Am 7. März 2026 veröffentlicht der aktuelle Report von Schwarz Digits brisante Informationen zur Cybersicherheit in Deutschland. Der Bericht zeigt eine alarmierende Kluft zwischen der gefühlten Sicherheit und der realen Verwundbarkeit deutscher Unternehmen, insbesondere gegenüber KI-gestützten Cyberangriffen. Jährlich entstehen den Unternehmen durch Cyberangriffe Schäden von über 200 Milliarden Euro.

Trotz dieser besorgniserregenden Zahlen unterschätzen viele Firmen, insbesondere umsatzstarke Kleinunternehmen, ihre Pflichten in Bezug auf IT-Sicherheit. Laut dem Report glaubt fast die Hälfte der befragten Unternehmen fälschlicherweise, nicht von der EU-NIS-2-Richtlinie betroffen zu sein. Besonders alarmierend ist, dass bis zu 92 % der umsatzstarken Kleinunternehmen ihre sogenannte Regulierungspflicht nicht erkennen.

Neue Pflichten durch NIS-2-Richtlinie

Die NIS-2-Richtlinie, die am 27. Dezember 2022 in Kraft trat, stellt eine bedeutende Weiterentwicklung der ersten NIS-Richtlinie von 2016 dar. Sie verpflichtet nicht nur Betreiber kritischer Infrastrukturen (KRITIS), sich vor Cyber-Angriffen zu schützen, sondern auch viele andere Unternehmen. Der Bundesverband BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt, dass noch kein nationales Gesetz zur Umsetzung verabschiedet wurde, obwohl das nicht nur für KRITIS-Betreiber gesorgt werden muss.

Unternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz von über 10 Millionen Euro fallen unter die NIS-2-Richtlinie und müssen sich im BSI-Portal registrieren. Hierzu gehört auch die Verpflichtung zur Umsetzung umfassender Sicherheitsmaßnahmen, einschließlich Risikomanagement und Notfallplänen. Sicherheitsvorfälle müssen innerhalb strenger Fristen an das BSI gemeldet werden.

Compliance und Haftungsrisiken

Die Umsetzung der NIS-2-Richtlinie ist von hoher Relevanz für die Unternehmensführung, da Cybersicherheit als zentrale Compliance-Verpflichtung definiert wird. Geschäftsführer und Vorstände müssen persönlich für die Verantwortung übernehmen und die Wirksamkeit der Sicherheitsmechanismen nachweisen. Bei Nichteinhaltung drohen empfindliche Strafen: Bußgelder können bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes für besonders wichtige Sektoren betragen.

Die komplexe Sicherheitslage wird durch die Vielzahl an eingesetzten Sicherheitstools weiter erschwert. Unternehmen nutzen im Schnitt über 50 verschiedene Tools, was die laufende Überwachung und Management der IT-Sicherheit komplizierter macht. Managed Security Services gewinnen daher an Bedeutung und ermöglichen eine kontinuierliche Überwachung.

Wachsende Bedrohungen und Reaktionsfähigkeit

Cyberkriminelle nutzen bekannte Schwachstellen zunehmend aus, unterstützt durch die Automatisierung von Angriffen. Ransomware bleibt eine also bedeutende Bedrohung, besonders für kleine und mittlere Unternehmen. Eine aktuelle BITKOM-Studie zeigt, dass 87 % der Unternehmen in Deutschland von Cyberangriffen betroffen waren, vor allem durch Attacken aus Russland und China.

Angesichts dieser Risiken erkennen immer mehr Führungskräfte die Notwendigkeit, Cybersicherheit als Chefsache zu betrachten. Die Fähigkeit, Cyberangriffe schnell einzudämmen, wird nicht nur für den Schutz des Unternehmens entscheidend, sondern auch zu einem wichtigen Wettbewerbsfaktor.

Zusammenfassend sind deutsche Unternehmen gefordert, ihre Ansätze zur Cybersicherheit grundlegend zu überdenken und anzupassen. Der Handlungsdruck steigt, denn Unternehmen, die nicht rechtzeitig reagieren, riskieren nicht nur finanzielle Strafen, sondern auch existenzielle Schäden durch Cyberangriffe.