Informationswirtschaft | Befragung zu Schäden durch Cyberangriffe und Umsetzung der neuen EU-Richtlinie (ZEW)

Das Leibniz-Zentrum für Europäische Wirtschaftsforschung GmbH Mannheim (ZEW) hat die Ergebnisse seiner Befragung zu Schäden durch Cyberangriffe und Umsetzung der neuen EU-Richtlinie NIS-2 veröffentlicht, an der sich im Dezember 2025 und Januar 2026 rund 1.100 Unternehmen beteiligt haben.

Hintergrund: Die Daten vom Dezember 2025 und Januar 2026 wurden im Rahmen des ZEW-Branchenreports Informationswirtschaft erhoben. Dafür haben die Forschenden rund 1.100 Unternehmen in Deutschland befragt. Sie stammen aus dem Verarbeitenden Gewerbe und der Informationswirtschaft, die sich aus IKT-Branche, Mediendienstleistern und wissensintensiven Dienstleistern zusammensetzt. Unter den befragten Unternehmen gaben rund 200 Unternehmen an, voraussichtlich von der NIS-2-Richtlinie betroffen zu sein.

Hierzu führt das ZEW u.a. weiter aus:

"Für die Geschäftsabläufe der meisten Unternehmen sind möglichst reibungslos funktionierende IT-Systeme essenziell. Der jüngste Hackerangriff auf die Deutsche Bahn verdeutlicht allerdings, welchen Cyberbedrohungen Unternehmen hierbei täglich ausgesetzt sind", erklärt Studienleiter Dr. Daniel Erdsiek aus dem ZEW-Forschungsbereich „Digitale Ökonomie“. „In der Informationswirtschaft, die unter anderem IT-Dienstleister umfasst, berichten neun Prozent der Unternehmen, im vergangenen Jahr Ausfallzeiten durch Cyberangriffe erlitten zu haben. Im Verarbeitenden Gewerbe kam es bei sieben Prozent der Unternehmen zu solchen Betriebsunterbrechungen.“

Rund vier bis fünf Prozent der Unternehmen geben derweil an, finanzielle Verluste erlitten zu haben, wobei direkte Lösegeldzahlungen mit etwa ein bis zwei Prozent etwas seltener vorgekommen sind. Den Verlust oder den Abfluss sensibler Daten hatten rund drei Prozent der Unternehmen zu verkraften.

Größere Unternehmen häufiger betroffen

"Wie häufig Unternehmen von schädlichen Cyberangriffen berichten, steht im Zusammenhang mit deren Größe. So berichten größere Unternehmen mit mindestens 100 Beschäftigten besonders häufig, dass ihnen im vergangenen Jahr Schäden durch Cyberangriffe entstanden sind. In der Informationswirtschaft sind es 20 Prozent und im Verarbeitenden Gewerbe 17 Prozent der Unternehmen", so Erdsiek.

NIS-2-Richtlinie für mehr Cybersicherheit

Vor diesem Hintergrund verschärft die NIS-2-Richtlinie der EU die Cybersicherheitsanforderungen für Unternehmen. Während unter der ersten NIS-Richtlinie vor allem Betreiber kritischer Infrastrukturen etwa aus den Bereichen Energie oder Gesundheitswesen erfasst waren, werden mit NIS-2 deutlich mehr und auch kleinere Unternehmen aus zusätzlichen Sektoren einbezogen. Darunter fallen auch Anbieter digitaler Dienste sowie Unternehmen aus Industriebranchen wie Chemie oder Lebensmittelproduktion. Die Richtlinie definiert Mindeststandards, sieht Meldepflichten bei Sicherheitsvorfällen vor und verschärft die Sanktionsregelungen. Das entsprechende Umsetzungsgesetz ist am 6.12.2025 in Deutschland in Kraft getreten. Betroffene Unternehmen und Organisationen sind verpflichtet, sich bis zum 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren.

"Rund 57 Prozent der nach eigener Einschätzung von der NIS-2-Richtlinie betroffenen Unternehmen aus der Informationswirtschaft und dem Verarbeitenden Gewerbe geben an, die neuen Vorgaben bereits weitgehend zu erfüllen", so Dr. Eliza Stenzhorn aus dem ZEW-Forschungsbereich "Digitale Ökonomie". Zugleich äußern jedoch 17 Prozent der Unternehmen, die Anforderungen bislang eher nicht oder überhaupt nicht zu erfüllen.

Rund die Hälfte der voraussichtlich betroffenen Unternehmen sieht in der Richtlinie einen Beitrag zur Stärkung der Cybersicherheit von Unternehmen in Deutschland. "Viele Unternehmen erkennen zwar den Nutzen der NIS-2-Richtlinie an. Gleichzeitig sehen viele Unternehmen die konkrete Ausgestaltung als herausfordernd. So bewerten rund 60 Prozent der Unternehmen den administrativen Aufwand als zu hoch und die Meldepflichten als zu umfangreich. Ähnlich viele Unternehmen sind darüber hinaus der Meinung, dass die möglichen Sanktionen zu hoch angesetzt sind", so Stenzhorn.

Quelle: ZEW, Pressemitteilung v. 2.3.2026 (il)