NIS2-Gesetz: 30.000 deutsche Firmen unter Aufsicht

Eine Zäsur für die europäische Cybersicherheit: Seit Samstag, 6. Dezember, unterliegen rund 30.000 deutsche Unternehmen der schärfsten Cybersicherheitsaufsicht, die das Land je gesehen hat. Das NIS2-Umsetzungsgesetz ist in Kraft – ohne Übergangsfrist, ohne Schonzeit. Parallel dazu verschärft ein führendes Testlabor den Druck auf die Sicherheitsbranche: Schluss mit Marketing-Versprechen, her mit nachprüfbaren Fakten. Können Unternehmen überhaupt noch rechtzeitig nachweisen, dass ihre Schutzsysteme funktionieren?

Die Zahlen sprechen eine klare Sprache: Von zuvor 4.500 regulierten Organisationen katapultiert das neue Gesetz die Zahl der überwachten Einheiten auf das Siebenfache. Energieversorger, Verkehrsbetriebe, digitale Infrastrukturen, selbst Entsorgungsunternehmen – sie alle fallen nun unter die strengen Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das Besondere: Die Geschäftsführungen haften persönlich für Verstöße. Cybersicherheit ist damit endgültig Chefsache geworden.

Registrierung startet im Januar

Die zeitliche Abfolge setzt Unternehmen massiv unter Druck. Am 6. Januar 2026 öffnet das BSI sein neues digitales Registrierungsportal. Bis April müssen sich alle betroffenen Firmen dort angemeldet haben – gerade einmal drei Monate Zeit. Doch bereits jetzt, seit Inkrafttreten am vergangenen Samstag, sind die Unternehmen rechtlich verpflichtet, “angemessene technische und organisatorische Maßnahmen” nachzuweisen.

Was bedeutet das konkret? Firmen müssen belegen, dass ihre Sicherheitssysteme tatsächlich funktionieren. Genau hier kommt die Initiative des österreichischen Testlabors AV-Comparatives ins Spiel, die am Dienstag aus Innsbruck verkündet wurde.

30.000 deutsche Unternehmen müssen ihre IT-Sicherheit jetzt zweifelsfrei nachweisen – und haben oft nur wenige Wochen dafür. Unser kostenloses E-Book “Cyber Security Awareness Trends” fasst aktuelle Bedrohungen, priorisierte Schutzmaßnahmen und praxisbewährte Checklisten zusammen, mit konkreten Schritten für Einkaufsteams und IT-Verantwortliche. So erstellen Sie auditfeste Nachweise und reduzieren Ihr Risiko bei behördlichen Prüfungen. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Testlabor fordert “radikale Transparenz”

“Sicherheitsverantwortliche stehen unter enormem Druck, die richtigen Technologien in einem extrem komplexen Umfeld auszuwählen”, erklärte Andreas Clementi, CEO von AV-Comparatives, in seiner Stellungnahme vom 9. Dezember. Seine Botschaft: Transparenz, Vergleichbarkeit und Klarheit seien unverzichtbar – gerade jetzt, wo Tausende Unternehmen hektisch nach nachprüfbaren Sicherheitslösungen suchen.

Das Labor veröffentlichte zeitgleich die Ergebnisse seiner Tests für 2025 zu Endpoint Prevention & Response (EPR) und EDR Detection Validation. Der Clou: Die Berichte enthalten detaillierte Angriffs-Szenarien mit vollständigen Ablaufdiagrammen. IT-Sicherheitschefs können damit Schritt für Schritt nachvollziehen, wie ein Produkt auf komplexe Attacken reagiert hat – ein entscheidendes Argument bei behördlichen Audits.

Kann die Branche diese Forderung nach gläserner Validierung überhaupt erfüllen? Viele Hersteller setzen bislang auf marketing-getriebene Zertifikate ohne öffentlich nachvollziehbare Testmethodik.

EU plant Entlastung – aber nicht sofort

Während deutsche Firmen mit den verschärften Meldepflichten kämpfen, zeichnet sich in Brüssel zumindest langfristige Erleichterung ab. Die EU-Kommission hat im November das “Digital Omnibus”-Paket vorgelegt, dessen Details am 8. Dezember durch Rechtsanalysen konkretisiert wurden.

Kernpunkte der geplanten Reform:

• Einheitliches Meldeportal: Ein zentraler Anlaufpunkt für Vorfallsmeldungen nach DSGVO, NIS2 und Cyber Resilience Act – statt wie bisher drei separate Prozesse
• Verlängerte DSGVO-Frist: Die strikte 72-Stunden-Deadline für Datenschutzverletzungen soll auf 96 Stunden ausgedehnt werden
• Fokus auf Hochrisiko-Fälle: Nur noch Vorfälle mit “hohem Risiko” müssten zwingend an Behörden gemeldet werden

Doch Vorsicht: Diese Erleichterungen sind lediglich Vorschläge. Die NIS2-Pflichten hingegen gelten bereits jetzt verbindlich. Für die aktuell betroffenen 30.000 deutschen Unternehmen bleibt es also beim verschärften Regime.

Die Lücke zwischen Pflicht und Praxis

Eine paradoxe Situation entsteht: Seit 6. Dezember sind Firmen rechtlich verpflichtet, ihre Cybersicherheit nachzuweisen – das Registrierungsportal öffnet aber erst einen Monat später. In dieser kritischen Phase müssen Unternehmen gleichzeitig Sicherheitslösungen beschaffen, die den hohen Standards genügen. Die unabhängigen Validierungsdaten von AV-Comparatives werden damit zur unverzichtbaren Entscheidungshilfe für Einkaufsteams.

Die Schonfrist ist vorbei. Während das BSI sein Portal für Januar vorbereitet, verschiebt sich die zentrale Frage von “Was verlangt das Gesetz?” zu “Wie beweisen wir, dass wir sicher sind?” Die Antwort darauf müssen 30.000 deutsche Organisationen in den kommenden Wochen finden – unter den wachsamen Augen einer Behörde, die erstmals echte Durchgriffsmacht besitzt.

Übrigens: Testlabore wie AV-Comparatives fordern transparente Validierung – doch viele Hersteller liefern nur Marketingversprechen. Dieser Gratis-Leitfaden erklärt, welche Testdaten wirklich aussagekräftig sind, wie Sie Produkte vergleichbar bewerten und welche Dokumentation Behörden und Auditoren überzeugt. Ideal für Compliance-, Sicherheits- und Einkaufsteams, die schnell rechts- und prüfungssichere Entscheidungen treffen müssen. Jetzt kostenlosen Cyber-Security-Aktionsplan anfordern