NIS-2 in NRW: Nur jedes zehnte betroffene Unternehmen hat die Vorgaben umgesetzt
Seit Dezember 2025 ist NIS-2 verbindlich – doch eine neue Studie zeigt, dass die meisten betroffenen Betriebe in Nordrhein-Westfalen die Anforderungen schlicht ignorieren.
Nur jedes zehnte Unternehmen in NRW, das unter die NIS-2-Richtlinie fällt, hat die gesetzlichen Anforderungen vollständig erfüllt. Rund 30 Prozent haben bislang überhaupt keine Maßnahmen ergriffen. Das geht aus einer Auswertung von DIGITAL.SICHER.NRW auf Basis einer repräsentativen Studie von G DATA CyberDefense hervor.
Der auffälligste Befund der Studie ist weniger die Umsetzungslücke selbst als ihre Ursache: Die Mehrheit der Beschäftigten fühlt sich laut Studie kompetenter denn je im Umgang mit IT-Sicherheit – und genau das scheint das Problem zu sein. Das subjektive Sicherheitsgefühl schlägt sich nicht in konkreten Schutzmaßnahmen nieder. Rund die Hälfte der befragten Betriebe stuft das eigene Risiko, Opfer eines Cyberangriffs zu werden, als gering oder sehr gering ein. Dieser Wert ist in den vergangenen Jahren sogar gestiegen, obwohl zwei Drittel der Unternehmen gleichzeitig erwarten, dass KI-gestützte Cyberangriffe künftig zunehmen werden.
Kommt es zu einem Sicherheitsvorfall, reagieren NRW-Unternehmen im Bundesvergleich am schnellsten, meist innerhalb einer Woche. Die Folgen bleiben trotzdem erheblich: Fast drei Viertel der Befragten berichten von Betriebsausfällen, Datenverlusten oder finanziellen Schäden.
KMU mit besonderem Nachholbedarf
Kleine und mittlere Unternehmen schneiden in der Studie besonders schlecht ab. Sie bewerten den Reifegrad ihrer IT-Sicherheit niedriger als Großunternehmen und schätzen ihre Sicherheitskultur schwächer ein. Knapp die Hälfte aller Unternehmen stuft den Fachkräftemangel im Bereich IT-Sicherheit zusätzlich als hoch oder sehr hoch ein – ein strukturelles Problem, das die Umsetzung gesetzlicher Vorgaben weiter erschwert.
Sebastian Barchnicki, Sprecher der Geschäftsführung bei DIGITAL.SICHER.NRW, verweist darauf, dass gerade KMU niedrigschwellig anfangen könnten: „Digitale Selbstverteidigung muss weder kompliziert noch teuer sein – wichtig ist, überhaupt anzufangen.“
Die Studie steht hier kostenlos zur Verfügung: www.digital-sicher.nrw/fileadmin/News/2026/G_DATA_Studie/Studie_zur_IT-Sicherheit_in_Unternehmen_2026.pdf