NIS2-Frist verstrichen: 60% der Unternehmen nicht registriert

Während die Frist für die NIS2-Registrierung bereits abgelaufen ist, zeigt sich: Mehr als die Hälfte der betroffenen Unternehmen hat die Vorgaben noch nicht erfüllt. Gleichzeitig steigt die Bedrohung durch Cyberkriminalität auf Rekordniveau.

NIS2-Registrierung: Nur ein Drittel der Unternehmen ist bereit

Die Bilanz nach dem Stichtag am 6. März 2026 ist ernüchternd. Von rund 29.500 betroffenen Unternehmen in Deutschland hatten lediglich 11.000 ihre Pflichtregistrierung abgeschlossen. Das bedeutet: Über 60 Prozent der Firmen bewegen sich in einer rechtlichen Grauzone – mit potenziell schwerwiegenden Konsequenzen. Bußgelder von bis zu 500.000 Euro drohen bei Verstößen gegen die Registrierungspflicht.

Angesichts steigender regulatorischer Anforderungen und drohender Bußgelder ist eine lückenlose Dokumentation für Unternehmen unverzichtbar. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis gemäß Art. 30 DSGVO rechtssicher und zeitsparend zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Doch das Problem sitzt tiefer. Eine Studie des Digitalverbands Bitkom vom 22. Mai 2026, veröffentlicht zum zehnten Jahrestag der DSGVO, zeichnet ein düsteres Bild der Compliance-Landschaft. 81 Prozent der befragten Unternehmen bewerteten die Prozesse zur Datenschutz-Einhaltung 2025 als komplizierter als in den Vorjahren. Ganze 97 Prozent stuften den Gesamtaufwand als hoch ein, 44 Prozent sogar als sehr hoch.

Besonders prekär ist die Personalsituation. 38 Prozent der Firmen konnten 2025 offene Stellen für Datenschutzbeauftragte nicht besetzen. Ein Engpass, der die gleichzeitige Erfüllung von DSGVO- und NIS2-Pflichten massiv erschwert.

BSI C5:2026: Neue Standards für Cloud-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 7. April 2026 den aktualisierten Cloud-Computing-Kriterienkatalog C5:2026 veröffentlicht. Die Neufassung wächst von 121 auf 168 Kriterien, verteilt auf 17 Themenbereiche. Neu sind Anforderungen an Container-Management, Confidential Computing und Post-Quanten-Kryptografie – eine direkte Reaktion auf die sich rasant entwickelnde Bedrohungslage.

Das C5-Testat hat sich als zentrales Instrument etabliert. Seit Juli 2025 ist es im deutschen Gesundheitswesen verpflichtend und wird als Nachweis für die Einhaltung von DORA und NIS2 anerkannt. Unternehmen mit bestehenden C5:2020-Zertifikaten haben eine Übergangsfrist bis zum 28. Februar 2027. Ab dem 1. Juni 2027 gelten die neuen Kriterien verbindlich.

KI-Regulierung: Zwischen Innovation und Bürokratie

Ein wachsender Konfliktpunkt ist das Verhältnis von Datenschutz und Künstlicher Intelligenz. Die Bitkom-Studie zeigt: 69 Prozent der Unternehmen sehen die aktuellen Datenschutzregeln als erhebliches Hindernis für das Training von KI-Modellen – ein drastischer Anstieg gegenüber 42 Prozent im Jahr 2023. 63 Prozent der Führungskräfte befürchten, dass KI-Unternehmen Europa aufgrund der hohen regulatorischen Hürden verlassen könnten.

Die neuen Anforderungen des EU AI Acts stellen viele Unternehmen vor komplexe Herausforderungen bei der Umsetzung ihrer KI-Projekte. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle relevanten Fristen, Pflichten und Risikoklassen der KI-Verordnung. Kostenloses E-Book zum EU AI Act jetzt sichern

Parallel dazu treibt die EU den AI Act voran. Am 22. Mai 2026 wurden Leitlinien für Hochrisiko-KI-Anwendungen veröffentlicht. Ab dem 2. August 2026 tritt zudem eine Kennzeichnungspflicht für KI-generierte Inhalte in Kraft.

