NIS-2: Nur 38 Prozent der Unternehmen haben Registrierung geschafft

Von den rund 29.000 betroffenen Firmen haben lediglich 38 Prozent die Pflichtregistrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) fristgerecht absolviert. Das legt der jüngste Umsetzungsstand des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) offen. Wer jetzt nicht handelt, riskiert empfindliche Strafen – und das ist nur der Anfang eines dichten Regulierungsjahres.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen, zeigt dieser Ratgeber zu den neuesten Sicherheitsanforderungen. Schützen Sie Ihren Betrieb proaktiv vor Angriffen und erfüllen Sie gleichzeitig die neuen gesetzlichen Auflagen. Gratis-E-Book: IT-Bedrohungen abwenden

Versäumte Fristen, hohe Strafen

Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft. Es verpflichtet kritische und wichtige Einrichtungen zu strengen Sicherheitsmaßnahmen: Netzwerksegmentierung, Multi-Faktor-Authentifizierung und lückenloses Vorfallmanagement. Die Erstregistrierung beim BSI war bis zum 6. März 2026 Pflicht. Doch die große Mehrheit der Unternehmen hat diese Deadline verstreichen lassen.

Die Folgen sind drastisch. Für besonders wichtige Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Wichtige Einrichtungen müssen mit Strafen von bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes rechnen. Besonders brisant: Die Geschäftsführung haftet persönlich. Sicherheitsvorfälle müssen binnen 24 Stunden gemeldet werden – das setzt automatisierte Überwachungssysteme voraus.

Digitale Archivierung wird zur Haftungsfrage

Parallel zu den Cybersecurity-Auflagen verschärfen sich die Anforderungen an die digitale Dokumentenablage. Nach § 147 der Abgabenordnung (AO) müssen Rechnungen, Bücher und Bilanzen zehn Jahre, Geschäftskorrespondenz sechs Jahre aufbewahrt werden. Das Bundesfinanzministerium erlaubt zwar seit August 2023 das ersetzende Scannen – doch der digitale Bestand muss unveränderbar, volltextdurchsuchbar und gegen unbefugten Zugriff geschützt sein.

Das Landesarbeitsgericht Niedersachsen hat zudem klargestellt (Az. 14 SLa 80/25): Die unbefugte Löschung von Firmendaten – ob E-Mails, Passwortlisten oder Buchhaltungsunterlagen – kann eine fristlose Kündigung rechtfertigen. Auch langjährige Mitarbeiter sind nicht geschützt. Zugriffsrechte bedeuten kein Eigentumsrecht an den Daten.

Systeme konsolidieren, Prozesse automatisieren

Viele Unternehmen reagieren auf den Regulierungsdruck mit einer radikalen Verschlankung ihrer IT-Landschaft. Die Traditionsmarke Braun Büffel etwa reduzierte ihre Systemlandschaft von 17 auf fünf Systeme. Neun Monate Prozessanalyse gingen dem Wechsel voraus – weg von einem 15 Jahre alten, stark individualisierten SAP-System. Ziel war nicht einfach ein IT-Update, sondern die Transformation zu einer modernen Omnichannel-Marke.

Ähnlich setzt die AUTOMATTERS GmbH auf KI-Integration in bestehende ERP-Systeme, um repetitive Aufgaben im B2B-Bereich zu automatisieren. Der Kosmetikhersteller Mann & Schröder ersetzte papierbasierte Kommunikation durch digitale Managementsysteme von Solunio – an 150 Standorten weltweit.

E-Commerce: Neue Pflichten ab Juni 2026

Der regulatorische Kalender bleibt voll. Ab dem 19. Juni 2026 müssen Online-Händler einen deutlich sichtbaren „Vertrag widerrufen“-Button auf ihren Plattformen einbauen. Die Neuregelung nach § 356a BGB verlangt ein zweistufiges Verfahren: Kunden bestätigen den Widerruf, der Händler muss die Bestätigung unverzüglich auf einem dauerhaften Datenträger ausstellen. Fehlt der Button, drohen Abmahnungen und eine Verlängerung der Widerrufsfrist auf über ein Jahr.

Für Steuerzahler endet die Abgabefrist für die Steuererklärung 2025 am 31. Juli 2026. Belege müssen nicht mehr automatisch eingereicht werden – das Finanzamt prüft aber gezielt bei erstmaligen Auslandseinkünften, hohen Spenden oder Unterhaltszahlungen. Letztere müssen seit 2025 per Überweisung nachgewiesen werden.

Im Zuge der Digitalisierung müssen viele alte Unterlagen gar nicht mehr physisch gelagert werden. Dieser kostenlose Report zeigt Ihnen, welche Dokumente Sie seit dem 1. Januar 2024 rechtssicher vernichten dürfen, um Platz und Ordnung in Ihrem Büro zu schaffen. Kostenlose Checkliste für Aufbewahrungsfristen sichern

E-Rechnungspflicht kommt 2027

Der große Einschnitt steht jedoch bevor: Ab dem 1. Januar 2027 müssen Unternehmen mit einem Vorjahresumsatz von über 800.000 Euro E-Rechnungen ausstellen. Die Umstellung betrifft Tausende mittelständische Betriebe. Der Deutsche Steuerberaterverband (DStV) warnt bereits vor Überregulierung – insbesondere durch die neue EU-Geldwäscheverordnung (AMLA). Dennoch: Der Weg zur vollständig digitalen, regulierten Geschäftswelt scheint unumkehrbar.

Vom Fax zur KI – ein langer Weg

Noch 2018 nutzten 62 Prozent der deutschen Unternehmen mit mehr als 20 Mitarbeitern regelmäßig das Fax – bei 100 Prozent E-Mail-Nutzung. Der Wandel hin zu den heute geforderten digitalen Workflows war schleppend. Methoden wie Kaizen und Value Stream Mapping helfen nun, Verschwendung in Material- und Informationsflüssen zu identifizieren.

Die kommenden Monate werden zeigen, ob die Unternehmen die Kurve kriegen. Die BSI-Registrierungen dürften sprunghaft ansteigen – die Strafandrohung wirkt. Doch der eigentliche Härtetest für den deutschen Mittelstand kommt 2027 mit der E-Rechnungspflicht. Wer jetzt nicht umstellt, wird es im nächsten Jahr schwer haben.

de | wirtschaft | 69391700 |