Die Cyberbedrohungslage ist konstant hoch. Doch oft sind es nicht die hochkomplexen Zero-Day-Exploits, die Unternehmen in die Knie zwingen, sondern schlicht und ergreifend fehlende oder versäumte Sicherheitsupdates. Das ist eine bittere Wahrheit, die wir in der Praxis immer wieder erleben.

Dienstagmorgen, 13. Januar 2026. Der Geschäftsführer eines mittelständischen Maschinenbauers mit 120 Mitarbeitern blickt auf seinen Bildschirm. Seit genau einer Woche, dem 6. Januar 2026, ist das offizielle Registrierungsportal des BSI online. Er hatte das Thema „NIS2“ bisher unter „Konzern-Bürokratie“ abgeheftet. „Wir sind doch kein KRITIS-Betreiber“, war seine Standardantwort auf die Warnungen seines IT-Leiters. Doch ein Blick in sein Postfach belehrt ihn eines Besseren: Sein wichtigster Kunde, ein globaler Automobilkonzern, fordert bis Ende des Quartals den schriftlichen Nachweis über die Umsetzung der NIS2-Sicherheitsmaßnahmen. Plötzlich wird aus einer abstrakten EU-Richtlinie eine existenzielle Bedrohung für die Auftragsbücher.

Video-Türklingel, Router, Fitness-Tracker, smarte Spielzeuge, Firewalls – wer solche „Produkte mit digitalen Elementen“ herstellt, importiert oder vertreibt, hat die Regelungen des Cyber Resilience Acts – CRA – zu beachten. Inzwischen ist klar, ab wann er gelten wird, und auch, wer Hilfestellung liefern kann.

Die Zeit des Abwartens ist vorbei. Die NIS2-Richtlinie wird Realität, und das Jahr 2026 steht im Zeichen der Prüfungsreife. Sie als Informationssicherheitsbeauftragter (ISB) stehen vor der Aufgabe, Ihr Informationssicherheits-Managementsystem (ISMS) nicht nur anzupassen, sondern es lückenlos für ein mögliches Audit zu rüsten. Wie Sie diesen Prozess strukturiert und effektiv angehen, zeigen wir Ihnen hier.

Wie kann ich als Informationssicherheitsbeauftragter (ISB) die notwendigen Investitionen so darstellen, dass sie als Risikominderung und sogar als Wertschöpfung für das Unternehmen verstanden werden?

Die NIS2-Richtlinie enthält diverse Pflichten für von ihr erfasste Akteure. Insbesondere solche Institutionen, die zu den Kritischen Infrastrukturen (KRITIS) gehören, müssen ihre „Hausaufgaben“ erledigen. Ein zentraler Punkt ist die Pflicht für Leitungspersonen, sich selbst im Bereich Cybersecurity fortzubilden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt hierzu eine Handreichung bereit.

Der IT-Leiter eines mittelständischen Unternehmens sitzt im wöchentlichen Jour fixe mit der Geschäftsführung. Die Frage nach dem Stand des Notfallmanagements kommt routiniert: „Alles gut vorbereitet?“ Seine Antwort: „Klar, der BCM-Plan ist fertig. 150 Seiten, alle Prozesse dokumentiert, liegt seit einem Jahr im Sharepoint.“ Die Geschäftsführung nickt zufrieden. Was niemand erwähnt: Der Plan wurde nie getestet. Kein einziges Mal. Drei Wochen später: Ransomware. Die Produktion steht still, die IT-Systeme sind verschlüsselt. Jetzt soll der Notfallplan greifen. Doch beim Versuch, die dokumentierten Prozesse umzusetzen, stellt sich heraus: Der Notfallplan liegt auf einem von den Angreifern verschlüsselten Server. Die einzige Version ist leider nicht aktuell, es ist die zum Korrekturlesen ausgedruckte Version. Die Telefonnummern im Alarmierungsplan sind veraltet, der alternative Serverstandort existiert nicht mehr, und die Wiederherstellungsanleitung bezieht sich auf Systeme, die vor zwei Jahren abgelöst wurden. Aber auch in der Version auf dem Sharepoint-Server sind die Informationen nur minimal aktueller. Der Schaden: Mehrere Millionen Euro, wochenlanger Stillstand, massive Reputationsverluste. Diese Situation ist kein Einzelfall. Sie zeigt: Ein Plan, der nur auf dem Papier existiert, ist im Ernstfall wertlos.

Montagmorgen, 8 Uhr. Der IT-Leiter eines mittelständischen Unternehmens trinkt entspannt seinen Kaffee. Das Backup-System läuft seit Jahren zuverlässig, jeden Abend sichert es automatisch alle Daten in die Cloud. „Läuft alles“, denkt er sich. Die Geschäftsführung ist zufrieden, die Kosten überschaubar, die grünen Häkchen im Dashboard beruhigend. Doch dann, drei Wochen später: Ransomware. Die Produktion steht still. Jetzt soll das Backup die Rettung sein. Der IT-Leiter öffnet das Backup-System – und stellt fest: Auch die Backups sind verschlüsselt. Die Angreifer hatten Zugriff auf das komplette System. Die letzte „sichere“ Kopie ist drei Monate alt. Der Schaden: Mehrere hunderttausend Euro, wochenlanger Stillstand, Reputationsverlust. Diese Situation ist kein Einzelfall mehr. Sie zeigt: Ein Backup, das einfach nur „läuft“, reicht heute nicht mehr aus.

Kaum hat sich die Geschäftswelt mit den Anforderungen der Datenschutz-Grundverordnung (DSGVO) arrangiert, steht mit der NIS-2-Richtlinie die nächste große Herausforderung ins Haus. Ab Ende 2025 müssen zehntausende Organisationen in Deutschland, Österreich und der Schweiz nachweisen, dass sie ihre Netz- und Informationssicherheit auf ein neues Niveau gehoben haben.

Meine Antwort: Eine hervorragende Frage, die zeigt, dass Sie über das Papier hinausdenken. Ein Incident-Response-Plan ist wie ein Erste-Hilfe-Koffer: Er bringt nur dann etwas, wenn man ihn im Ernstfall auch […]

Deutschland plant die verpflichtende Einführung strengerer Cybersicherheitsregeln bis Anfang 2026. Rund 29.000 Unternehmen und Einrichtungen sollen künftig verbindliche Schutzmaßnahmen gegen Cyberangriffe umsetzen müssen, wie BSI-Präsidentin Claudia Plattner der Deutschen Presse-Agentur mitteilte.

Daten sind unterwegs. In der Cloud, in hybriden Anwendungen, auf Plattformen, von denen Sie als IT-Sicherheitsbeauftragter manchmal erst erfahren, wenn das Kind schon im digitalen Brunnen liegt. Die wachsende Menge unstrukturierter Informationen macht es schwer, den Überblick zu behalten, geschweige denn Risiken frühzeitig zu erkennen. Dabei wird genau das immer wichtiger.