Gesetz in Kraft, Unternehmen im Blindflug: Die NIS-2-Realität in Zahlen
Zwei aktuelle Studien zeigen, wie schlecht deutsche Firmen auf die neuen Cybersicherheitspflichten vorbereitet sind – obwohl das Gesetz bereits gilt
Es ist ein Paradox, das Fachleute alarmiert: 71 Prozent der deutschen Unternehmen halten sich für fit in Sachen NIS-2 – doch nur jedes dritte testet regelmäßig, ob im Ernstfall die Datenwiederherstellung überhaupt funktioniert. Willkommen in der deutschen Compliance-Realität.
Seit dem 21. November 2025 ist das NIS-2-Umsetzungsgesetz durch Bundestag und Bundesrat beschlossen. Es tritt ohne Übergangsfrist in Kraft. Rund 30.000 Unternehmen aus 18 Branchen – von Energie über Gesundheit bis zur Lebensmittelwirtschaft – müssen ab sofort nachweisen, dass sie Cyberangriffe nicht nur abwehren, sondern auch überstehen können. Business Continuity heißt das Zauberwort. Und genau hier liegt das Problem.
Die Zahlen, die niemand hören will
Zwei unabhängige Erhebungen haben in den vergangenen Wochen untersucht, wie es um die NIS-2-Readiness deutscher Unternehmen steht. Die Ergebnisse decken sich – und sie sind ernüchternd.
G DATA CyberDefense, Statista und brand eins haben für ihre repräsentative Studie „Cybersicherheit in Zahlen" über 5.000 Beschäftigte befragt. Das Resultat: 63 Prozent der Unternehmen haben zwar mit der Umsetzung begonnen, aber nur 12 Prozent sind tatsächlich fertig. Jedes vierte Unternehmen steht noch am Anfang – oder hat schlicht nicht angefangen.
Parallel dazu hat der Datenrettungsspezialist DATA REVERSE auf der IT-Sicherheitsmesse IT-SA 2025 insgesamt 245 IT-Entscheider befragt. Die Studie zum NIS-2-Reifegrad fördert weitere Lücken zutage:
- Mehr als die Hälfte hat nie geprüft, ob das eigene Unternehmen überhaupt unter NIS-2 fällt
- 45 Prozent testen ihre Wiederherstellungsprozesse selten oder nie
- Nur 30 Prozent haben einen vollständigen IT-Notfallplan
- 96 Prozent haben keinen externen Datenrettungspartner für den Ernstfall eingeplant
Der blinde Fleck: Was passiert, wenn das Backup versagt?
Letzterer Punkt ist besonders brisant. NIS-2 verlangt nicht nur Prävention, sondern ausdrücklich auch funktionierende Wiederherstellungskonzepte. Artikel 21 der Richtlinie fordert „Aufrechterhaltung des Betriebs, Backup-Management, Wiederherstellung nach einem Notfall“. Wer das nicht nachweisen kann, ist nicht compliant – egal wie gut die Firewall ist.
Jan Bindig, Geschäftsführer von DATA REVERSE, bringt es auf den Punkt: „96 Prozent der Unternehmen haben keinen Notfallpartner eingebunden. In der Realität scheitern Backups häufig – durch Ransomware, Hardwaredefekte oder Konfigurationsfehler. Ein professioneller Datenretter gehört in jeden IT-Notfallplan.“
Persönliche Haftung, empfindliche Strafen
Was viele Geschäftsführer noch nicht auf dem Schirm haben: Mit NIS-2 haften sie persönlich für die Umsetzung der Sicherheitsmaßnahmen. Schulungen zur Cybersicherheit werden für die Führungsebene verpflichtend. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Das BSI bietet eine kostenlose Ersteinschätzung an. Doch die eigentliche Arbeit beginnt danach: Risikomanagement aufbauen, Notfallpläne schreiben, Recovery testen, Partner einbinden, dokumentieren. Alles nachweisbar. Alles ab sofort.
Die Studien zeigen: Zwischen Selbstwahrnehmung und Realität klafft eine gefährliche Lücke. Das Gesetz ist da. Die Ausreden sind aufgebraucht.
