Digital wachsam – besser vorbereitet auf Cyberrisiken

Handeln statt abwarten

Neue Gesetze sollen die Cybersicherheit in den EU-Mitgliedsstaaten stärken. Welche Unternehmen betroffen sind und was auf sie zukommt.

Von Josef Stelzer, IHK-Magazin 4/2026

Mindestens jeder 5. Betrieb in Bayern wurde 2025 Opfer eines erheblichen Cyberangriffs. Dieses Ergebnis der IHK-Digitalisierungsumfrage zeigt, dass Ransomware, Phishing-Angriffe und DDoS-Attacken längst nicht nur Konzerne, öffentliche Einrichtungen oder kritische Infrastrukturen bedrohen, sondern auch für mittelständische Unternehmen Alltag sind. Die neuen gesetzlichen Vorgaben NIS-2 (Network and Information Security 2) sowie der Cyber Resilience Act (CRA) sollen EU-weit für mehr digitale Sicherheit sorgen. Das bringt für viele Firmen neue Aufgaben.

Im Rahmen des CRA sind die Hersteller von Hard- und Software beispielsweise verpflichtet, für die Lebensdauer ihrer Produkte Sicherheitsupdates bereitzustellen. Die EU-Vorgaben sollen bis Ende 2027 komplett umgesetzt sein. Die NIS-2-Pflicht wiederum gilt seit Dezember 2025. In Deutschland sind etwa 30.000 Unternehmen aus verschiedenen Branchen direkt betroffen, von der Abfallwirtschaft über den Maschinenbau bis hin zu Energieversorgern, Wasserwerken und Dienstleistern.

Pflichtkatalog Cybersicherheit

Die Unternehmen müssen nachweisen, dass sie auf Cyberrisiken vorbereitet und gegen die Gefahren gewappnet sind. Zum Pflichtenkatalog gehören unter anderem Risikoanalysen, Schutzmaßnahmen sowie Notfall- und Wiederanlaufkonzepte.

Zudem ist eine Vielzahl weiterer Betriebe indirekt von NIS-2 betroffen. So wie zum Beispiel die Techcast GmbH. Das Münchner Unternehmen erstellt auf seiner Plattform Online-Events für Kunden, etwa virtuelle Hauptversammlungen, Webinare, Kundenveranstaltungen oder Pressekonferenzen. Für Techcast besteht zwar keine NIS-2-Pflicht, aber indirekt ist das Unternehmen sehr wohl berührt.

„Unsere NIS-2-pflichtigen Kunden müssen in ihren Lieferketten sicherstellen, dass ihre Zulieferbetriebe die Anforderungen erfüllen, also auch wir“, erklärt Geschäftsführerin und Firmeninhaberin Rosie Schuster (59). „Wir wollen so sicher sein wie irgend möglich. Damit zeigen wir unseren Kunden, dass wir die Anforderungen zur Cybersicherheit fest verankert haben.“

ISO-Zertifikat verringert Aufwand

Viele der NIS-2-Vorgaben sind in anderen Sicherheitsvorschriften bereits enthalten, beispielsweise in bestimmten ISO-Normen, im IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder im Cyber Resilience Act (CRA). „Manche Vorgaben überschneiden sich, etwa die systematische Bewertung von Informationssicherheitsrisiken und die Anforderungen in Lieferketten“, hat die Unternehmerin festgestellt. Sie betont, dass ihr Betrieb viele der neuen Vorschriften längst erfüllt. „Wir sind schon seit 2024 nach ISO 27001 zertifiziert und zeigen damit, dass wir alle Vorschriften im Bereich Informationssicherheitsmanagement einhalten.“

Thorsten Krause im Anzug vor modernem Bürohintergrund, Experte für Informationstechnologierecht in München.

Thorsten Krause, Fachanwalt für Informationstechnologierecht, KAP Rechtsanwaltsgesellschaft München

Für Techcast gelten als Softwarehersteller auch die CRA-Vorgaben. Demnach wird das Unternehmen unter anderem verpflichtet sein, bereits bei der Produktentwicklung die IT-Sicherheit zu berücksichtigen und Schwachstellen systematisch zu beseitigen. „Auch Transport- und Verkehrsbetriebe oder Lebensmittelhersteller wie zum Beispiel Molkereien und Unternehmen in vielen anderen Branchen können ab einer bestimmten Größe NIS-2-pflichtig sein“, sagt Thorsten Krause (44), Fachanwalt für Informationstechnologierecht bei der KAP Rechtsanwaltsgesellschaft mbH in München.

