Zum Inhalt springen
Unternehmen

NIS2-Registrierung: 29.500 Firmen verpassen Frist – Bußgelder und Haftungsrisiken drohen

Etwa 29.500 betroffene Einrichtungen in Deutschland müssen bis zum 31. Juli 2026 die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) abschließen. Die Frist resultiert aus der Umsetzung der NIS2-Richtlinie.

Persönliche Haftung und Bußgelder unter der NIS2-Richtlinie

Die Cybersicherheit ist seit Dezember 2025 durch das Umsetzungsgesetz zur NIS2-Richtlinie eine explizite Leitungsaufgabe. Die rechtlichen Konsequenzen bei Vernachlässigung sind massiv. Gemäß Paragraf 38 des BSIG haftet die Geschäftsführung bei grober Fahrlässigkeit persönlich.Die finanziellen Risiken bei Verstößen variieren je nach Quelle in der Höhe der maximalen Bußgelder. Während ein Bericht von Börse Express von Strafen bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes spricht, nennt eine andere Meldung desselben Mediums eine Grenze von 10 Millionen Euro bzw. 2 Prozent des weltweiten Jahresumsatzes.Zusätzlicher Druck entsteht durch den EU Cyber Resilience Act, der im September 2026 in Kraft tritt. Dieser sieht eine 24-stündige Meldepflicht für ausgenutzte Sicherheitslücken vor. Nur 13 Prozent der Unternehmen kennen derzeit die spezifischen Anforderungen dieser Regelung.

Personalnot und die Rolle des Datenschutzbeauftragten

In der Praxis klafft eine Lücke zwischen den gesetzlichen Anforderungen und der personellen Ausstattung. Eine Umfrage von Dury Consult unter 500 Firmen mit mehr als 500 Mitarbeitern zeigt, dass sechs von sieben Datenschutzverantwortlichen ihre Aufgaben lediglich im Nebenjob erledigen. Nur 16 Prozent der befragten Organisationen besetzen diese Position exklusiv.Die Verantwortlichkeiten verschwimmen zunehmend:
  • 22 Prozent der Verantwortlichen betreuen gleichzeitig die IT-Sicherheit.
  • 17 Prozent übernehmen zusätzlich Aufgaben im Qualitätsmanagement.
  • 17 Prozent der Fälle sehen die Geschäftsführung oder den Vorstand in der persönlichen Ausführung der Aufgaben.
Rund 37 Prozent der Befragten klagen über die wachsende Komplexität der Vorgaben, während ein Viertel Zeitmangel als zentrales Hindernis nennt. Diese Unterbesetzung könnte mit der Ressourcenpflicht aus Artikel 38 der DSGVO kollidieren.

Strategien kleiner und mittlerer Unternehmen gegen den Fachkräftemangel

🎯 NIS2-Richtlinie: Umsetzung, Pflichten & Chancen – Praxiswissen für Geschäftsführer & Entscheider
Besonders KMU reagieren auf den Mangel an internem Expertenwissen mit der Beauftragung externer Profis. Eine ESET-Studie belegt einen Anstieg des Sicherheitswissens in Betrieben mit unter 50 Mitarbeitern: Während 2023 weniger als die Hälfte über ausgeprägtes Fachwissen verfügte, sind es heute über 70 Prozent. Dennoch fühlen sich mehr als die Hälfte der Firmen den Bedrohungen ohne Hilfe nicht gewachsen.Um die rechtssichere Bewältigung zu gewährleisten, etablieren sich neue Marktmodelle. Firmen lagern die Überwachung an Managed Detection and Response (MDR) oder Cloud-Management-Dienste aus. Zudem übernehmen sogenannte Fractional CISOs die Rolle des Chief Information Security Officer auf Teilzeitbasis. Im Ernstfall holen rund 32 Prozent der Firmen externe Notfallteams für forensische Analysen hinzu.Der wirtschaftliche Hintergrund ist drastisch. Bitkom bezifferte die Schäden durch Cyberangriffe auf das produzierende Gewerbe auf rund 289,2 Milliarden Euro. 87 Prozent der deutschen Unternehmen waren innerhalb eines Jahres von Sicherheitsvorfällen betroffen.

KI-Governance und die Transformation der Sicherheitsberufe

KI-Governance und die Transformation der Sicherheitsberufe
Photo: Börse Express
Künstliche Intelligenz verändert die Berufsbilder in der Cybersicherheit grundlegend. Ein ISC2-Bericht vom Mai 2026 zeigt, dass Fachkräfte mehr Zeit in die Validierung von KI-Ergebnissen investieren müssen, da 89 Prozent der Befragten bereits fehlerhafte KI-Empfehlungen erlebt haben.Der Arbeitsmarkt verschiebt sich spürbar. 56 Prozent der Fachleute beobachten einen Rückgang bei klassischen Einstiegspositionen. Gleichzeitig entstehen neue Rollen in der KI-Governance. Laut einer SANS-Untersuchung übernehmen bereits 76 Prozent der Sicherheitsexperten Governance-Rollen für Unternehmens-KI, oft jedoch ohne formale Prüfrahmen.

Reformen der Datenschutzkonferenz und interne Risiken

Parallel zur NIS2-Umsetzung streben die unabhängigen Landesbeauftragten eine Modernisierung des Datenschutzes an. Die im Juli vorgelegten Stuttgarter Impulse zur Modernisierung des Datenschutzes zielen auf eine effizientere Zusammenarbeit der Kontrollinstanzen ab. Die Datenschutzkonferenz (DSK) soll gesetzlich verankert werden und eine gemeinsame Entscheidungsdatenbank sowie ein zentrales digitales Portal aufbauen. Die Notwendigkeit ergibt sich aus der hohen Belastung der Behörden; im Jahr 2025 gingen bundesweit über 60.000 Beschwerden ein.Neben externen Angriffen rücken interne Risiken in den Fokus. Experten schätzen, dass Insider für etwa ein Fünftel bis ein Viertel aller Datenverluste verantwortlich sind. Im Bereich der generativen KI warnen Berater vor organisatorischen Fehlern. Eine MIT-Studie aus 2025 ergab, dass ein Großteil der Pilotprojekte in diesem Bereich keinen messbaren Nutzen erbrachte.Ein aktuelles Beispiel für die Verschärfung von Bedingungen bei KI-Anbietern liefert Samsung Health. Ab Mitte Juli 2026 fordert das Unternehmen die Einwilligung zur Nutzung von Gesundheitsdaten für das KI-Training. Nutzer, die dies verweigern, riskieren die Löschung synchronisierter Daten, was derzeit juristisch auf die Freiwilligkeit der Einwilligung bei sensiblen Daten geprüft wird.Ein weiterer rechtlicher Druckpunkt folgt im September 2026: Eine Reform des Gesetzes gegen den unlauteren Wettbewerb (UWG) soll bei Datenschutzverstößen Bußgelder von bis zu 4 Prozent des Jahresumsatzes ermöglichen.

Find more reporting in our Unternehmen section.

Teilen Facebook X WhatsApp E-Mail
David Falk

Über den Autor

David Falk verantwortet das Wirtschafts- und Unternehmensressort von Germanic Nachrichten. Er berichtet ueber Maerkte, Mittelstand, Innovation und strategische Entwicklungen in deutschen und internationalen Unternehmen.

Alle Beiträge erscheinen nach redaktioneller Prüfung gemäß unseren Redaktionsrichtlinien.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.