Deutsche Unternehmen ignorieren NIS2-Pflichten massiv

Deutsche Unternehmen wiegen sich in gefährlicher Sicherheit: Laut dem Cyber Security Report 2026 von Schwarz Digits unterschätzen 48 Prozent der befragten Firmen ihre Verpflichtungen unter der NIS2-Richtlinie massiv. Bei umsatzstarken Kleinunternehmen mit 10 bis 49 Mitarbeitern und mehr als 10 Millionen Euro Jahresumsatz schließen sogar 92 Prozent eine Betroffenheit fälschlicherweise aus – obwohl sie regulierungspflichtig sind.

Die repräsentative Umfrage unter 1.001 deutschen Unternehmen offenbart ein dramatisches Informationsdefizit. Während Cyberangriffe der deutschen Wirtschaft jährlich über 202 Milliarden Euro kosten und 70 Prozent aller Wirtschaftsschäden ausmachen, fehlt vielen Betrieben das Bewusstsein für ihre rechtlichen Pflichten. Die NIS2-Richtlinie ist in Deutschland seit dem 6. Dezember 2025 in Kraft und sieht empfindliche Sanktionen vor: Bei besonders wichtigen Einrichtungen drohen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent.

„Cybersicherheit ist im Jahr 2026 keine IT-Aufgabe mehr, sondern eine Existenzfrage für jede Geschäftsführung“, warnt Christian Müller, Co-CEO von Schwarz Digits. „Wer NIS2 als bürokratische Last missversteht, riskiert nicht nur schmerzhafte Sanktionen, sondern die operative Substanz seines Unternehmens.“

Besonders kritisch: 62 Prozent der Unternehmen fühlen sich bei der NIS2-Einführung von Behörden unzureichend unterstützt. Nur 21 Prozent attestieren politischen und verwaltungstechnischen Maßnahmen ausreichenden Schutz. Die Länder schneiden mit 7 Prozent positiver Bewertung am schlechtesten ab, gefolgt von Kommunen mit 12 Prozent und dem Bund mit 15 Prozent.

Künstliche Intelligenz als unterschätztes Risiko

Während 73 Prozent der großen Unternehmen klare Regeln zum KI-Einsatz implementiert haben, stufen 54 Prozent aller Befragten das Cyberrisiko durch KI-Nutzung als nicht oder überhaupt nicht vorhanden ein. Dr. Alexander Schellong, Managing Director Institutes, Accelerators & Cybersecurity bei Schwarz Digits, zeichnet ein düsteres Bild: „In den nächsten zwölf Monaten werden autonome KI-Angriffe unsere heutigen Sicherheitsansätze überrennen. Ein zentrales Ziel wird dabei die Manipulation von KI-Entscheidungen in der realen Welt sein – der sogenannte kinetische Prompt-Hack.“

Mit diesem Begriff beschreibt Schellong Angriffe, bei denen manipulierte Eingaben die KI-Systeme zu Entscheidungen bringen, die physische Konsequenzen haben – etwa in autonomen Systemen, Robotik oder Steuerungssystemen. Die Gefahr: Solche Angriffe erfordern keine menschliche Interaktion und sind schwer zu verhindern.

Lieferketten als Einfallstor

Jedes zweite Unternehmen registriert Angriffe bei Zulieferern, doch 75 Prozent verzichten auf regelmäßige Sicherheitsaudits ihrer Partner. Nur ein Drittel überblickt die tatsächlichen Abhängigkeiten in der Lieferkette. Besonders verheerend: IT-Dienstleister und kompromittierte Software-Updates zählen zu den schadenträchtigsten Bedrohungen. Nach Lieferkettenangriffen kann die vollständige Betriebswiederherstellung bis zu 30 Tage dauern.

Die Cybersicherheitsbudgets liegen zwar im Durchschnitt bei 17 Prozent des IT-Budgets, bleiben aber reaktiv und regulatorisch getrieben. Trotz der massiven Bedrohungslage investieren nur 13 Prozent der Unternehmen gezielt in dedizierte Ressourcen zur Reduktion technologischer Abhängigkeiten – obwohl 42 Prozent bereit wären, für souveräne Lösungen mehr zu bezahlen.

Digitale Souveränität bleibt Wunschdenken

Mit dem EU Cloud Sovereignty Framework führt der Report ein neues Bewertungsmodell für digitale Souveränität ein. Von 27 analysierten Enterprise-Produkten erfüllen nur 10 die EU-Mindestanforderungen. EU-basierte Open-Source-Lösungen führen das Ranking an, während außereuropäische proprietäre Plattformen oft aufgrund jurisdiktioneller Abhängigkeiten wie dem US CLOUD Act durchfallen. Dennoch fließen aktuell 80 Prozent der EU-Softwareausgaben an US-Anbieter.

„Digitale Souveränität ist zur strategischen Notwendigkeit gereift“, betont Rolf Schumann, Co-CEO von Schwarz Digits. „Wer sich in einseitige Abhängigkeiten außereuropäischer Plattformen begibt, verliert langfristig die Kontrolle über seine Daten und seine Handlungsfähigkeit.“

Die Frustration über rein defensive Strategien zeigt sich deutlich: 79 Prozent der Unternehmen befürworten staatliche Hackbacks, über 50 Prozent wünschen sich Hackback-Befugnisse sogar für private Akteure. Der Report wertet dies als Zeichen wachsender Frustration über die defensive Positionierung gegenüber professionalisierten Angreifern.

Der vollständige Cyber Security Report 2026 wurde am 5. März 2026 auf der Cyber Security Conference in Heilbronn veröffentlicht.

(fo)