Krause rät Unternehmen, im ersten Schritt eine NIS-2-Betroffenheitsprüfung auf der Website des Bundesamts für Sicherheit in der Informationstechnik (BSI) durchzuführen (bsi.bund.de). Die Bonner Bundesbehörde schlägt zudem 10 Maßnahmen zur praktischen Umsetzung der Vorgaben vor.

Persönliche Haftungsrisiken der Geschäftsführer

Der Jurist betont die für Geschäftsführer geltenden Fortbildungs- und Überwachungspflichten. „Sie müssen Cybersicherheitsmaßnahmen genehmigen, umsetzen sowie überwachen und haften persönlich für Umsetzung und Einhaltung.“ Bei einem Verstoß entstehen persönliche Haftungsrisiken. Und Sicherheitsvorfälle, die einen beträchtlichen Schaden verursacht haben oder bewirken könnten, zum Beispiel Ransomware-Attacken, sind innerhalb von 24 Stunden beim BSI zu melden.

„Es besteht in Deutschland viel Nachholbedarf in puncto NIS-2 oder CRA“, warnt Krause und bekräftigt deren Bedeutung: „Sie sind letztlich auch Bausteine unserer digitalen Landesverteidigung.“

IHK-Veranstaltungstipp: Webinarreihe „Umsetzen statt abwarten: Neue Spielregeln für die Cybersicherheit“

Die bayerischen IHKs bieten seit 16. März 2026 praxisnahe Webinare an zu NIS-2 und dem Cyber Resilience Act (CRA). Insbesondere kleine und mittlere Unternehmen erhalten praxisorientierte Unterstützung bei der systematischen Verbesserung ihrer IT-Sicherheit, gerade im Rahmen der Vorbereitungen auf die neuen Pflichten. Erfahrene IT-Sicherheitsexperten zeigen praktikable Schutzmaßnahmen auf und geben umsetzbare Empfehlungen für den Alltag.

Winfried Schnitzler, Leiter Corporate Governance bei der Münchner M-net Telekommunikations GmbH, verweist auf den zusätzlichen Dokumentationsaufwand, der durch die NIS-2-Vorgaben entsteht. Dazu gehören etwa Risikoanalysen, Bewertungen und Nachweise der umgesetzten technisch-organisatorischen Maßnahmen sowie Notfallpläne.

Wie ist beispielsweise vorzugehen, wenn die gesamte betriebliche Kommunikationsinfrastruktur ausfällt? „In diesem Fall müssen alternative Kommunikationswege implementiert werden können, etwa mit Mobilfunknetzen oder Messengerdiensten, sofern damit die Kommunikation verschlüsselt und gesichert wird“, erläutert Schnitzler.

„Denkbar ist auch, dass ausgewählte Dienstleister eine komplette betriebliche Kommunikationsinfrastruktur implementieren, wenn die eigene ausfällt.“ Der Zugriff auf Notfallhandbücher muss sichergestellt sein, zum Beispiel in der Cloud.

18 Monate, 760 Arbeitsstunden

„Der Zeitaufwand für die NIS-2-Einführung war erheblich“, berichtet der Cybersicherheitsexperte. Rund 18 Monate dauerte es, dabei wandte das Unternehmen insgesamt 760 Arbeitsstunden auf, also rund 95 Arbeitstage.

Sein Resümee: „Der Mehrwert dieser gesetzlichen Regelung ist für uns relativ gering, da wir als Unternehmen der kritischen Infrastruktur einen Großteil der durch NIS-2 geforderten Sicherheitsmaßnahmen durch unsere Zertifizierung nach ISO 27001:22 und durch die Vorgaben des Telekommunikationsgesetzes bereits erfüllen.“ Immerhin: Bei allen Mitarbeitenden, die an der NIS-2-Umsetzung beteiligt waren, habe sich die Sensibilität für Cybersicherheit spürbar erhöht.