NIS-2 in Kraft: 30.000 deutsche Firmen unter neuem Cyber-Zwang

Die Schonfrist ist vorbei. Seit diesem Wochenende gilt in Deutschland das NIS-2-Umsetzungsgesetz – und damit die größte Ausweitung der IT-Sicherheitspflichten seit zehn Jahren. Fast 30.000 Unternehmen stehen nun unter verschärfter Bundesaufsicht. Doch während Firmen noch mit der Registrierung kämpfen, warnen Sicherheitsexperten bereits vor einer neuen, kaum zu kontrollierenden Bedrohung: KI-gesteuerte Insider-Angriffe, die keine böswilligen Mitarbeiter mehr benötigen.

Das Gesetz trat am Samstag, 6. Dezember, ohne Übergangsfrist in Kraft. Rechtsexperten der Kanzlei Morrison Foerster stellten am Montag unmissverständlich klar: „Das Warten hat ein Ende.” Die Dreimonatsfrist für die Registrierung läuft bereits. Betroffen sind nicht mehr nur 4.500, sondern geschätzte 29.000 Organisationen – von Energieversorgern über Logistikfirmen bis hin zu Abfallentsorgern.

Die härteste Neuerung: Geschäftsführer und Vorstände haften nun persönlich, wenn sie vorgeschriebene Risikomanagement-Maßnahmen ignorieren. Eine Regelung, die seit Wochenbeginn die Führungsetagen in Aufruhr versetzt.

Passend zum Thema NIS‑2 und die neuen KI-Risiken: Viele Unternehmen sind auf komplexe Angriffsvektoren wie Prompt Injection nicht vorbereitet. Ein kostenloses E‑Book fasst die aktuellen Cyber‑Security‑Trends zusammen, erklärt welche Schwachstellen jetzt besonders gefährlich sind und zeigt pragmatische Maßnahmen – etwa Zero‑Trust‑Kontrollen und Prioritätslisten für Sofortmaßnahmen. Enthalten sind praxisnahe Checklisten zur Absicherung von KI‑Workflows und konkrete Schritte für IT‑Verantwortliche. Jetzt kostenlosen Cyber-Security-Report herunterladen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird sein digitales Anmeldeportal voraussichtlich am 6. Januar 2026 freischalten. Dann müssen Unternehmen binnen drei Monaten klären, ob sie als „wesentliche” oder „wichtige” Einrichtung gelten – und sich entsprechend registrieren.

Die Uhr tickt. Denn Übergangsfristen gibt es nicht. Wer sich falsch einstuft oder die Meldefrist versäumt, riskiert nicht nur Bußgelder, sondern auch persönliche Konsequenzen für die Geschäftsleitung. „Die rechtliche Verantwortung liegt jetzt direkt bei den Entscheidern”, betonen Juristen.

KI wird zum trojanischen Pferd im eigenen Netzwerk

Während deutsche Firmen noch mit Paragrafen kämpfen, spitzt sich eine technische Bedrohung zu, die klassische Sicherheitskonzepte aushebelt. Gestern, am 9. Dezember, veröffentlichte das britische National Cyber Security Centre (NCSC) eine Warnung, die der Sicherheitsanbieter Malwarebytes als „möglicherweise unlösbares Problem” einordnet: Prompt Injection.

Das klingt abstrakt, ist aber brandgefährlich. Große Sprachmodelle (LLMs) – wie sie in Chatbots, HR-Systemen oder Programmier-Assistenten stecken – können nicht zwischen Daten und Befehlen unterscheiden. Kopiert ein ahnungsloser Mitarbeiter einen manipulierten Lebenslauf oder analysiert ein präpariertes Dokument mit einem internen KI-Tool, kann die KI unbemerkt sensible Daten abgreifen oder unerlaubte Befehle ausführen.

Das NCSC nennt das Problem „Confused Deputy” – die KI wird zum verwirrten Handlanger. Der Clou: Der Angriff kommt von außen, wird aber von innen ausgeführt. Und laut Expertenmeinung lässt sich diese Schwachstelle in aktuellen LLM-Architekturen womöglich nie vollständig beheben.

Was bedeutet das konkret? Der klassische „Insider-Angriff” braucht 2026 keinen unzufriedenen Mitarbeiter mehr. Es reicht ein wohlmeinender Kollege mit einem KI-Tool, das längst kompromittiert ist.

SPIE kauft Cyqueo: Konsolidierung unter Zeitdruck

Der Druck durch NIS-2 und neue Bedrohungslagen treibt den Markt. Am Montag gab der europäische Dienstleistungsriese SPIE die Übernahme von Cyqueo bekannt, einem Münchner Spezialisten für Cybersicherheit. Cyqueo schützt über 1,6 Millionen Nutzer und gilt als Experte für Zero-Trust-Architekturen – genau jene Sicherheitsphilosophie, die angesichts der KI-Risiken immer wichtiger wird.

Die Akquisition ist kein Zufall. Generalisten kaufen derzeit gezielt spezialisierte Sicherheitsfirmen auf, um mittelständischen Unternehmen „NIS-2-konforme” Komplettpakete anbieten zu können. „SPIE erweitert damit sein Portfolio im wachsenden Bereich Cybersicherheit”, hieß es in der Pressemitteilung. Kein Wunder: Die Nachfrage explodiert gerade.

Die gefährliche Lücke zwischen Gesetz und Realität

Deutschlands Unternehmen stecken in einer Zwickmühle. Einerseits zwingt NIS-2 sie zu staatlich zertifizierten Schutzmaßnahmen und Meldepflichten. Andererseits nutzen Mitarbeiter längst KI-Tools, die das Gesetz noch gar nicht im Blick hat – und die klassische Perimeter-Verteidigungen umgehen.

„Die Herausforderung 2026 wird nicht die Registrierung beim BSI sein”, analysieren Branchenbeobachter. „Es wird das Management der ‚Schatten-KI’, die Angestellte einsetzen und die traditionelle Netzwerksicherheit untergräbt.”

Diese Lücke zwischen regulatorischem Anspruch und technischer Wirklichkeit dürfte sich im ersten Quartal 2026 schmerzlich zeigen. Das BSI wird voraussichtlich erste Prüfungen durchführen, ob Firmen sich korrekt eingestuft haben. Parallel dürften EU-Stellen und das BSI zusätzliche Leitlinien zur Absicherung von KI-Workflows veröffentlichen – speziell zum Prompt-Injection-Problem.

Für IT-Sicherheitschefs bleibt eine klare Agenda: Firma registrieren, Vorstand schulen, KI-Agenten unter Kontrolle bringen. Die Uhr läuft bereits.

PS: Sie müssen NIS‑2‑Fristen einhalten und gleichzeitig KI‑Workflows absichern? Fordern Sie den Gratis‑Leitfaden zur Cyber‑Security an – mit einer Prioritätenliste für die ersten 90 Tage, praxiserprobten Checklisten und Vorlagen für Schulungen sowie Kommunikationsmuster für den Vorstand. Damit zeigen Sicherheitsverantwortliche schnell Handlungsfähigkeit und reduzieren akute Risiken durch kompromittierte KI‑Tools. Gratis-Leitfaden für Cyber-Sicherheit anfordern