IT-Notfall-Telefon:  +49 8685 9009000

NIS2 & CRA: Strategische Weichenstellung oder bürokratischer Kraftakt?

Die Bedrohungslage im Cyberraum ist im Jahr 2026 keine abstrakte Gefahr mehr, sondern eine tägliche Realität - das legt der aktuelle Cyber Security Report der "Schwarz Digits" dar.

Die operative Substanz unseres Wirtschaftsstandortes wird durch die zunehmenden Gefahren bedroht. Mit einem von der Bitkom geschätzten wirtschaftlichen Gesamtschaden von über 202 Milliarden Euro allein in Deutschland ist Cybersicherheit längst zur Existenzfrage für jede Geschäftsführung geworden. Die Diskrepanz zwischen der Wahrnehmung und Realität klafft dabei weiterhin stark auseinander. Obwohl 65% der deutschen Unternehmen ihre Abwehrbereitschaft als positiv bewerten, belegt die Realität eine Opferquote von 20%, bei Großunternehmen sogar 33%. Die Cybersicherheitsbudgets stiegen zwar auf 17% des IT-Budgets, bleiben dabei aber jedoch reaktiv und stark regulatorisch getrieben. (NIS-2, CRA, etc.) Die strukturellen Defizite zeigen sich hier stark im Fehlen von CISOs (57%), sowie dem Verzicht auf ganzheitliche Risikoanalysen (40%). Des weiteren verzichten 75% der Unternehmen auf regelmäßige Audits oder Assessments zur Bewertung der Cybersicherheit in ihrer Lieferkette.

Die NIS2-Richtlinie: (K)ein Weckruf für den Mittelstand!

Eines der Ergebnisse des Reports ist die Wissenslücke bezüglich der NIS2-Richtlinie. Während 93 % der kleinen Unternehmen glauben, nicht unter die Regulierung zu fallen, zeigt die objektive Datenanalyse, dass tatsächlich 48 % aller befragten Unternehmen potenziell betroffen sind. Besonders die „Size-Cap-Rule“ (ab 50 Mitarbeitern oder 10 Mio. € Umsatz) führt zu fatalen Fehleinschätzungen im Mittelstand. Innerhalb dieser Gruppe der umsatzstarken Kleinunternehmen lässt sich auf Basis der formalen Kriterien bei 92 Prozent eine Fehleinschätzung konstatieren.

Artikelinhalte
Abbildung: Cyber Security Report 2026 DE, schwarz digits

Insgesamt deutet die Datenlage darauf hin, dass 48 Prozent aller befragten Unternehmen eine unerkannte Betroffenheit aufweisen könnten:

Artikelinhalte
Abbildung: Cyber Security Report 2026 DE, schwarz digits

Unternehmen, die als „wesentliche“ oder „wichtige“ Einrichtungen eingestuft werden, müssen sich zwingend im BSI-Portal registrieren. Die Missachtung dieser Pflichten ist kein Kavaliersdelikt - bei Verstößen drohen empfindliche Strafen für die Unternehmen und deren Geschäftsleitungen.

Management-Haftung: IT-Sicherheit wird zur Chefsache

Mit NIS2 rückt die persönliche Verantwortung der Leitungsorgane unausweichlich ins Zentrum. Geschäftsführer und Vorstände können die Cybersicherheit nicht mehr an die IT-Abteilung delegieren, sondern haften bei schuldhafter Vernachlässigung von Risikomanagement-Maßnahmen persönlich gegenüber ihrer Einrichtung. Diese Entwicklung wird von der Wirtschaft überraschend positiv bewertet: 70 % der großen Unternehmen befürworten die persönliche Haftung der Geschäftsführung, um das Thema auf eine strategische Ebene zu heben.

Der CRA & Lieferkette: Transparenz durch die SBOM

Der Cyber Resilience Act (CRA) adressiert eine weitere kritische Schwachstelle: die Software-Lieferkette. Da bereits heute jedes zweite Unternehmen Angriffe bei seinen Zulieferern registriert, wird die Einführung einer Software Bill of Materials (SBOM) zur Pflicht. Hersteller müssen künftig Bibliotheken und Abhängigkeiten in ihrem Code offenlegen, um die technologische Souveränität und die Auditierbarkeit der Zulieferer (und deren Abhängigkeiten) zu gewährleisten.

Die größten Hürden der Umsetzung

  • Fachkräftemangel: ca. 58 % der gesamten betroffenen Unternehmen fehlt qualifiziertes Personal für die Umsetzung - betrachtet man die "Großunternehmen" alleine, sind es sogar 73%
  • Rechtliche Unsicherheit: 45 % empfinden die regulatorischen Anforderungen als unklar.
  • begrenztes Budget: 43% geben an, dass nach wie vor zu wenig Budget zur Verfügung steht.

 

Artikelinhalte
Abbildung: Cyber Security Report 2026 DE, schwarz digits

Fazit & Handlungsempfehlung

Der Report macht deutlich: Regulatorische Anforderungen dürfen nicht als bloße bürokratische Last verstanden werden. Vielmehr muss eine nachhaltig gelebte Sicherheitskultur geschaffen werden. Digitale Souveränität und Resilienz entstehen dort, wo Unternehmen proaktiv Risiken analysieren, Lieferketten überwachen und die Geschäftsführung ihre Verantwortung ernst nimmt. In einer Welt, in der Cyberangriffe 70 % der Wirtschaftsschäden verursachen, sind Managementkonzepte der Grundstein für das unternehmerische Überleben eines jeden Unternehmens.

Daher sollten die Unternehmen jetzt dringend:

  1. Ihre Betroffenheit juristisch prüfen lassen und die Schwellenwerte der Size-Cap-Rule ernst nehmen.
  2. Ein konsequentes Lieferketten-Management etablieren, deren Risiken bewerten und bei Bedarf SBOMs von Software-Partnern einfordern.
  3. Die gesetzliche Fortbildungspflicht für die Geschäftsführung dokumentieren und diese Ausreichend schulen, um Haftungsrisiken zu minimieren.

 

Cybersicherheit ist im Jahr 2026 der Grundstein für unternehmerische Resilienz und digitalen Markterfolg. Nutzen wir die neuen Regularien als Fahrplan für eine sicherere digitale Zukunft.

Quellen: Dr. Schellong, A., Dr. Glanz, L., PD Dr. Koch, R., Dr. Köpfer, P., & Schönborn, S. (2026). Cyber_Security_Report_2026_DE. Schwarz Digits KG. https://schwarz-digits.de/publikationen/cyber-security-report

--------------------------------------------------------------------------------

#CyberSecurity #NIS2 #CRA #RiskManagement #DigitalSovereignty #SecurityReport2026 #ManagementResponsibility #Compliance

Zurück zur Newsübersicht