Aktuelles, Branche, Studien, Veranstaltungen - geschrieben von am Sonntag, Juli 12, 2026 0:27 - noch keine Kommentare

Eskalation digitaler Angriffe auf die Produktion: NIS-2-Haftungsfalle für den Mittelstand

Die NIS-2-Richtlinie trifft aktuell auf einen leeren Fachkräftemarkt: ISACA beschreibt, warum der Schutz der Fertigung gerade jetzt KMU dazu zwingt, völlig neue Wege zu gehen

[datensicherheit.de, 12.07.2026] Laut einer aktuellen Meldung von ISACA wird derzeit keine andere Branche in Deutschland so häufig von Cyberkriminellen attackiert wie das produzierende Gewerbe. Zahlen des Digitalverbands Bitkom e.V. belegten das Ausmaß der Bedrohung: „87 Prozent der deutschen Unternehmen waren im letzten Jahr betroffen, der wirtschaftliche Schaden klettert auf fast 290 Milliarden Euro.“ Fast drei Viertel (73%) der Firmen verzeichneten eine Zunahme der Angriffe im Vergleich zum Vorjahr. Im Kontext der NIS-2-Richtlinie wird unzureichender Schutz nun zur persönlichen Haftungsfalle für die Geschäftsführung.

isaca-chris-dimitriadis

Foto: ISACA

Chris Dimitriadis: Die Zeiten, in denen eine Cyberattacke als delegierbares IT-Problem galt, sind mit NIS-2 endgültig vorbei!

NIS-2-Richtlinie nimmt Geschäftsführung in die Haftung

Dabei liege die größte, oft übersehene Gefahr nicht in der Büro-IT, sondern direkt im Herzen der Industrie – in der vernetzten Produktionsanlage („Operational Technology“ / OT).

Laut Bitkom zielten im vergangenen Jahr 73 Prozent aller Angriffe direkt auf Produktions- und Informationssysteme. Mit der NIS-2-Richtlinie werde dieser unzureichende Schutz nun zur persönlichen Haftungsfalle für die Geschäftsführung.

NIS-2-Auswirkung: Das Management bürgt persönlich für Cyberresilienz

Hinter der gesetzlichen Neuausrichtung stehe die klare Absicht, Cybersicherheit zum Schutz der Wirtschaft als integralen Bestandteil der Unternehmensführung zu verankern.

  • „Und auch wenn viele Kleine und Mittlere Unternehmen (KMU) die offiziellen Schwellenwerte der Richtlinie nicht erreichen, greifen die Vorgaben indirekt über die Lieferkette: Große Kunden geben die strengen Anforderungen an ihre Partner weiter und machen Konformität so zur Bedingung für zukünftige Aufträge.“

Damit sei die Richtlinie keine bloße Formsache mehr, sondern nehme die Leitungsebene bei Versäumnissen unmissverständlich in die persönliche Verantwortung. Untätigkeit oder grobe Fahrlässigkeit beim Schutz Kritischer Systeme – wie der Produktion – könne direkte rechtliche Konsequenzen nach sich ziehen.

Erfolgreiche Angriffe auf Produktionssteuerungen aus NIS-2-Sicht Versäumnis unternehmerischer Sorgfaltspflichten

„Die Zeiten, in denen eine Cyberattacke als delegierbares IT-Problem galt, sind mit NIS-2 endgültig vorbei!“, betont Chris Dimitriadis, „Chief Global Strategy Officer“ bei ISACA. Ein Angriff auf die Produktionssteuerung sei aus Sicht der neuen Gesetzgebung ein Versäumnis der unternehmerischen Sorgfaltspflicht. Dimitriadis führt aus: „Wir müssen das Bewusstsein dafür schaffen, dass Resilienz in der OT kein technisches Detail, sondern ein zentraler Pfeiler der ,Governance’ und der persönlichen Risikovorsorge der Unternehmensleitung ist!“

  • Die Realität in vielen mittelständischen Unternehmen sei jedoch von einem chronischen Mangel an Fachkräften und knappen Budgets geprägt. Die Frage lautet demnach also, wie sich ein Schutzwall aufbauen lässt, wenn die Experten dafür fehlen oder KMU sie sich nicht leisten können Als Antwort etablierten sich zunehmend neue, flexible Servicemodelle.

