BSI startet Offensive für mehr IT-Sicherheit in Mittelstand

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine umfassende Initiative gestartet, um den deutschen Mittelstand gegen wachsende Cyber-Bedrohungen zu wappnen. Kernstück ist ein neues Portal und ein Leitfaden für fast 30.000 Unternehmen.

Seit dieser Woche müssen sich schätzungsweise 29.500 als „wichtig“ oder „besonders wichtig“ eingestufte Unternehmen in einem zentralen Portal registrieren. Grundlage ist das NIS-2-Umsetzungsgesetz, das seit Dezember 2025 in Kraft ist. Auf einem Kickoff-Termin am Donnerstag stellte das BSI einen detaillierten Leitfaden – das „NIS-2-Starterpaket“ – vor.

BSI-Präsidentin Claudia Plattner bezeichnete die Maßnahmen als entscheidenden Schritt für die nationale Stabilität. Der Leitfaden soll abstrakte gesetzliche Pflichten in konkrete Arbeitsabläufe übersetzen. Viele kleine und mittlere Unternehmen (KMU) sehen sich damit erstmals mit umfangreichen IT-Sicherheitsvorschriften konfrontiert.

Passend zum Thema Cyber‑Resilienz: Ein kostenloses E‑Book fasst die aktuellen Cyber‑Security‑Trends zusammen und zeigt, welche Maßnahmen KMU jetzt schnell und kostengünstig umsetzen können. Von präventiven Kontrollen über Mitarbeiterschulungen bis zu einfachen technischen Schritten – praxisnahe Checklisten helfen, Angriffe zu erkennen und Ausfallzeiten zu reduzieren. Ideal für Geschäftsführer und IT‑Verantwortliche, die NIS‑2-Anforderungen praktisch umsetzen wollen. Gratis-Cyber-Security-Report für Unternehmen herunterladen

Portal als zentrale Anlaufstelle für Unternehmen

Das neue Portal dient als „One-Stop-Shop“ und soll Bürokratie abbauen. Gleichzeitig soll es die Reaktionszeiten bei Cyber-Vorfällen verkürzen. Die auf einer sicheren Cloud-Infrastruktur gehostete Plattlege soll skalierbar sein und Echtzeit-Datenverarbeitung ermöglichen.

Die Registrierung ist für betroffene Unternehmen der erste Schritt. Langfristig will das BSI das Portal zu einer dynamischen Informationsdrehscheibe ausbauen. Registrierte Stellen sollen maßgeschneiderte Sicherheitswarnungen und Erkenntnisse über Bedrohungslagen erhalten. Ziel ist ein proaktiver Ansatz, der die „Resilienz“ – also die Widerstandsfähigkeit und schnelle Erholungsfähigkeit nach Angriffen – in den Vordergrund stellt.

Banken warnen vor steigender Cyber-Kriminalität

Die Dringlichkeit der Maßnahmen unterstrich eine gemeinsame Warnung von BSI und Bankenverband am Freitag. Sie meldeten einen starken Anstieg von Cyberangriffen auf Bankkunden. Dies verdeutlicht die kritische Verwundbarkeit von Lieferketten und Finanztransaktionen – Bereiche, in denen KMU besonders exponiert sind.

Die Angriffe werden immer raffinierter. Im Fokus stehen ausgeklügelte Phishing-Kampagnen und Identitätsdiebstahl. Plattner betonte, dass die absolute Zahl der Vorfälle weiter steige, auch wenn das Wachstum etwas nachlasse. Die Warnung zeigt: Die „menschliche Firewall“ bleibt eine kritische Verteidigungsschicht. Die neuen NIS-2-Risikomanagementprotokolle, die explizit Lieferketten-Sicherheit und Mitarbeiterschulungen vorschreiben, kommen daher zur rechten Zeit.

Nachholbedarf nach verspäteter Umsetzung

Der Startschuss fällt spät. Die deutsche Umsetzung der EU-NIS-2-Richtlinie war ursprünglich für Oktober 2024 geplant, trat aber erst am 6. Dezember 2025 in Kraft. Diese Verzögerung hat den Zeitdruck für die Unternehmen erhöht.

Das BSI versucht mit seinem Leitfaden-Ansatz, diese Lücke zu schließen. Es bietet vereinfachte, standardisierte Tools wie den „CyberRisikoCheck“ an. Dieser orientiert sich an der DIN SPEC 27076 und richtet sich auch an kleinere Zulieferer, die nicht direkt unter NIS-2 fallen, aber für das Wirtschaftsgefüge essenziell sind. So soll eine kohärente nationale Sicherheitsarchitektur entstehen.

Erste Compliance-Prüfungen noch 2026 geplant

Die Registrierungsphase ist für das BSI nur der Anfang. Nach der ersten Anmeldewelle im ersten Quartal 2026 will die Behörde ihre Aufsichtstätigkeit verstärken. Experten rechnen damit, dass noch in diesem Jahr die ersten Compliance-Prüfungen beginnen könnten. Im Fokus steht dann, ob Unternehmen die geforderten Risikoanalysen und Incident-Response-Mechanismen erfolgreich umgesetzt haben.

Für den Mittelstand ist die Botschaft klar: Cyber-Resilienz ist kein freiwilliges „Nice-to-have“ mehr, sondern eine regulatorische Pflicht. Das Starterpaket und das Portal bieten das Werkzeug – doch die Verantwortung liegt bei den Unternehmen, die Maßnahmen jetzt in ihren Betriebsalltag zu integrieren. In den kommenden Wochen sind weitere Webinare und branchenspezifische Leitfäden angekündigt.

PS: Viele Cybervorfälle starten mit ausgeklügelten Phishing‑Mails – ein kostenloses Anti‑Phishing‑Paket zeigt in vier klaren Schritten, wie Sie Mitarbeiter, Finanzprozesse und Führungskräfte vor CEO‑Fraud schützen. Enthalten sind Erkennungs‑Checklisten, Praxisbeispiele und konkrete Schulungsimpulse, die sofort im Alltag funktionieren. Empfehlenswert für KMU, bankennahe Prozesse und Lieferketten‑Partner. Anti‑Phishing‑Paket jetzt gratis anfordern