BSI-Portal startet: Cybersicherheit wird für 29.000 Firmen zur Pflicht

Ab dieser Woche müssen Tausende Unternehmen in Deutschland Sicherheitslücken nicht nur beheben, sondern auch melden. Der Grund: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) startet am Dienstag sein neues Meldeportal. Damit beginnt die operative Phase der NIS2-Richtlinie – und verwandelt IT-Risiken in Haftungsfragen für Geschäftsführer.

Die Eröffnung des BSI-Portals am 6. Januar markiert das Ende der Übergangsfrist. Zwar trat das deutsche NIS2-Umsetzungsgesetz bereits im Dezember 2025 in Kraft. Doch erst mit der digitalen Infrastruktur kann das BSI Registrierung und Meldepflichten auch durchsetzen. Ab Dienstag müssen „wesentliche“ und „wichtige“ Einrichtungen ihre Daten eintragen und signifikante Sicherheitsvorfälle melden.

Die neue Regelung katapultiert das Thema Schwachstellen-Management direkt in die Vorstandsetagen. Laut dem novellierten BSI-Gesetz (BSIG) haften Geschäftsleitungen persönlich für die Umsetzung von Risikomanagement-Maßnahmen. Dazu gehört explizit der Umgang mit Sicherheitslücken – also nicht nur das Einspielen von Patches, sondern die systematische Identifizierung, Bewertung und Behebung von Common Vulnerabilities and Exposures (CVEs). Experten warnen: Wer die strengen Meldefristen von 24 Stunden (Frühwarnung) oder 72 Stunden (detaillierter Bericht) verpasst, riskiert Bußgelder und behördliche Prüfungen in bisher bankentypischer Schärfe.

PHP 8.1: Erster Stresstest für die Compliance

Bereits 48 Stunden nach Jahresbeginn steht die erste konkrete Herausforderung an. Seit dem 1. Januar 2026 hat PHP 8.1 offiziell sein „End of Life“ (EOL) erreicht. Die Version erhält keine Sicherheitsupdates mehr. Millionen Websites und Unternehmensanwendungen laufen aber noch darauf – und schaffen so eine unmittelbare, unkontrollierte Schwachstelle.

Passend zum Thema NIS2-Compliance und akute Schwachstellen – viele Unternehmen sind noch nicht ausreichend vorbereitet. Ein kostenloser Leitfaden erklärt Schritt für Schritt, wie Sie CVEs priorisieren, EOL‑Software wie PHP 8.1 kompensieren und Meldefristen rechtssicher einhalten. Praxisnahe Checklisten zeigen IT- und Rechtsabteilungen, welche Maßnahmen sofort Wirkung zeigen und wie Verantwortlichkeiten klar zugewiesen werden, damit Geschäftsführer Haftungsrisiken minimieren. Jetzt kostenlosen Cyber‑Security‑Leitfaden sichern

Unter den neuen NIS2- und DORA-Regeln gilt der Betrieb von EOL-Software ohne Kompensationsmaßnahmen als Compliance-Verstoß. Sicherheitsfirmen wie TuxCare betonen: Wer PHP 8.1 weiter nutzt, setzt sich bekannten Angriffen aus, für die es keine Patches mehr geben wird. Für Compliance-Beauftragte ist die Lage klar: Effektives Schwachstellen-Management erfordert heute nicht mehr nur Reaktionen auf „Patch Tuesday“, sondern die proaktive Steuerung des gesamten Software-Lebenszyklus. Aus „technischer Schuld“ wird so „regulatorische Haftung“.

Globaler Trend: Der „Brussels-Effekt“ greift weltweit

Die Verschärfung in Deutschland ist Teil eines globalen Trend. Bereits am 2. Januar trat in Saudi-Arabien eine neue Cybersicherheitsverordnung in Kraft. Sie schreibt strenge Scan- und Patch-Prozesse für alle Privatunternehmen vor – nicht nur für kritische Infrastrukturen.

Diese Synchronisation bedeutet: Multinationale Konzerne können sich nicht länger auf einen Flickenteppich regionaler Sicherheitspolitiken verlassen. Der „Brussels-Effekt“ von NIS2 und dem ebenfalls anstehenden Cyber Resilience Act (CRA) – der ab September 2026 Meldepflichten für Hersteller vorschreibt – aligniert sich mit ähnlichen Vorgaben im Nahen Osten und Asien. Marktbeobachter sagen voraus: 2026 wird das Jahr, in dem „Secure-by-Design“ und „kontinuierliches Schwachstellen-Management“ zur globalen Geschäftsgrundlage werden. Treiber ist dabei weniger die Angst vor Strafen für Datenlecks, sondern die drohende Ausschließung vom Markt.

Praxis-Check: Von 4.500 auf 29.000 betroffene Unternehmen

Das Zusammentreffen von Portal-Start und PHP-EOL illustriert die neue Realität. Was früher ein IT-Risiko für den CIO war, ist heute ein Haftungsrisiko für den CEO. Besonders bemerkenswert: Die Zahl der betroffenen Einrichtungen steigt von bisher 4.500 auf rund 29.000. Mittelständische Betriebe aus Bereichen wie Abfallwirtschaft, Lebensmittelproduktion oder Maschinenbau unterliegen damit derselben Strenge wie Banken.

Hinzu kommt: Die „Sektorübergreifende Informationssicherheitsanalyse“ (SBA-Cyber Resilience) der Aufsichtsbehörden startet 2026 mit neuem Fokus auf Risiken bei Drittanbietern. Unternehmen müssen also nicht nur eigene CVEs managen, sondern auch Nachweise von ihren Lieferanten einfordern. Die Ära der „Häkchen-Compliance“ neigt sich dem Ende zu. Die Aufseher verlangen zunehmend Belege für operative Widerstandsfähigkeit.

Was jetzt zu tun ist

Der Fokus im ersten Quartal 2026 liegt auf der Funktionsfähigkeit des BSI-Portals und der Registrierungswelle. Experten rechnen mit einem Ansturm in den kommenden Wochen, wenn Rechtsabteilungen ihren Status klären müssen.

Später im Jahr rückt die EU-Cyber-Resilience-Verordnung in den Vordergrund. Ihre Meldepflichten treten im September in Kraft. Unternehmen sollten sich auf eine Flut neu offengelegter Schwachstellen einstellen, wenn Hersteller sich auf die Transparenzregeln vorbereiten. Die Priorität für diese Woche ist jedoch eindeutig: Registrierungsbereitschaft für den 6. Januar sicherstellen und kritische Systeme auf veraltete Software wie PHP 8.1 überprüfen. Die regulatorische Uhr tickt jetzt laut.

PS: Steht bei Ihnen die Registrierung im BSI‑Portal oder die Nachweisführung gegenüber Aufsichtsbehörden an? Dieses kostenlose E‑Book liefert sofort umsetzbare Maßnahmen zur Stärkung der IT‑Sicherheit ohne hohen Personalaufwand – inklusive Checklisten für Schwachstellen‑Management, Priorisierung von CVEs und Lieferanten‑Kontrollen. Holen Sie sich praxisnahe Schritte, damit Ihre Geschäftsführung Haftungsrisiken reduziert und Compliance‑Pflichten sicher erfüllt werden. Jetzt Cyber‑Security‑Guide herunterladen