem nun viele mittelständische Produktionsbetriebe gehören, muss mit Strafen von bis zu sieben Millionen Euro oder 1,4 Prozent des Umsatzes rechnen.

Besonders der deutsche Mittelstand steht vor enormen Herausforderungen. Tausende mittelständische Unternehmen mit mehr als 50 Mitarbeitern oder einem Umsatz über 10 Millionen Euro unterliegen erstmals der bundesweiten IT-Sicherheitsaufsicht. Viele Betriebe hatten zuvor nur minimale formale Sicherheitsstrukturen und müssen nun komplexe Risikomanagement-Systeme aufbauen.

Da die IT-Sicherheit nun direkt in die Haftung der Geschäftsführung fällt, ist ein proaktiver Schutz vor Cyberangriffen geschäftskritisch. Experten erklären in diesem kostenlosen Leitfaden, wie Sie Ihr Unternehmen rechtssicher absichern, bevor die neuen Bußgeldregeln greifen. Kostenloses Cyber-Security E-Book sichern

BSI wechselt von der Beratung zur Kontrolle

Mit Beginn des zweiten Quartals 2026 wird das BSI seine Rolle ändern: von der beratenden Behörde zur aktiven Aufsicht. Die abgelaufene Registrierungsfrist vom 6. März markiert den Start in die Durchsetzungsphase.

Die Behörde hat umfangreiche Befugnisse. Sie kann Betriebsprüfungen anordnen, Nachweise für Sicherheitsmaßnahmen verlangen und sogar verbindliche Anweisungen zur Behebung von Mängeln erteilen. In Extremfällen bei „besonders wichtigen Einrichtungen“ sieht das Gesetz sogar die vorübergehende Suspendierung von Vorstandsmitgliedern vor, wenn diese wiederholt gegen Sicherheitsanforderungen verstoßen.

Wie geht es weiter? Die Integration von Cybersicherheit in die Unternehmensführung wird sich vertiefen. Viele Unternehmen verknüpfen ihre NIS2-Maßnahmen bereits mit bestehenden Standards wie ISO 27001 oder dem BSI IT-Grundschutz. Ein weiterer Fokus liegt auf der Lieferkettensicherheit, denn regulierte Unternehmen müssen jetzt auch die IT-Sicherheit ihrer Zulieferer bewerten.

Die kommenden Monate dürften einen Ansturm von Nachmeldungen bringen, wenn die Realität der neuen Haftungslage bei den bisher säumigen Unternehmen ankommt. Für deutsche Manager ist der Frühling 2026 ein Wendepunkt: IT-Sicherheits-Compliance ist keine freiwillige Empfehlung mehr, sondern eine Voraussetzung, um persönliche Konsequenzen zu vermeiden und die langfristige Widerstandsfähigkeit des Unternehmens zu sichern.

de | boerse | 69138776 |