Die Cyberfalle in Ostfriesland: Warum Unternehmen jetzt handeln müssen
In Ostfriesland, wo der Wind über die Felder weht und der Tee immer frisch aufgebrüht ist, gibt es ein ernstes Problem, das viele Unternehmen noch nicht ganz begriffen haben. Die Cybersicherheit wird immer mehr zur Chefsache. Das hat auch mit der NIS2-Richtlinie zu tun, die seit Ende 2022 in Kraft ist. Die Registrierungsfrist für betroffene Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) endete Anfang März – und was soll ich sagen? Rund 62 Prozent der etwa 29.000 Betriebe in Deutschland haben die Frist einfach verpasst. Das ist schon eine ganz schön alarmierende Zahl!
Betroffen sind vor allem Firmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von mindestens zehn Millionen Euro, die in kritischen Sektoren wie Energie, Logistik oder Gesundheit tätig sind. Man könnte meinen, dass gerade diese Branchen besonders sensibel auf Cybersicherheitsfragen reagieren sollten. Doch die Realität sieht oft anders aus. Die Geschäftsführung haftet persönlich, wenn etwas schiefgeht. Das bedeutet, dass Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes drohen können. Ein harter Schlag!
Die Anforderungen steigen
Die NIS2-Richtlinie bringt einige Kernanforderungen mit sich. Unternehmen müssen ein strukturiertes Risikomanagement aufbauen, Sicherheitsmaßnahmen für ihre Lieferketten implementieren, Multi-Faktor-Authentifizierung (MFA) nutzen und ihre Netzwerke segmentieren. Und das ist noch nicht alles! Bei schwerwiegenden Störungen sind sie verpflichtet, innerhalb von 24 Stunden eine Frühwarnung an das BSI zu übermitteln. Im Finanzsektor sind es sogar nur vier Stunden – da bleibt kaum Zeit zum Durchatmen.
Für die Unternehmen, die im Gesundheitswesen tätig sind, wird es ab Januar 2026 noch einmal brenzliger. Dann gelten aktualisierte IT-Sicherheitsrichtlinien für Zahnarztpraxen, und ab dem 1. Juli 2026 müssen elektronische Heilberufsausweise auf den ECC-Standard umgestellt werden. Das ist nicht nur ein bürokratischer Aufwand, sondern auch eine echte Herausforderung für die betroffenen Praxen.
Ein Blick über die Grenzen
Aber nicht nur in Deutschland wird die Cybersicherheit strenger geregelt. Ab 1. Juli 2026 tritt auch in den Niederlanden ein neues Cyberbeveiligingswet in Kraft, das über 100.000 Zulieferer zur Vorlage von Sicherheitsnachweisen verpflichtet. Ein weiteres Beispiel dafür, wie wichtig die Zusammenarbeit zwischen den Ländern ist. Schließlich sind wir alle Teil eines größeren Netzwerks, und die Sicherheitsstandards müssen auf einem hohen Niveau gehalten werden.
Die NIS2-Richtlinie selbst ist eine Weiterentwicklung der ersten NIS-Richtlinie von 2016 und soll die Kooperation zwischen Staat und Wirtschaft stärken. Auch das BSI hat durch diese Richtlinie neue Befugnisse erhalten. Mobile Incident Response Teams (MIRT) wurden eingerichtet, um KRITIS-Betreiber bei schwerwiegenden Cyberangriffen vor Ort zu unterstützen. Das zeigt, wie ernst die Lage ist. KRITIS-Betreiber sind besonders anfällig für Cyberangriffe, die nicht nur wirtschaftliche Schäden verursachen, sondern auch zu Versorgungsengpässen führen können.
Proaktive Ansätze sind gefragt
Die Experten raten zu einem proaktiven Ansatz in der Cybersicherheit. Das bedeutet, dass Unternehmen Informationssicherheits-Managementsysteme (ISMS) aufbauen und Schulungsangebote für ihre Mitarbeiter anbieten sollten. Ein Webinar Anfang Juli soll Unternehmen dabei helfen, Sicherheitslösungen zu entwickeln und sich auf die neuen Anforderungen vorzubereiten. Denn ehrlich gesagt, wir leben in einer Zeit, in der Cyberangriffe an der Tagesordnung sind, und da bleibt nichts dem Zufall überlassen.
Aber die Zeit drängt. Ab August 2026 tritt der EU AI Act in Kraft, der für Unternehmen, die mit Hochrisiko-KI-Systemen arbeiten, neue technische Anpassungen und Nachweise von KI-Kompetenz fordert. Das ist ein weiterer Grund, warum sich Unternehmen jetzt um Cybersicherheit kümmern sollten – die Regelungen werden nur strenger.