„Die Rolle des CISO ist heute in Unternehmen von entscheidender Bedeutung, zumal Cybersicherheit zunehmend zu einem Thema auf Vorstandsebene wird“, so Dimitriadis. Er berichtet: „Wir beobachten zudem einen klaren Trend hin zu Modellen, bei denen Unternehmen hochspezialisiertes Fachwissen je nach Bedarf flexibel von externen Anbietern beziehen – bekannt als ‚CISO as a Service‘ oder ‚Fractional CISOs‘.“ Dies sei ein pragmatischer und kostengünstiger Weg, um die Lücke zwischen Anspruch und Realität zu schließen – insbesondere in kleineren Unternehmen.

NIS-2 soll Cyberresilienz EU-weit stärken

Solche innovativen Ansätze verdeutlichten den unumkehrbaren Wandel: Der Schutz der digitalen und physischen Produktion sei keine separate IT-Aufgabe mehr, sondern verschmelze mit der Kernstrategie zur Sicherung der unternehmerischen Zukunftsfähigkeit.

  • Die Frage für den Mittelstand sei längst nicht mehr ob, sondern wie er diese neue Realität gestaltet.

Ein Forum für den strategischen Austausch zwischen Vordenkern, Praktikern und Entscheidern soll nun die „ISACA Europe Conference“ vom 7. bis 9. Oktober 2026 in München bieten. Denn letztendlich gehe es darum, gemeinsam die wichtigste Währung in der digitalen Wirtschaft zu sichern – das Vertrauen der Kunden, Partner und des Gesetzgebers.

Weitere Informationen zum Thema:

ISACA
The principles behind our purpose / Our mission and vision reflect the core values that drive everything we do

ISACA
Meet ISACA’s Leadership Team / Chris Dimitriadis – Chief Global Strategy Officer

ISACA
ISACA 2026 EUROPE CONFERENCE / Munich, Germany | 7-9 October

bitkom, 2025
Wirtschaftsschutz 2025 / Lagebild der deutschen Wirtschaft

datensicherheit.de, 02.07.2026
Die eigentliche Herausforderung beginnt erst jetzt: NIS-2-Registrierung genügt nicht / Nach Beobachtung von Axians sind viele Unternehmen trotz Registrierung nicht in der Lage, die regulatorischen Anforderungen im Ernstfall zu erfüllen

datensicherheit.de, 21.05.2026
NIS-2 und eIDAS-Update im Fokus: TeleTrusT-Podcast mit Tim Golly, Markus Schuster und Carsten Vossel / Der aktuelle TeleTrusT-Podcast behandelt den Themenkomplex NIS-2 sowie eIDAS-Update und zieht eine erste Bilanz zur Umsetzung in Unternehmen

datensicherheit.de, 11.01.2026
KMU-Fitness für NIS-2: Universität Paderborn bietet Online-Tool und Lernplattform zur Stärkung der Cybersicherheit / NIS-2 als die überarbeitete EU-Richtlinie von 2022 betrifft nun ca. 30.000 Unternehmen aus 18 Sektoren – von Gesundheit über Transport bis Telekommunikation

datensicherheit.de, 07.01.2026
BSI-Portal ab sofort für zweiten Schritt zur NIS-2-Registrierung freigeschaltet / Vom Inkrafttreten des NIS-2-Umsetzungsgesetzes betroffene Betriebe müssen sich als „NIS-2-Einrichtung“ registrieren lassen und dem BSI stets „erhebliche Sicherheitsvorfälle“ zwingend melden



Kommentare sind geschlossen.

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung