NIS-2, Cyberangriffe und Egoismus

Wir schreiben das Jahr 2026. Und ja: NIS-2 ist da.

Schon wieder ein neues Gesetz, schon wieder neue Anforderungen, schon wieder Pflichten, Dokumentation, Haftung und das ungute Gefühl, dass Bürokratieabbau offenbar anders gemeint war.

Dazu kommen Bußgelder – und erstmals eine klare persönliche Verantwortung der Geschäftsführung. Kein Wunder also, dass viele Unternehmen erst einmal genervt reagieren.

Ich halte das für verständlich – aber für zu kurz gedacht. Denn vielleicht ist genau jetzt der richtige Zeitpunkt für einen Perspektivwechsel. Und für etwas, das in Unternehmen oft zu kurz kommt: gesunden Egoismus.

Erinnerst du dich noch an 2018?

Die DSGVO trat in Kraft, Medien überschlugen sich mit Schlagzeilen, Unternehmen fürchteten Abmahnungen und existenzbedrohende Bußgelder. Acht Jahre später sieht die Realität deutlich nüchterner aus. In Deutschland liegen die DSGVO-Bußgelder pro Jahr bei etwa 10 bis 30 Millionen Euro. Europaweit summieren sie sich seit 2018 auf rund 7 Milliarden Euro.

30 Millionen Euro pro Jahr klingen viel – bis man sie ins Verhältnis setzt. Denn laut der Studie Wirtschaftsschutz entstehen allein in Deutschland rund 200 Milliarden Euro Schaden pro Jahr durch Cyberangriffe. 30 Millionen Euro entsprechen damit gerade einmal 0,015 % dieser Summe. Oder anders gesagt: 15 Hundertstel Promille.

Bußgelder sollen abschrecken – aber sie sind bewusst verhältnismäßig. Cyberangriffe hingegen sind brutal real: Lösegeldforderungen in Millionenhöhe, Produktionsstillstände, Datenverluste, Vertrauensschäden und Unternehmen, die sich davon nie wieder erholen.

Die Lage verschärft sich zusätzlich durch den Einsatz von Künstlicher Intelligenz. Rund 50 % der Unternehmen geben an, dass sie den Eindruck haben, dass Angreifer zunehmend KI einsetzen. KI macht Angriffe effizienter, schneller und schwerer erkennbar. Und automatisierte Phishing-Kampagnen, präzisere Social-Engineering-Angriffe und intelligenter Schadcode sind längst Realität.

Während sich DSGVO, KI-VO und ähnliche Regelwerke primär um den Schutz von Betroffenen kümmern, verfolgt NIS-2 ein anderes Ziel: den Schutz der Unternehmen selbst. Man könnte sogar sagen: NIS-2 zwingt uns dazu, uns endlich ernsthaft mit unserer eigenen IT-Sicherheit auseinanderzusetzen. Und genau deshalb halte ich NIS-2 nicht nur für sinnvoll, sondern leider auch für notwendig. Denn viele Unternehmen unterschätzen massiv, wie schnell ein Angriff passieren kann – und welche Folgen er hat.

Angreifer stellen keine juristischen Prüfungen an. Sie fragen nicht, ob du unter NIS-2 fällst oder wie groß dein Unternehmen ist. Sie rechnen schlicht: Aufwand vs. Ertrag

Fällt diese Rechnung positiv aus, wird angegriffen. Je schlechter die Schutzmaßnahmen, desto attraktiver das Ziel. Und anders als bei Behördenverfahren gibt es hier keinen Brief, keine Frist und kein monatelanges Verfahren.  Du kommst morgens ins Büro – und nichts geht mehr.

Vielerorts gilt die Annahme, dass IT-Sicherheit nur mit sehr hohen Budgets und mit Zertifizierungen wie der ISO 27001-Zertifizierung oder einem vollständigen BSI-Grundschutz möglich ist. Und das schreckt Unternehmen ab. Das Ergebnis: es passiert nichts. 

Genau deshalb hat das Bundesamt für Sicherheit in der Informationstechnik den Cyberrisikocheck entwickelt.

Der Cyberrisikocheck basiert auf der DIN SPEC 27076 und richtet sich gezielt an kleine und mittlere Unternehmen – insbesondere an diejenigen, die bisher wenig Berührung mit IT-Sicherheit hatten. Ob Handwerksbetrieb, Praxis, Kanzlei, Agentur oder Einzelunternehmen: Der Check holt dich genau dort ab, wo du aktuell stehst.

So läuft der Cyberrisikocheck ab

1. strukturiertes Interview
2. Bewertung deines aktuellen Sicherheitsniveaus
3. verständliche Auswertung
4. konkrete und priorisierte Handlungsempfehlungen

Der gesamte Check ist in der Regel innerhalb eines Beratungstags erledigt – auf Wunsch komplett remote. Vom Erstgespräch bis zur Ergebnispräsentation: kompakt, effizient und überschaubar.

Der Cyberrisikocheck betrachtet sechs zentrale Schwerpunkte:

Organisation & Sensibilisierung
Wie gut sind Mitarbeitende geschult? Gibt es klare Zuständigkeiten und Prozesse?

Identitäts- & Berechtigungsmanagement
Wer hat Zugriff auf welche Systeme – und ist das sauber geregelt?

Datensicherung
Gibt es regelmäßige Backups? Und lassen sich Daten im Ernstfall wirklich wiederherstellen?

Patch- & Änderungsmanagement
Sind Systeme aktuell oder existieren bekannte, ungepatchte Sicherheitslücken?

Schutz vor Schadprogrammen
Welche Maßnahmen gibt es gegen Viren, Trojaner, Ransomware & Co.?

IT-Systeme & Netzwerke
Wie sicher sind Endgeräte, Server und Netzwerke technisch aufgestellt?

Allein das Erfüllen dieser Grundlagen macht es Angreifern bereits deutlich schwerer.

Die größte Bedrohung für Unternehmen liegt heute nicht in Bußgeldern, sondern in unzureichender IT-Sicherheit.

Deshalb mein klarer Appell: Sei egoistisch. Schütze dein Unternehmen.

Der Cyberrisikocheck ist dafür ein idealer Startpunkt – pragmatisch, realistisch und umsetzbar. Wenn du sofort wissen willst, wo dein Unternehmen steht und wo echte Risiken liegen, dann melde dich bei mir – wir führen den Cyberrisikocheck einfach gemeinsam durch.

So oder so gilt: IT-Sicherheit ist kein Hexenwerk. Aber sie ist Chefsache.