Thought Leadership
Fast die Hälfte der befragten und potenziell betroffenen Firmen hat ihre NIS2-Pflichten noch nicht erkannt. Dabei läuft die Registrierungsfrist heute ab.
Ein neuer Cyber Security Report zeigt, wie groß die Lücke zwischen regulatorischen Anforderungen und der Realität in deutschen Unternehmen ist. Rund 48 Prozent der Unternehmen, die potenziell unter die NIS2-Richtlinie fallen, haben ihre regulatorische Rolle noch nicht erkannt. Besonders drastisch ist die Fehleinschätzung bei kleineren Betrieben. Neun von zehn umsatzstarken Unternehmen mit zehn bis 49 Mitarbeitern gehen davon aus, nicht unter NIS2 zu fallen, obwohl sie sehr wohl regulierungspflichtig sind. Das geht aus dem Cyber Security Report 2026 von Schwarz Digits hervor, der auf einer repräsentativen Umfrage unter 1.001 deutschen Unternehmen basiert.
Das ist brisant. Die Richtlinie, die nun kürzlich in nationales Recht umgesetzt wurde, verpflichtet tausende Betreiber kritischer und wichtiger Einrichtungen zu konkreten Sicherheitsmaßnahmen mit empfindlichen Bußgeldern im Falle von Verstößen. Zudem endet am heutigen Freitag, den 06.03. die Registrierungsfrist für Unternehmen und Behörden, die unter die NIS2-Regeln fallen.
Gut aufgestellt – oder doch nicht?
Interessant ist der Blick auf die Selbsteinschätzung der Branche: 65 Prozent der befragten Unternehmen bewerten ihre eigene Abwehrbereitschaft als gut oder sehr gut. Gleichzeitig war bereits jedes fünfte Unternehmen Opfer eines erfolgreichen Cyberangriffs.
Die IT-Sicherheitsbudgets sind zwar auf durchschnittlich 17 Prozent des IT-Gesamtbudgets gestiegen. Doch viele Maßnahmen bleiben reaktiv oder werden allein durch regulatorischen Druck angetrieben, nicht durch echtes Risikobewusstsein. Genau das widerspricht dem Geist von NIS2, die einen proaktiven, risikobasierten Ansatz und kontinuierliches Sicherheitsmanagement vorschreibt.
Lieferkette: Weggucken als Strategie
Besonders grob wird bei der Lieferkettensicherheit geschludert, einem der Kernthemen von NIS2. Obwohl bereits jedes zweite Unternehmen Angriffe bei Zulieferern registriert hat, verzichten 75 Prozent der Befragten vollständig auf Sicherheitsaudits bei ihren Lieferanten. NIS2 fordert hier explizit, dass betroffene Organisationen auch die Cybersicherheit ihrer Dienstleister und Zulieferer im Blick behalten. Wer das ignoriert, riskiert nicht nur Angriffe, sondern auch direkte Haftung der Geschäftsleitung.
Was NIS2 konkret verlangt
Die Richtlinie gilt für Unternehmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz in definierten Sektoren: Energie, Transport, Gesundheit, digitale Infrastruktur und Teile des verarbeitenden Gewerbes. Betroffene Organisationen müssen Risikoanalysen durchführen, Maßnahmen zur Zugriffskontrolle und Verschlüsselung einführen, Sicherheitsvorfälle innerhalb von 24 Stunden melden und die Geschäftsleitung persönlich in die Pflicht nehmen.
Wer das ignoriert, für den wird’s teuer. Für wesentliche Einrichtungen in kritischen Sektoren drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Hinzu kommt die persönliche Haftung der Geschäftsleitung. Unwissenheit schützt dabei ausdrücklich nicht vor Konsequenzen.
Dabei verschärft sich die Lage kontinuierlich. Ransomware agiert laut Schwarz Digits als industrialisiertes Ökosystem, künstliche Intelligenz erhöht die Schlagkraft der Angreifer und die Einstiegshürden in die Cyberkriminalität sinken gleichzeitig. In Deutschland entfallen mittlerweile 70 Prozent der Wirtschaftsschäden auf Cyberangriffe, heißt es in dem Bericht.
