NIS2: Der 6. Dezember und die Folgen für 2026

Kürzlich hatte ich ein Gespräch, das mir seitdem nicht mehr aus dem Kopf geht. Ein IT-Verantwortlicher erzählte mir, dass in seiner Geschäftsleitung plötzlich der Wunsch nach KI-Einsatz aufkam. Soweit nachvollziehbar. Doch dann wurde eine Frage gestellt, die mich aufhorchen ließ: „KI oder NIS2 – was machen wir zuerst?" Es klang, als müsse man sich zwischen Innovation und Sicherheit entscheiden.

Diese Frage ist kein Einzelfall. Ich höre sie in unterschiedlichen Variationen immer häufiger. Und sie offenbart ein Missverständnis, das 2026 vielen Unternehmen teuer zu stehen kommen könnte: Die Vorstellung, man könne diese beiden Entwicklungen getrennt behandeln. Hier das Compliance-Vorhaben, dort das Innovationsprojekt.

Nach über 20 Jahren in der IT-Security und unzähligen Gesprächen der letzten Monate bin ich überzeugt: 2026 wird das Jahr sein, das diese Illusion beendet.

Der 6. Dezember als Wendepunkt 🔃

Nach über zwei Jahren Gesetzgebung, dem Ende der Ampel-Koalition und dem Antritt einer neuen Regierung hat der Bundestag und Bundesrat das NIS2-Umsetzungsgesetz endlich beschlossen. Am 6. Dezember ist das Gesetz in Kraft getreten.

Statt wie bisher einige tausend Unternehmen fallen jetzt rund dreißigtausend unter die Aufsicht des BSI. Für die meisten davon ist das komplettes Neuland. Was ich in unseren Gap-Analysen der letzten Wochen sehe: Eine massive Zweiteilung, wie Unternehmen damit umgehen.

2026 zeigt die Schattenseite der KI-Revolution 

Gleichzeitig erleben wir, wie sich die Bedrohungslage fundamental verändert. Die Angriffszahlen in Deutschland haben 2025 noch einmal deutlich zugelegt. Bereits bis September wurden mehr Ransomware-Attacken verzeichnet als im gesamten Vorjahr. Laut dem „2025 Ransomware Risk Report" von Semperis sind in den vergangenen zwölf Monaten neun von zehn deutschen Unternehmen Ziel eines solchen Angriffs geworden, und bei rund zwei Dritteln war dieser auch erfolgreich.

Was mich dabei besonders beschäftigt: Die Angreifer setzen längst auf künstliche Intelligenz. Sie nutzen sie für automatisierte Aufklärung, für Schadsoftware, die sich anpasst und für Phishing-Kampagnen die so individuell zugeschnitten sind, dass selbst aufmerksame Mitarbeiter ins Grübeln kommen.

Wie stark diese Bedrohung wächst, macht der Bericht „State of Cybersecurity Resilience 2025“ von Accenture deutlich: Knapp die Hälfte der Unternehmen weltweit sieht in KI-gestützten Angriffen inzwischen als ihre größte Sorge. Gleichzeitig räumen neun von zehn ein dass sie für solche Angriffe eigentlich nicht gerüstet sind.

▶️ Diese Lücke wird 2026 nicht kleiner werden. Sie wird größer. Und sie wird sichtbarer.

Warum die Trennung scheitern wird

Zurück zu der Frage „KI oder NIS2 – was zuerst?" Sie impliziert, dass man nacheinander vorgehen kann. Erst das eine abarbeiten, dann das andere angehen. Aber genau diese Logik funktioniert nicht mehr.

Wer KI einführt, ohne die grundlegenden Sicherheitsfragen geklärt zu haben, baut auf Sand. Welche Daten fließen in die KI-Systeme ein und wohin gehen sie? Welche Abhängigkeiten entstehen zu externen Anbietern? Wie lassen sich die Schnittstellen absichern? Was passiert, wenn das System halluziniert oder jemand versucht, es durch geschickte Eingaben zu manipulieren?

Das sind exakt die Fragen, zu deren Beantwortung uns NIS2 ohnehin zwingt. Unternehmen die ihre Datenflüsse, Abhängigkeiten und Schnittstellen für NIS2 sauber dokumentieren müssen, haben plötzlich eine belastbare Grundlage für sichere KI-Projekte. Die anderen experimentieren im luftleeren Raum und werden 2026 die Konsequenzen erleben.

Umgekehrt funktioniert es genauso wenig. Wer seine Verteidigung nicht mit intelligenten Systemen verstärkt, wird schlicht nicht mehr Schritt halten können. Moderne Angriffe sind schneller als jedes noch so engagierte Security-Team reagieren kann. Klassische Sicherheitssysteme, die darauf trainiert sind bekannte Angriffsmuster zu erkennen reichen nicht mehr.

KI-basierte Systeme, die kontinuierlich dazulernen, Anomalien in Echtzeit identifizieren und automatisiert reagieren können, werden 2026 vom Nice-to-have zum Standard. Sie erkennen Angreifer früher – oft schon in den ersten Stunden statt erst nach Wochen. Das ist entscheidend, denn der Schaden eines Cyberangriffs hängt direkt davon ab, wie lange Angreifer unentdeckt im Netzwerk bleiben können. 

Neue Verantwortung für die Geschäftsleitung

Was NIS2 fundamental anders macht als vorherige Regulierung: Die persönliche Haftung der Geschäftsleitung. Das ist die Anerkennung, dass Cybersecurity kein IT-Thema mehr ist, sondern ein echtes Geschäftsrisiko.

2026 wird diese Haftung real. Geschäftsleitungen, die bisher Security als Thema delegiert haben, werden sich damit auseinandersetzen müssen. Die Frage „Können wir uns darauf verlassen?" wird zur persönlichen Frage. Das verändert die Dynamik fundamental. Plötzlich geht es nicht mehr nur um IT-Budgets, sondern um persönliche Verantwortung.