Etwa jedes siebte Unternehmen in der Informationswirtschaft und jedes achte Unternehmen im Verarbeitenden Gewerbe hat im vergangenen Jahr Schäden durch Cyberangriffe erlitten. Das geht aus einer repräsentativen Befragung des ZEW Mannheim hervor, an der sich im Dezember 2025 und Januar 2026 rund 1.100 Unternehmen beteiligten. Die EU-Richtlinie zur Netz- und Informationssicherheit NIS-2 soll zu mehr Cybersicherheit beitragen. Deren Umsetzung wird aber von einem Großteil der von der neuen Regelung betroffenen Unternehmen in Deutschland kritisch bewertet.
Cyberangriffe auf dem Vormarsch
„Für die Geschäftsabläufe der meisten Unternehmen sind möglichst reibungslos funktionierende IT-Systeme essenziell. Der jüngste Hackerangriff auf die Deutsche Bahn verdeutlicht allerdings, welchen Cyberbedrohungen Unternehmen hierbei täglich ausgesetzt sind“, erklärt Studienleiter Dr. Daniel Erdsiek aus dem ZEW-Forschungsbereich „Digitale Ökonomie“. „In der Informationswirtschaft, die unter anderem IT-Dienstleister umfasst, berichten 9% der Unternehmen, im vergangenen Jahr Ausfallzeiten durch Cyberangriffe erlitten zu haben. Im Verarbeitenden Gewerbe kam es bei 7% der Unternehmen zu solchen Betriebsunterbrechungen.“
Rund vier bis 5% der Unternehmen geben derweil an, finanzielle Verluste erlitten zu haben, wobei direkte Lösegeldzahlungen mit etwa ein bis 2% etwas seltener vorgekommen sind. Den Verlust oder den Abfluss sensibler Daten hatten rund 3% der Unternehmen zu verkraften.
NIS-2-Richtlinie für mehr Cybersicherheit
Vor diesem Hintergrund verschärft die NIS-2-Richtlinie der EU die Cybersicherheitsanforderungen für Unternehmen. Während unter der ersten NIS-Richtlinie vor allem Betreiber kritischer Infrastrukturen etwa aus den Bereichen Energie oder Gesundheitswesen erfasst waren, werden mit NIS-2 deutlich mehr und auch kleinere Unternehmen aus zusätzlichen Sektoren einbezogen. Darunter fallen auch Anbieter digitaler Dienste sowie Unternehmen aus Industriebranchen wie Chemie oder Lebensmittelproduktion. Die Richtlinie definiert Mindeststandards, sieht Meldepflichten bei Sicherheitsvorfällen vor und verschärft die Sanktionsregelungen. Das entsprechende Umsetzungsgesetz ist am 06.12.2025 in Deutschland in Kraft getreten. Betroffene Unternehmen und Organisationen sind verpflichtet, sich bis zum 06.03.2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren.
„Rund 57% der nach eigener Einschätzung von der NIS-2-Richtlinie betroffenen Unternehmen aus der Informationswirtschaft und dem Verarbeitenden Gewerbe geben an, die neuen Vorgaben bereits weitgehend zu erfüllen“, so Dr. Eliza Stenzhorn aus dem ZEW-Forschungsbereich „Digitale Ökonomie“. Zugleich äußern jedoch 17% der Unternehmen, die Anforderungen bislang eher nicht oder überhaupt nicht zu erfüllen. Rund die Hälfte der voraussichtlich betroffenen Unternehmen sieht in der Richtlinie einen Beitrag zur Stärkung der Cybersicherheit von Unternehmen in Deutschland. „Viele Unternehmen erkennen zwar den Nutzen der NIS-2-Richtlinie an. Gleichzeitig sehen viele Unternehmen die konkrete Ausgestaltung als herausfordernd. So bewerten rund 60% der Unternehmen den administrativen Aufwand als zu hoch und die Meldepflichten als zu umfangreich. Ähnlich viele Unternehmen sind darüber hinaus der Meinung, dass die möglichen Sanktionen zu hoch angesetzt sind“, so Stenzhorn.
