NIS-2: Zehntausende deutsche Firmen verpassen Frist und riskieren Millionenstrafen ( Finanztrends)

Die Schonfrist ist vorbei: Seit dem 6. März 2026 müssen Zehntausende deutsche Unternehmen mit drastischen Bußgeldern rechnen, weil sie die Registrierungspflicht der EU-Cybersicherheitsrichtlinie NIS-2 ignoriert haben. Neue Daten zeigen ein massives Vollzugsdefizit.

Nach dem Stichtag haben sich nur etwa 11.500 der geschätzt 30.000 betroffenen Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert. Das bedeutet: Rund 18.000 Firmen befinden sich aktuell im Zustand der Rechtsverletzung. Das deutsche Umsetzungsgesetz, das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), ist seit Dezember 2025 in Kraft. Die Phase der aktiven Durchsetzung hat begonnen.

Anzeige

Angesichts der verschärften Lage durch NIS-2 und neue Digital-Gesetze stehen viele Unternehmen vor massiven Haftungsrisiken. Dieser Experten-Report enthüllt effektive Strategien zur Stärkung Ihrer IT-Sicherheit, ohne dass Ihr Budget explodiert. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Massive Nachzügler – vor allem im Mittelstand

Das Ausmaß der Versäumnisse überrascht Fachleute. Besonders betroffen sind Branchen wie das Gesundheitswesen, der produzierende Sektor und die Abfallwirtschaft. Viele mittelständische Unternehmen haben offenbar nicht erkannt, dass sie durch die erweiterte NIS-2-Richtlinie nun in den regulatorischen Fokus geraten sind.

Die Konsequenzen sind unmittelbar und schwerwiegend. Das BSI kann nun Compliance-Prüfungen einleiten und Sanktionen verhängen. Die Bußgelder können bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen – je nachdem, welcher Wert höher ist. Rechtsberater raten Nachzüglern dringend, die Registrierung im noch geöffneten BSI-Portal sofort nachzuholen. Dies könnte die Höhe möglicher Strafen mindern.

Paradigmenwechsel: Haftung trifft die Vorstände persönlich

Die NIS-2-Richtlinie markiert einen fundamentalen Wandel. Während die Vorgängerregelung von 2016 nur etwa 2.000 Betreiber Kritischer Infrastrukturen (KRITIS) umfasste, erweitert NIS-2 den Kreis radikal. 18 Sektoren – von der Lebensmittelproduktion über die chemische Industrie bis zur digitalen Infrastruktur – sind nun erfasst. Grundsätzlich gilt die Pflicht für Unternehmen in diesen Bereichen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz bzw. einer Bilanzsumme von über 10 Millionen Euro.

Der vielleicht einschneidendste Punkt ist die neue persönliche Haftung für Geschäftsleitungen. Cybersicherheit ist keine rein technische Frage mehr, die an die IT-Abteilung delegiert werden kann. Sie wird zur gesetzlichen Führungsaufgabe. Vorstände und Geschäftsführer müssen Sicherheitsmaßnahmen genehmigen, überwachen und fortlaufend kontrollieren. Bei pflichtwidrigem Versagen haften sie persönlich – im Extremfall mit ihrem Privatvermögen.

Drei-Stufen-Meldepflicht zwingt zu Investitionen

Neben der Registrierung warten weitere Pflichten. Unternehmen müssen umfassende technische und organisatorische Maßnahmen (TOMs) umsetzen. Dazu gehören Risikoanalysen, Notfallkonzepte und verbindliche Schulungen für Mitarbeiter und Führungskräfte.

Anzeige

Da die EU-Regulierung auch für neue Technologien wie KI strikte Dokumentations- und Sicherheitsvorgaben macht, sollten Verantwortliche jetzt handeln. Dieser kostenlose Leitfaden erklärt Ihnen kompakt und verständlich, welche neuen Pflichten für Ihr Unternehmen gelten und wie Sie diese rechtssicher umsetzen. Gratis E-Book zur KI-Verordnung sichern

Besonders herausfordernd ist die neue Meldepflicht bei Sicherheitsvorfällen. Sie sieht einen dreistufigen Prozess vor:
1. Frühwarnung an das BSI innerhalb von 24 Stunden nach Entdeckung.
2. Detaillierter Incident-Bericht innerhalb von 72 Stunden.
3. Abschließender Evaluierungsbericht innerhalb von 30 Tagen.

Diese engen Zeitfenster sind mit manuellen Prozessen kaum einzuhalten. Berater beobachten daher einen Boom bei Nachfragen nach automatisierten Monitoring-Tools und Managed-Security-Dienstleistungen.

Analyse: Ein neues Zeitalter der digitalen Resilienz

Die niedrige Registrierungsquote offenbart eine Kluft zwischen europäischen Regulierungsambitionen und der betrieblichen Realität des deutschen Mittelstands. Vergleiche mit der chaotischen Einführung der DSGVO 2018 drängen sich auf. Experten betonen jedoch: NIS-2 geht viel tiefer. Es geht nicht mehr nur um Datenschutz, sondern um die operative Widerstandsfähigkeit und die Sicherung ganzer Lieferketten.

Der Markt reagiert bereits heftig. Anbieter von Compliance-Software und Sicherheitsdienstleistungen verzeichnen eine überwältigende Nachfrage. Die Richtlinie macht Cybersicherheit zur Grundvoraussetzung für die Teilnahme am europäischen Wirtschaftsleben. Unternehmen, die nicht konform sind, riskieren nicht nur Strafen, sondern auch den Ausschluss aus Lieferketten, da konforme Partner ihre Zulieferer überprüfen müssen.

Die kommenden Monate werden zum Stresstest für die Durchsetzungsfähigkeit des BSI. Es werden erste Warnungen und Stichproben erwartet. Für die deutsche Wirtschaft beginnt mit der verpassten Frist eine neue Ära: Digitale Resilienz ist kein Wettbewerbsvorteil mehr, sondern eine überlebenswichtige Pflicht.

Christian Drastil: Wiener Börse Plausch

Wiener Börse Party #1142: ATX leicht schwächer (mit aber), AT&S sorgt für irren Effekt, Auffälligkeit bei Semperit, KESt-Auflösung morgen

Bildnachweis

1. Trading

Random Partner

---

Verbund
Verbund ist Österreichs führendes Stromunternehmen und einer der größten Stromerzeuger aus Wasserkraft in Europa. Mit Tochterunternehmen und Partnern ist Verbund von der Stromerzeugung über den Transport bis zum internationalen Handel und Vertrieb aktiv. Seit 1988 ist Verbund an der Börse.

>> Besuchen Sie 55 weitere Partner auf boerse-social.com/partner

 Latest Blogs

» Börse-Inputs auf Spotify zu u.a. AT&S, Semperit, KESt

» ATX knapp im Minus – doch der Total Return erzählt eine andere Geschicht...

» Österreich-Depots: Weekend Bilanz (Depot Kommentar)

» Börsegeschichte 24.4.: Grösste Indexumstellung ever, EVN (Börse Geschich...

» Wiener Börse Party #1142: ATX leicht schwächer (mit aber), AT&S sorgt fü...

» Nachlese: Frederic Esters Yes, Korinna Schumann, Markus Marterbauer, Pau...

» Wiener Börse zu Mittag leichter: AT&S, Frequentis und Palfinger gesucht

» PIR-News: Addiko, Andritz, Porr, Asta Energy, Uniqa, Fondsvolumen (Chris...

» Von der Fussball-EM zur Agentur-Geschäftsführung: Der "Börsepeople"-Podc...

» Börsepeople im Podcast S24/18: Frederic Esters