Neue Cyber-Pflichten für Unternehmen – Frist läuft, viele haben sich noch nicht registriert

Neue Cyber-Pflichten für Unternehmen – Frist läuft, viele haben sich noch nicht registriert

X Reddit WhatsApp
03.03.2026

Die Uhr läuft: Mit der Umsetzung der europäischen NIS-2-Richtlinie verschärfen sich die gesetzlichen Anforderungen an die IT-Sicherheit in Deutschland deutlich. Tausende Unternehmen müssen sich registrieren, Sicherheitsmaßnahmen einführen und Cyberangriffe künftig schneller melden. Doch Experten gehen davon aus, dass viele Firmen noch gar nicht realisiert haben, dass sie betroffen sind.

Was das neue Gesetz eigentlich macht

Die NIS-2-Richtlinie ist eine europäische Vorgabe zur Stärkung der Cybersicherheit. Sie erweitert die bisherigen Regeln für kritische Infrastruktur erheblich und betrifft nun deutlich mehr Branchen. Ziel ist es, Unternehmen besser gegen Cyberangriffe, Industriespionage und Sabotage zu schützen.

In Deutschland erfolgt die Umsetzung über neue IT-Sicherheitsvorgaben unter Aufsicht des Bundesamts für Sicherheit in der Informationstechnik (BSI). Unternehmen müssen dort registriert sein und nachweisen können, dass sie Risiken für ihre IT-Systeme systematisch überwachen.

Zu den wichtigsten Pflichten gehören:

  • Risikomanagement für IT- und Netzwerksicherheit
  • Meldepflicht bei Cybervorfällen
  • Überwachung durch Geschäftsführung oder Vorstand
  • Sicherheitsprüfungen durch Behörden

Bei Verstößen drohen empfindliche Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Frist: Bis März müssen sich tausende Firmen registrieren

Für viele Unternehmen läuft aktuell eine entscheidende Frist. Schätzungen zufolge müssen sich rund 29.000 deutsche Organisationen beim BSI registrieren. Die Registrierung ist Voraussetzung dafür, dass Behörden Sicherheitsvorfälle koordinieren und Unternehmen im Krisenfall schnell informieren können.

Betroffen sind vor allem größere Unternehmen aus Branchen wie:

  • Industrie und Maschinenbau
  • Logistik und Verkehr
  • Energie und Versorgung
  • Gesundheitswesen
  • IT-Dienstleistungen und digitale Infrastruktur

Auch viele mittelständische Betriebe fallen erstmals unter die neuen Regeln, sobald sie mehr als etwa 50 Mitarbeiter oder über zehn Millionen Euro Umsatz haben.

Problematisch: Branchenbeobachter gehen davon aus, dass sich bisher nur ein Teil der betroffenen Unternehmen registriert hat. Viele Firmen haben die neuen Vorgaben noch nicht vollständig umgesetzt.

Warum strengere Cyberregeln notwendig sind

Der Hintergrund der neuen Regeln ist die wachsende Bedrohung durch Cyberangriffe auf Unternehmen und Infrastruktur. Besonders problematisch sind Angriffe auf industrielle Produktionsanlagen oder Fernwartungszugänge.

In modernen Fabriken sind Produktionsmaschinen häufig mit Büro-IT und Internet verbunden. Wird ein Zugang kompromittiert, können Angreifer theoretisch ganze Produktionslinien stoppen oder manipulieren.

Studien zeigen, dass bereits ein signifikanter Anteil der Industrieunternehmen von Cyberangriffen betroffen war – teilweise mit schweren wirtschaftlichen Schäden.

Warum manche Industrieanlagen sogar im Internet auffindbar sind

Ein weiterer Grund für strengere Sicherheitsregeln: Einige industrielle Steuerungen sind öffentlich im Internet sichtbar. Spezielle Suchmaschinen scannen automatisiert das Netz nach offenen Geräten und Diensten.

Solche Scanner funktionieren ähnlich wie eine Suchmaschine – sie durchsuchen das Internet nach bestimmten Netzwerkdiensten oder offenen Ports. Wenn beispielsweise eine Maschinensteuerung ohne ausreichende Absicherung erreichbar ist, kann sie so gefunden werden.

Das bedeutet nicht automatisch, dass ein System direkt angreifbar ist. Sichtbarkeit allein kann aber bereits ein Risiko darstellen, weil potenzielle Angreifer gezielt nach solchen Systemen suchen können.

Sind auch Kitas betroffen?

Die meisten Kindertagesstätten sind von NIS-2 nicht direkt betroffen. Kleine Einrichtungen mit wenigen Mitarbeitern fallen in der Regel nicht unter die neuen Schwellenwerte.

Anders kann es jedoch aussehen, wenn Einrichtungen Teil größerer Organisationen sind – etwa kommunaler Träger oder großer sozialer Verbände mit umfangreicher IT-Infrastruktur. In solchen Fällen können einzelne Bereiche indirekt unter die Sicherheitsanforderungen fallen.

Mehr Verantwortung für Unternehmen

Mit NIS-2 verschiebt sich die Verantwortung für IT-Sicherheit stärker auf die Unternehmensführung. Cyberrisiken werden damit zunehmend zu einem strategischen Thema – ähnlich wie Datenschutz oder Arbeitssicherheit.

Für viele Unternehmen bedeutet das einen Kulturwandel: IT-Sicherheit wird nicht mehr nur als technisches Detail betrachtet, sondern als zentrale Voraussetzung für einen stabilen Geschäftsbetrieb.

Mehr aktuelle Entwicklungen

Weitere Veränderungen, Trends und stille Verschiebungen beobachten wir täglich.

→ Alle aktuellen News ansehen
Von Jens Könnig
Einordnung & Redaktion
Aktualisiert am 03.03.2026 22:12

Weitere aktuelle Entwicklungen

→ Lenovo AI-PCs mit Qira: Der Computer wird zum Assistenten → Claude nutzt plötzlich clau.de – was steckt hinter der neuen Adresse? → Pokémon wird 30: Warum Nintendo jetzt gezielt auf Nostalgie statt Innovation setzt