Der Angriff auf einen großen mittelständischen Lebensmittelbetrieb kam über den Netzwerk-Zugang eines Dienstleisters. Plötzlich stand die gesamte Produktion des Unternehmens mit mehreren 100 Millionen Euro Jahresumsatz still. Dazu waren große Mengen teils sensibler Unternehmensdaten in die Hände der Eindringlinge geraten. Während das Management noch versuchte, die Größe des Schadens zu ermitteln, stellten die Angreifer ihre erste Lösegeldforderung.
Dieser echte Fall ist einer von tausenden Cyberangriffen, denen sich die deutsche Wirtschaft täglich ausgesetzt sieht, und deren Gesamtkosten rasant ansteigen. Doch trotz steigender Schadenszahlen haben viele Unternehmen beim Thema Cybersicherheit bisher vor allem abgewartet. Das dürfte sich zum Glück jetzt ändern. Denn das seit Dezember 2025 geltende NIS-2-Umsetzungsgesetz ist die richtige Antwort auf die digitale Bedrohungslage: Es macht aus dem Nischenthema IT-Sicherheit für kritische Infrastrukturen eine flächendeckende Pflicht für die deutsche Wirtschaft.
Systematischer Schutz
Europa und Deutschland müssen sich viel systematischer als bisher vor Cyberangriffen schützen, die unsere Innovationskraft, Lieferketten und damit unseren Wohlstand bedrohen. Die gute Nachricht: NIS-2 wird einen großen Beitrag dazu leisten. Es wird die europäische Wirtschaftsstruktur stärker verändern als jede andere Sicherheitsregulierung zuvor.
Der größte Hebel ist die große Masse der nun regulierten Unternehmen. Mit NIS-1 lag der Fokus noch eng auf klassischen kritischen Infrastrukturen (KRITIS), was die Wirkung stark einschränkte. Zahlreiche Branchen wie Lebensmittelherstellung, Maschinenbau oder Logistik hatten bisher kaum Sicherheitsvorgaben, obwohl sie kritische Kernaufgaben für das Funktionieren unserer Wirtschaft und Gesellschaft übernehmen. Mit NIS-2 hat die EU die Anzahl der regulierten Branchen nun von bisher sieben auf 18 Sektoren erweitert. Dazu gehören nun auch Bereiche wie Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe und digitale Dienste.
Hätte zum Beispiel der angegriffene Lebensmittelhersteller seine Systeme schon vor dem Angriff nach NIS-2 geschützt, hätten die Angreifer drei zusätzliche hohe Hürden überwinden müssen. Zunächst sieht NIS-2 vor, dass auch die IT-Sicherheit von Zulieferern und Dienstleistern geprüft werden muss. Zweitens darf ein Login in interne IT-Systeme nicht ohne zweiten Sicherheitsfaktor möglich sein. Und drittens dürfen sensible Daten auch von eingeloggten Nutzern nicht ohne zusätzliche Prüfung abgerufen werden können. Hinzu kommen zusätzliche Überwachungsmaßnahmen, die automatisch Alarm auslösen, wenn zum Beispiel ungewöhnliche Datenabrufe festgestellt werden.
Verteidigungsprogramm für Europa
NIS-2 ist kein Bürokratiemonster, sondern Europas dringend notwendiges Verteidigungsprogramm. Es wird dazu führen, dass endlich Budgets für echte Sicherheitsmaßnahmen freigegeben werden. Darüber hinaus wird in den betroffenen Unternehmen das Bewusstsein für die Gefahren wachsen. Sie werden sich um Notfallpläne kümmern, um im Angriffsfall souveräner reagieren zu können. Unternehmen erkennen zunehmend, dass Cyberresilienz heute nicht nur regulatorische Pflicht ist, sondern ein Wettbewerbsfaktor in globalen Lieferketten.
Viele KMU werden ihre Cyberabwehr nicht in erster Linie aufgrund von Angst vor Strafen verbessern. Der Druck kommt vielmehr von den größten Kunden. Schon jetzt verlangen beispielsweise die großen Autohersteller von ihren Zulieferern NIS-2-konforme Prozesse, bevor sie Aufträge vergeben. NIS-2 sorgt so für einen „Trickle-Down-Effekt“ entlang der gesamten Lieferkette und stärkt die Sicherheit damit nachhaltig.
Eine Pflicht wie die Buchhaltung
Was die Buchhaltung in der Mitte des 20. Jahrhundert war, ist im 21. Jahrhundert die Cybersicherheit: eine zunächst lästige, später aber unverzichtbare Pflicht, die Organisationen vor wirtschaftlichen Risiken und staatlichen Sanktionen schützt. So wie Unternehmen heute nicht mehr hinterfragen, ob sie eine ordnungsgemäße Buchführung benötigen, werden sie sich daran gewöhnen, Informations- und Cybersicherheit als dauerhafte, strukturierte Kernaufgabe zu verankern.
Langfristig werden alle davon profitieren. Die Unternehmen bekommen saubere Verantwortlichkeiten und Prozesse. Und die zuständigen Behörden haben ein besseres Bild der Lage und können besser warnen. Und nicht zuletzt: Europas Wirtschaft wird deutlich resilienter gegen Angriffe von staatlichen Akteuren und Cyberkriminellen.
Kivanç Semen ist Co-CEO und Mitgründer von Dataguard, einem Anbieter für Informationssicherheits- und Compliance-Lösungen.