NIS2-Registrierung, Firmen

NIS2-Registrierung: Nur 39% der Unternehmen registriert bis 31. Juli

Veröffentlicht: 14.07.2026 um 20:24 Uhr, Redaktion boerse-global.de

Nur 39 Prozent der Firmen haben sich für NIS2 registriert. Ab September drohen neue Meldepflichten und Millionenstrafen für Geschäftsführer.

NIS2 und CRA: Neue IT-Compliance-Pflichten bedrohen Unternehmen
Abstrakte Darstellung von digitalen Datenflüssen und Netzwerken, mit einem integrierten Vorhängeschloss-Symbol, das Cybersicherheit und Compliance darstellt. Illustration mit AI erstellt übermittelt durch boerse-global.de

Die Anforderungen an IT-Compliance und Datenqualität verschärfen sich dramatisch. Ende Juli läuft eine entscheidende Registrierungsfrist für die NIS2-Richtlinie ab. Gleichzeitig zeigen aktuelle Bußgeldentscheidungen: Systemische Mängel in der Datenverarbeitung führen bereits jetzt zu erheblichen finanziellen Belastungen.

Nur jedes dritte Unternehmen hat sich registriert

Für tausende deutsche Unternehmen rückt das Ende der Nachfrist zur NIS2-Registrierung am 31. Juli 2026 näher. Bisher haben sich nur rund 18.500 der schätzungsweise 29.500 betroffenen Einrichtungen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert. Das entspricht einer Quote von lediglich 39 Prozent.

Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

CRA bringt neue Meldepflichten

Am 11. September 2026 treten die Meldepflichten des Cyber Resilience Act (CRA) in Kraft. Unternehmen müssen aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden als Frühwarnung melden. Innerhalb von 72 Stunden folgt eine ausführliche Meldung über die Single Reporting Platform der ENISA. Ein Abschlussbericht muss nach 14 Tagen vorliegen.

Die Bußgelder im Rahmen des CRA können bis zu 15 Millionen Euro oder 2,5 Prozent des Umsatzes erreichen. Marktforscher schätzen die einmaligen Umstellungskosten für die deutsche Wirtschaft auf rund 2,2 Milliarden Euro. Die jährlichen Folgekosten werden mit 2,3 Milliarden Euro beziffert.

Geschäftsführer haften persönlich

Anzeige

Neue EU-Gesetze wie der Cyber Resilience Act verschärfen die Haftungsrisiken für die Unternehmensführung massiv. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um Compliance-Lücken rechtzeitig zu schließen. Jetzt Cyber-Security-Report kostenlos anfordern

Ein zentraler Aspekt der neuen Regulierung: die Verschärfung der persönlichen Verantwortlichkeit. Gemäß Paragraph 38 des BSIG haftet die Geschäftsleitung persönlich für die Umsetzung von IT-Sicherheitsmaßnahmen. Dies gilt auch für die Betriebstechnik (OT).

Trotz dieser Risiken sind die personellen Ressourcen oft unzureichend. Nur 16 Prozent der Datenschutzverantwortlichen in Unternehmen mit mehr als 500 Mitarbeitern können sich exklusiv dieser Aufgabe widmen. In 17 Prozent der Fälle ist die Geschäftsführung sogar persönlich für den Datenschutz zuständig – ein Umstand, der zu Interessenkonflikten führen kann. Zudem sind derzeit nur 13 Prozent der deutschen Unternehmen vollständig über die Anforderungen des CRA informiert.

Systemische Fehler kosten Millionen

Anzeige

Während neue Gesetze wie der CRA die IT-Sicherheit fordern, bleibt die Einhaltung bestehender Dokumentationspflichten eine kostspielige Hürde. Experten zeigen die häufig übersehenen Pflichtfelder im Verarbeitungsverzeichnis, die bei einer Prüfung sofort auffallen und hohe Bußgelder nach sich ziehen können. Kostenlose Muster-Vorlage für das Verarbeitungsverzeichnis herunterladen

Wie kostspielig Defizite in der IT-Compliance sein können, zeigt ein aktuelles Verfahren gegen die Deutsche Bank in Australien. Das Geldinstitut zahlte ein Bußgeld von zwei Millionen Australischen Dollar (ca. 1,1 bis 1,2 Millionen Euro) an die Aufsichtsbehörde ASIC. Hintergrund waren über 260.000 fehlerhafte Meldungen von OTC-Derivaten zwischen Oktober 2024 und August 2025.

Ursache war eine Codeänderung, die ursprünglich für US-amerikanische Melderegeln konzipiert worden war und fälschlicherweise auf das australische System übertragen wurde. An 208 Handelstagen führte dies zu falschen Angaben im Direction-Feld der Transaktionsmeldungen. Die Aufsichtsbehörde rügte systemische Kontrollmängel. Bereits im Frühjahr 2025 hatte die BaFin ein Bußgeld von rund 23 Millionen Euro gegen das Institut verhängt – unter anderem wegen IT-Problemen bei der Postbank-Integration.

Altlasten im Milliardenbereich

Neben den aktuellen IT-Sicherheitsvorgaben belasten auch komplexe steuerrechtliche Sachverhalte wie Cum-Ex und Cum-Cum die Finanzbranche. Eine Umfrage der BaFin unter 73 Banken, 21 Versicherern und 12 Wertpapierfirmen ergab eine potenzielle Gesamtbelastung von 7,01 Milliarden Euro. Davon entfallen 4,82 Milliarden Euro auf Cum-Cum- und 2,20 Milliarden Euro auf Cum-Ex-Geschäfte. Etwa 59 Prozent dieser Summen wurden bereits beglichen.

Angesichts dieser Dimensionen gewinnt die automatisierte Datenanalyse an Bedeutung. Anfang Juli 2026 wurde auf dem Deggendorfer Forum zur digitalen Datenanalyse die Bedeutung der Datenqualität als Schlüssel zu Risikoreduktion und Wettbewerbsfähigkeit hervorgehoben. Ein Forschungspreis wurde für eine Methode zur KI-gestützten Korrektur von Adressdaten in SAP-Systemen vergeben – sie erreicht eine Automatisierungsquote von 75 Prozent. Solche Ansätze gelten als essenziell, um den steigenden Anforderungen in einer fragmentierten Tool-Landschaft gerecht zu werden.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wirtschaft | 69768522 |