Etwa 29.500 betroffene Einrichtungen in Deutschland müssen bis zum 31. Juli 2026 die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) abschließen. Die Frist resultiert aus der Umsetzung der NIS2-Richtlinie.
Persönliche Haftung und Bußgelder unter der NIS2-Richtlinie
Die Cybersicherheit ist seit Dezember 2025 durch das Umsetzungsgesetz zur NIS2-Richtlinie eine explizite Leitungsaufgabe. Die rechtlichen Konsequenzen bei Vernachlässigung sind massiv. Gemäß Paragraf 38 des BSIG haftet die Geschäftsführung bei grober Fahrlässigkeit persönlich.Die finanziellen Risiken bei Verstößen variieren je nach Quelle in der Höhe der maximalen Bußgelder. Während ein Bericht von Börse Express von Strafen bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes spricht, nennt eine andere Meldung desselben Mediums eine Grenze von 10 Millionen Euro bzw. 2 Prozent des weltweiten Jahresumsatzes.Zusätzlicher Druck entsteht durch den EU Cyber Resilience Act, der im September 2026 in Kraft tritt. Dieser sieht eine 24-stündige Meldepflicht für ausgenutzte Sicherheitslücken vor. Nur 13 Prozent der Unternehmen kennen derzeit die spezifischen Anforderungen dieser Regelung.Personalnot und die Rolle des Datenschutzbeauftragten
In der Praxis klafft eine Lücke zwischen den gesetzlichen Anforderungen und der personellen Ausstattung. Eine Umfrage von Dury Consult unter 500 Firmen mit mehr als 500 Mitarbeitern zeigt, dass sechs von sieben Datenschutzverantwortlichen ihre Aufgaben lediglich im Nebenjob erledigen. Nur 16 Prozent der befragten Organisationen besetzen diese Position exklusiv.Die Verantwortlichkeiten verschwimmen zunehmend:- 22 Prozent der Verantwortlichen betreuen gleichzeitig die IT-Sicherheit.
- 17 Prozent übernehmen zusätzlich Aufgaben im Qualitätsmanagement.
- 17 Prozent der Fälle sehen die Geschäftsführung oder den Vorstand in der persönlichen Ausführung der Aufgaben.
Strategien kleiner und mittlerer Unternehmen gegen den Fachkräftemangel
KI-Governance und die Transformation der Sicherheitsberufe

Reformen der Datenschutzkonferenz und interne Risiken
Parallel zur NIS2-Umsetzung streben die unabhängigen Landesbeauftragten eine Modernisierung des Datenschutzes an. Die im Juli vorgelegten Stuttgarter Impulse zur Modernisierung des Datenschutzes zielen auf eine effizientere Zusammenarbeit der Kontrollinstanzen ab. Die Datenschutzkonferenz (DSK) soll gesetzlich verankert werden und eine gemeinsame Entscheidungsdatenbank sowie ein zentrales digitales Portal aufbauen. Die Notwendigkeit ergibt sich aus der hohen Belastung der Behörden; im Jahr 2025 gingen bundesweit über 60.000 Beschwerden ein.Neben externen Angriffen rücken interne Risiken in den Fokus. Experten schätzen, dass Insider für etwa ein Fünftel bis ein Viertel aller Datenverluste verantwortlich sind. Im Bereich der generativen KI warnen Berater vor organisatorischen Fehlern. Eine MIT-Studie aus 2025 ergab, dass ein Großteil der Pilotprojekte in diesem Bereich keinen messbaren Nutzen erbrachte.Ein aktuelles Beispiel für die Verschärfung von Bedingungen bei KI-Anbietern liefert Samsung Health. Ab Mitte Juli 2026 fordert das Unternehmen die Einwilligung zur Nutzung von Gesundheitsdaten für das KI-Training. Nutzer, die dies verweigern, riskieren die Löschung synchronisierter Daten, was derzeit juristisch auf die Freiwilligkeit der Einwilligung bei sensiblen Daten geprüft wird.Ein weiterer rechtlicher Druckpunkt folgt im September 2026: Eine Reform des Gesetzes gegen den unlauteren Wettbewerb (UWG) soll bei Datenschutzverstößen Bußgelder von bis zu 4 Prozent des Jahresumsatzes ermöglichen.Find more reporting in our Unternehmen section.
