Mehr als die Hälfte der deutschen Unternehmen hat noch nicht geprüft, ob sie von den neuen Cybersicherheitspflichten betroffen ist. Das zeigt eine Untersuchung des Datenrettungsunternehmens Data Reverse. 53 Prozent der befragten Firmen haben ihre Betroffenheit durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz nicht ermittelt, obwohl das Gesetz bereits in Kraft getreten ist und keine Übergangsfristen gelten.
Externer Datenrettungskontakt absolute Ausnahme
Data Reverse befragte im Oktober 2025 auf der IT-Messe IT-SA in Nürnberg 245 IT-Verantwortliche. 22 Prozent der Befragten sehen sich klar von dem Gesetz betroffen, weitere 25 Prozent sind unsicher. 71 Prozent halten sich für vorbereitet, können dies nach Angaben von Data Reverse aber oft nicht belegen. Nur 33 Prozent testen ihre Wiederherstellungsprozesse regelmäßig. Lediglich 4 Prozent haben einen externen Datenrettungskontakt im Notfallplan verankert.
Das Gesetz betrifft Unternehmen aus Energie, Transport, Lebensmittel- und Gesundheitswesen, verarbeitender Industrie, IT-Dienstleistungen und digitalen Diensten. Schon ab 50 Mitarbeitern oder einem Jahresumsatz über 10 Millionen Euro kann eine Pflicht zum Umsetzen aller Maßnahmen bestehen. Erstmals greift eine persönliche Haftung der Geschäftsleitung.
Bindig: Fehlende Übergangsfristen verschärfen Lage zusätzlich
„Viele Unternehmen überschätzen ihren tatsächlichen Umsetzungsstand“, kommentierte Geschäftsführer Jan Bindig. „Besonders im Bereich der Wiederherstellungsfähigkeit bestehen gravierende Defizite.“ Testbare Wiederherstellungsprozesse seien ein zentrales Element der Pflichten und müssten schnell nachgearbeitet werden. „Die fehlenden Übergangsfristen verschärfen die Lage zusätzlich“, so Bindig. Unternehmen müssten kurzfristig nachweisen können, dass ihre Notfallprozesse funktionierten.
Data Reverse ist nach eigenen Angaben seit über 20 Jahren in Deutschland im Bereich Datenrettung und Notfallwiederherstellung tätig.
