Deutsche Unternehmen ignorieren Cybersicherheits-Pflichten: BSI verzeichnet geringe Registrierungsquote
Nur ein Bruchteil der deutschen Unternehmen aus dem Bereich der kritischen Infrastruktur hat bislang seine gesetzlichen Cybersicherheits-Pflichten erfüllt. Wie aus einer Antwort der Bundesregierung auf eine parlamentarische Anfrage der Grünen-Fraktion hervorgeht, haben sich lediglich 4.856 wichtige und besonders wichtige Einrichtungen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren lassen. Diese Zahl stellt einen alarmierenden Mangel an Compliance dar, denn eigentlich hätten sich rund 29.500 Unternehmen und Organisationen beim BSI eintragen lassen müssen.
EU-Richtlinie NIS-2 mit klaren Vorgaben
Die Registrierungspflicht ist ein zentraler Bestandteil der NIS-2-Richtlinie der Europäischen Union, die den Schutz der kritischen Infrastruktur vor Cyberangriffen und IT-Ausfällen deutlich verschärft. Unternehmen, die als "wesentliche" oder "wichtige" Einrichtungen eingestuft werden, müssen nicht nur ihre Stammdaten und Kontaktinformationen beim BSI hinterlegen, sondern auch umfassende Sicherheitsmaßnahmen implementieren. Dazu gehören unter anderem regelmäßige Schulungen der Mitarbeiter und die verpflichtende Meldung sämtlicher Cybersicherheits-Vorfälle an die Bonner Behörde.
Registrierung als Grundlage für Krisenkommunikation
Die Hinterlegung der Kontaktdaten dient einem essenziellen Zweck: Im Falle einer großflächigen Cyber-Bedrohungslage oder bei der Entdeckung kritischer Sicherheitslücken kann das BSI die richtigen Ansprechpartner in den Unternehmen sofort erreichen und warnen. Diese direkte Kommunikationsmöglichkeit ist für die Abwehr koordinierter Angriffe auf lebenswichtige Infrastrukturen wie Energieversorgung, Gesundheitswesen oder Verkehr unverzichtbar.
Konsequenzen bei Fristversäumnis
Unternehmen, die die Registrierungsflicht ignorieren, begehen eine Ordnungswidrigkeit und müssen mit erheblichen Konsequenzen rechnen. Das BSI kann sofort Zwangsgelder festsetzen, um die Registrierung zu erzwingen, sowie Bußgelder wegen Verstoßes gegen Compliance-Pflichten verhängen. In gravierenden Fällen behält sich die Behörde zudem Aufsichtsmaßnahmen vor, die mit tiefergehenden Prüfungen des gesamten Sicherheitskonzepts der betroffenen Unternehmen einhergehen können.
Politische Kritik an mangelnder Umsetzung
Die Grünen-Bundestagsabgeordnete Jeanne Dillschneider äußerte scharfe Kritik an der aktuellen Situation: "Die Antwort der Bundesregierung zum niedrigen Stand der Registrierungen ist ein Armutszeugnis. Wenn sich nur ein Bruchteil registriert, wurde der Ernst der Lage noch immer nicht erkannt. Und das, während die Bedrohungslage wächst und wir täglich Cyberangriffe erleben." Diese Einschätzung unterstreicht die Diskrepanz zwischen der zunehmenden Cyber-Bedrohung und den unzureichenden Schutzmaßnahmen in vielen Unternehmen der kritischen Infrastruktur.
Die Luftfahrtbranche gehört zu den Sektoren, die unter die NIS-2-Regulierung fallen und somit von den verschärften Sicherheitsanforderungen betroffen sind. Die geringe Registrierungsquote zwei Wochen vor Fristende am 6. März 2026 deutet darauf hin, dass viele Unternehmen die Bedeutung der Cybersicherheitsvorschriften noch immer unterschätzen oder die Umsetzung vernachlässigen.
