Cyber-Resilienz wird zur Chefsache: NIS2 treibt deutsche Unternehmen

Cybersicherheit ist längst keine reine IT-Aufgabe mehr, sondern eine Führungsaufgabe mit persönlicher Haftung für Vorstände und Geschäftsführer. Branchenverbände wie Bitkom prognostizieren für 2025 einen wirtschaftlichen Schaden von 206,4 Milliarden Euro durch Cyberangriffe. Gleichzeitig zwingen die verschärften EU-Regularien Unternehmen zum schnellen Handeln.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen: Ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. Jetzt Gratis-E-Book zur Cyber-Security sichern

NIS2: 30.000 Unternehmen in der Pflicht

Seit Dezember 2025 ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Kraft – und es hat es in sich. Rund 30.000 Einrichtungen aus 18 Sektoren fallen nun unter die erweiterten Meldepflichten. Betroffen sind alle Organisationen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von über zehn Millionen Euro.

Die Registrierungsfrist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) endete bereits am 6. März 2026. Doch Branchenbeobachter stellen fest: Viele betroffene Unternehmen haben ihre internen Gefährdungsanalysen noch immer nicht abgeschlossen. Wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern auch die persönliche Haftung der Führungsetage.

Die neuen Meldefristen sind knapp bemessen: Eine Erstmeldung muss innerhalb von 24 Stunden nach Erkennung eines schwerwiegenden Vorfalls erfolgen, der ausführliche Abschlussbericht binnen 72 Stunden.

Die Gerichte verschärfen die Gangart

Die finanzielle Dimension von Datenschutzverstößen zeigt ein aktuelles Urteil: Im Fall notebooksbilliger.de bestätigten die Gerichte einen trend zu empfindlichen, aber verhältnismäßigen Strafen. Ursprünglich verhängte die Aufsichtsbehörde 2020 eine Rekordstrafe von 10,4 Millionen Euro wegen unerlaubter Videoüberwachung – die Oberlandesgerichte reduzierten die Summe Ende 2025 auf 900.000 Euro.

Das Landgericht Krefeld sorgte zudem für eine wichtige Klarstellung: Ein erfolgreicher Hackerangriff über eine Zero-Day-Lücke beweist nicht automatisch, dass die technischen und organisatorischen Maßnahmen (TOMs) unzureichend waren. Wer Schadensersatz nach Artikel 82 der DSGVO fordert, muss einen konkreten, individuellen Schaden nachweisen – bloßes Unwohlsein oder „Kontrollverlust" reichen nicht.

Partnerschaften für mehr Sicherheit

Der Markt reagiert auf die neuen Anforderungen mit Konsolidierung und Spezialisierung. Die SVA System Vertrieb Alexander GmbH gab im Mai 2026 eine strategische Partnerschaft mit CrowdStrike bekannt. Ziel ist die Standardisierung auf die KI-native Falcon-Plattform, um Behörden und Großunternehmen eine einheitliche Sicherheitsarchitektur zu bieten und Kosten durch die Bündelung verschiedener Sicherheitstools zu senken.

Für die besonders schützenswerte kritische Infrastruktur (KRITIS) im Energiesektor haben Controlware und OMICRON Mitte Mai eine Kooperation gestartet. Sie überwachen in Echtzeit die Netzwerkkommunikation in Produktionsumgebungen (OT) – eine direkte Antwort auf die NIS2-Anforderungen und das Energiewirtschaftsgesetz (EnWG).

Digitale Souveränität als Schlüsselthema

Ein weiterer Trend: Cloud-Infrastruktur made in Germany. Thales und Google Cloud entwickeln derzeit eine souveräne Cloud-Plattform speziell für den deutschen Markt. Die Marktreife wird für Ende 2026 erwartet. Entscheidend: Die Plattform ist unabhängig von US-amerikanischer Jurisdiktion. Eine eigene deutsche Gesellschaft unter Thales-Kontrolle betreibt die Infrastruktur ausschließlich mit Personal in Deutschland. Google liefert die technische Basis, Thales übernimmt die Cybersicherheit und die souveräne Kontrolle.

Dieser Schritt passt zur europäischen Strategie: Die EU-Kommission plant für Juni 2026 ein „Technologiesouveränitätspaket" mit einer neuen Open-Source-Strategie und dem Cloud- und KI-Entwicklungsgesetz (CADA) .

KI-Regulierung: Die Uhr tickt

Die Integration Künstlicher Intelligenz in Geschäftsprozesse macht das Datenmanagement nicht einfacher. Eine Studie von Armis aus Mai 2026 zeigt: 66 Prozent der deutschen Unternehmen haben keine vollständige Kontrolle über ihre netzwerkfähigen Geräte. 38 Prozent fühlen sich von der Flut an Bedrohungsdaten überfordert. Besonders alarmierend: Während weltweit 25 Prozent der Organisationen Zero Trust vollständig umgesetzt haben, sind es in Deutschland gerade einmal sechs Prozent.

Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf. Umsetzungsleitfaden zum EU AI Act kostenlos herunterladen

Der EU AI Act führt ein gestaffeltes Risikosystem ein. Ab dem 2. August 2026 beginnt die Bundesnetzagentur mit der Marktüberwachung. Dann gelten auch die verpflichtenden KI-Kompetenzanforderungen und Transparenzpflichten. Unternehmen müssen ihre KI-Systeme inventarisieren und Risikoklassen zuordnen – sonst drohen Strafen von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes.

Neue Transparenzpflichten für KI-Inhalte

Der Europäische Datenschutzausschuss (EDPB) hat die Regeln verschärft. Seit dem 20. Mai 2026 müssen B2B-Websites KI-generierte Inhalte klar kennzeichnen – das betrifft auch Marketingmaterialien und Produktbeschreibungen. Unternehmen müssen eine nachvollziehbare Herkunftskette dokumentieren, inklusive Zeitstempeln und der verwendeten Prompts oder Tools. Wer KI-Inhalte nicht deklariert, riskiert nicht nur Bußgelder, sondern auch Probleme bei der ESG-Berichterstattung.

Ausblick: Was kommt auf Unternehmen zu?

Die nächsten Monate halten weitere Meilensteine bereit:

• Ende 2026: Fertigstellung der European Digital Identity (EUDI) Wallet, gefolgt von der European Business Wallet (EUBW) 2027
• Dezember 2027: Spezifische Pflichten für Hochrisiko-KI-Systeme in Verbrauchergeräten treten in Kraft
• August 2028: Harmonisierte Produktregeln für KI-Systeme

Die EU-Kommission arbeitet zudem an neuen Leitlinien zur Einstufung von Hochrisiko-KI. Biometrisches Tracking in Alltagsgeräten – etwa Emotionserkennung in Smartwatches – wird demnach voraussichtlich als hochriskant eingestuft.

Für deutsche Unternehmen heißt die Devise: Jetzt handeln. Die NIS2-Audits müssen abgeschlossen, KI-Inventare erstellt und Sicherheitsarchitekturen auf den neuesten Stand gebracht werden. Wer die Fristen verschläft, spielt mit der persönlichen Haftung und dem Ruf des Unternehmens.

de | wirtschaft | 69394997 |