Cyberangriffe auf Rekordniveau

Der regulatorische Druck hat einen handfesten Grund: Die Bedrohungslage eskaliert. Allein die weltweiten Schäden durch mobile Cyberkriminalität sollen 2026 auf 442 Milliarden Euro steigen. Im ersten Quartal 2026 schnellte die Zahl der Banking-Trojaner-Fälle um 196 Prozent auf 1,24 Millionen. Die Schadsoftware „Mamont" war dabei für über 70 Prozent der Angriffe auf Android-Geräte verantwortlich.

Mehrere spektakuläre Vorfälle Ende Mai 2026 unterstreichen die Dramatik. Die Hackergruppe ShinyHunters soll Charter Communications attackiert haben und droht mit der Veröffentlichung von 42 Millionen Kundendatensätzen. Ein weiterer massiver Angriff traf die Plattform Instructure/Canvas: 275 Millionen Datensätze mit einem Volumen von 3,65 Terabyte wurden kompromittiert, ein Lösegeld von rund 9,2 Millionen Euro soll gezahlt worden sein.

Hinzu kommen kritische Sicherheitslücken in der Infrastruktur. Ein schwerwiegender Fehler im Linux-Kernel (CVE-2026-31635, genannt „DirtyDecrypt") wurde offengelegt, ebenso eine nicht patchbare Schwachstelle im Qualcomm BootROM (CVE-2026-25262). Die Bedrohung wird durch KI-gestützte Social Engineering-Angriffe verstärkt: 86 Prozent aller Phishing-Kampagnen sind inzwischen KI-generiert, täglich werden rund 3,4 Milliarden schädliche Nachrichten versendet.

Compliance-Kosten und Rechtsunsicherheit

Die Digitalregulierung gleicht einem Drahtseilakt zwischen Sicherheit und wirtschaftlicher Flexibilität. Während das Bundestag am 21. Mai 2026 das Digitale-Identitäts-Gesetz verabschiedete, das die EUDI-Wallet einführt, kämpft die Wirtschaft mit der kumulativen Last sich überschneidender Richtlinien.

Rechtsunsicherheit bleibt das größte Hindernis. 82 Prozent der Unternehmen nannten sie 2025 als zentrale Herausforderung. Ein Urteil des AG Nürnberg vom 9. Juli 2025 brachte etwas Klarheit: Die Einwilligung zur Datenverarbeitung kann auch in Verbindung mit einem Vertrag gültig sein – sofern kein Monopol besteht. Dennoch bleiben Klagerisiken hoch. Ende Mai 2026 verklagte der US-Bundesstaat Texas Meta wegen der Verschlüsselungspraktiken von WhatsApp.

Die Zahlen sprechen eine deutliche Sprache: Bis März 2026 summierten sich die DSGVO-Bußgelder auf 6,11 Milliarden Euro. Die Behörden zeigen zunehmend Bereitschaft, finanziell durchzugreifen.

Ausblick: Die nächsten Fristen

Der weitere Jahresverlauf 2026 und der Beginn 2027 bringen entscheidende Termine. Am 2. August 2026 startet die Pflicht zur Kennzeichnung KI-generierter Inhalte nach Artikel 50 des AI Act. Am 2. Januar 2027 folgt der Start der EUDI-Wallet, der Anpassungen bei digitalen Identitäts- und Authentifizierungsprozessen erfordert.

Bis zum 28. Februar 2027 müssen Unternehmen ihre C5:2020-Zertifikate auf den neuen Standard umgestellt haben. Mit der vollständigen Aktivierung der NIS2-Durchsetzungsmechanismen verschiebt sich der Fokus der Aufsichtsbehörden von der Registrierung hin zur Prüfung der tatsächlichen Sicherheitsmaßnahmen. Unternehmen, die noch nicht registriert sind oder ihre Risikomanagement-Systeme nicht aktualisiert haben, droht nicht nur erhöhte behördliche Aufmerksamkeit, sondern auch eine wachsende Verwundbarkeit gegenüber der sich ständig weiterentwickelnden Bedrohungslage.

de | wirtschaft | 69417663 |