NIS2-Richtlinie: 2,2 Milliarden Euro Kosten für deutsche Firmen

Zu diesem Ergebnis kommen Experten auf der heutigen „State of Security“-Konferenz in Berlin. Rund 170 Teilnehmer diskutierten dort über die drängendsten Fragen der digitalen Verteidigung.

KI treibt Angriffswelle an

Die zentrale Botschaft der Veranstaltung: Cybersicherheit muss Chefsache werden. Friedrich P. Kötter und weitere Fachleute betonten, dass die rasante Entwicklung der Künstlichen Intelligenz als Brandbeschleuniger für Phishing- und Ransomware-Attacken wirkt. Unternehmen können es sich schlicht nicht mehr leisten, das Thema auf der IT-Abteilung abzuladen.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern und neue gesetzliche Anforderungen ohne hohe Investitionen erfüllen. Kostenloses Cyber-Security-E-Book jetzt herunterladen

Die Zahlen sind alarmierend. Laut der Bitkom-Studie „Wirtschaftsschutz 2025“ waren 87 Prozent der deutschen Unternehmen innerhalb eines Jahres von Diebstahl, Spionage oder Sabotage betroffen. Der wirtschaftliche Schaden: gigantische 289,2 Milliarden Euro. Allein 70 Prozent dieser Kosten gehen auf Cyberangriffe zurück.

Budgets steigen – Lücken bleiben

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Bitkom empfehlen, 20 Prozent des gesamten IT-Budgets für Sicherheit auszugeben. Die Realität sieht anders aus: Deutsche Firmen liegen im Schnitt bei rund 18 Prozent. Das klingt nach einer kleinen Lücke – doch die Folgen sind gewaltig.

Eine Umfrage der FU Berlin und anderer Institute unter 1.224 Unternehmen zeigt: Zwar haben 91 Prozent der Firmen Sicherheitsmaßnahmen implementiert. Aber nur 17 Prozent der größten Unternehmen planen weitere Verbesserungen. Ein gefährlicher Stillstand. Die Deloitte-Studie „Global Future of Cyber Survey 2024“ untermauert das: 97 Prozent der Firmen im DACH-Raum meldeten innerhalb eines Jahres Vorfälle.

Angreifer werden immer schneller

Die entscheidende Entwicklung: Die „Time-to-Exploit“ schrumpft dramatisch. Während einer aktuellen Computerwoche-Runde wurde deutlich, dass KI es Angreifern ermöglicht, innerhalb von Sekunden oder Minuten Exploits zu generieren – sobald eine Sicherheitslücke bekannt wird.

Palo Alto Networks berichtet von einem drastischen Anstieg: Dank KI-gestützter Code-Analyse identifizierte das Unternehmen in einem einzigen Monat 26 kritische Schwachstellen (CVEs). Bisher waren es weniger als fünf.

Der Check Point Cloud Security Report 2026 offenbart eine gefährliche Kluft: 77 Prozent der IT-Profis haben zwar eine KI-Sicherheitsstrategie – aber nur 26 Prozent haben die nötige Architektur umgesetzt. Gartner prognostiziert, dass bis 2028 jeder vierte Sicherheitsvorfall über KI-Agenten erfolgen wird. Trotzdem nutzen laut einer Studie von Hornetsecurity und Proofpoint vom März 2026 gerade einmal 32 Prozent der Entscheider KI zur Verteidigung.

NIS2: Milliardenlast für die Wirtschaft

Die regulatorischen Anforderungen verschärfen die Lage zusätzlich. Auf einer Podiumsdiskussion der ANGA COM am 20. Mai 2026 wurde klar: Die Umsetzung der NIS2-Richtlinie wird deutsche Unternehmen rund 2,2 Milliarden Euro einmalig und weitere 2,3 Milliarden Euro jährlich kosten. Schätzungsweise 29.500 Firmen fallen unter die neuen Regeln. Sie müssen Betriebskontinuität nachweisen – und Manager haften persönlich.

Neue Gesetze wie die NIS2-Richtlinie und die EU-KI-Verordnung stellen Unternehmen vor enorme Herausforderungen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Cyberrisiken Unternehmer jetzt kennen müssen. Gratis-Leitfaden für Unternehmer anfordern

Auch die Infrastruktur bleibt ein Sorgenkind. Kritische Huawei- und ZTE-Komponenten in 5G-Kernnetzen müssen bis Ende 2026 ersetzt werden, Managementsysteme bis Ende 2029. Und die Transparenz über digitale Vermögenswerte ist erschreckend gering: Nur 34 Prozent der IT-Entscheider haben einen vollständigen Überblick über ihre digitalen Zertifikate. Die Folge: Ausfälle durch abgelaufene Credentials sind programmiert.

Vom Schutz zur Widerstandsfähigkeit

Die Branche zieht Konsequenzen. Statt auf reine Prävention setzen Experten zunehmend auf Cyber-Resilienz. Ein neuer Schlüsselbegriff: die „Mean Time to Clean Recovery“ (MTCR). Ziel ist es, ein „Minimum Viable Company“ in unter sechs Stunden wiederherzustellen.

Moderne Ransomware verschlüsselt Daten innerhalb von Minuten. Managed Detection and Response (MDR) allein reicht nicht mehr – die klassische Benachrichtigungskette hinterlässt eine Reaktionslücke. Die Lösung: autonome Eindämmung auf Dateiebene, die kompromittierte Geräte in Millisekunden isoliert. Dazu kommen isolierte Wiederherstellungsumgebungen (IRE), die sicherstellen, dass Backups nicht nur vorhanden, sondern auch sauber und einsatzbereit sind.

de | wirtschaft | 69479038 |