NIS-2-Umsetzungsgesetz erklärt: Vollständiger Leitfaden für deutsche Unternehmen 2026
25. April 2026
24 Min. Lesezeit
Cyber Security
Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) setzt die EU-Richtlinie 2022/2555 (NIS-2) in deutsches Recht um und erweitert das Bundesgesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Es betrifft rund 30.000 deutsche Unternehmen in 18 Sektoren — verpflichtet sie zu konkreten Sicherheitsmaßnahmen, einer dreistufigen Incident-Meldung (24 Std. / 72 Std. / 1 Monat) und persönlicher Haftung der Geschäftsleitung. Geldbußen erreichen 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes — wobei der höhere Betrag gilt.
Kerntatsachen
Das NIS2UmsuCG erweitert den Anwendungsbereich des bisherigen BSI-Gesetzes von ca. 4.500 KRITIS-Betreibern auf rund 30.000 Unternehmen in 18 Sektoren.
Anlage 1 (wesentliche Einrichtungen) und Anlage 2 (wichtige Einrichtungen) lösen die alten KRITIS-Schwellen ab.
Meldepflichten: Frühwarnung in 24 Std., vollständige Meldung in 72 Std., Abschlussbericht in 1 Monat — an das BSI über das einheitliche Melde- und Lageportal.
Persönliche Haftung der Geschäftsleitung: bis zu zeitweise Untersagung der Leitungsfunktion bei Verstößen.
Geldbußen: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen — der höhere Betrag gilt.
Aufsicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) — sektorspezifisch ergänzt durch BaFin (Finanzsektor) und BNetzA (Telekommunikation, Energie).
NIS-2 (Network and Information Security Directive 2 — Richtlinie (EU) 2022/2555) ist der EU-weite Rahmen für Cyber Security, der am 14. Dezember 2022 verabschiedet und am 16. Januar 2023 in Kraft getreten ist. Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) setzt diese Richtlinie in deutsches Recht um — durch eine umfassende Novellierung des BSI-Gesetzes (BSIG) und Folgeänderungen in mehreren Fachgesetzen (TKG, EnWG, BSIG, IT-SiG).
NIS-2 bringt gegenüber der ursprünglichen NIS-Richtlinie aus 2016 (in Deutschland im IT-Sicherheitsgesetz 2.0 umgesetzt) erhebliche Verschärfungen:
Erweiterter Anwendungsbereich — 18 Sektoren statt bisher rund 7
Strengere Pflichten — konkrete Mindestmaßnahmen in zehn Risikomanagement-Bereichen
Höhere Bußgelder — orientiert am DSGVO-Modell (bis 2 % des weltweiten Umsatzes)
Lieferkette — erstmals explizite Pflichten zum Lieferanten- und Drittanbieter-Risikomanagement
Persönliche Verantwortung der Leitung — Mitglieder der Geschäftsleitung können persönlich haftbar gemacht werden
Kennzahl
Das BSI rechnet mit einer Erweiterung des Adressatenkreises von rund 4.500 KRITIS-Betreibern auf etwa 29.500 Unternehmen — eine Versechsfachung. Schätzungen aus dem Bundestags-Drucksachenverfahren liegen je nach Branchenstruktur in einer Bandbreite von 27.000 bis 32.000 Einrichtungen.
Vom BSIG zum NIS-2-Umsetzungsgesetz
Die NIS-Richtlinie aus 2016 war Deutschlands erstes Cyber-Security-Bundesgesetz, umgesetzt durch das IT-Sicherheitsgesetz 2.0 (2021) und das BSIG. Sie hatte jedoch wesentliche Schwächen — uneinheitliche Anwendung in den EU-Mitgliedstaaten, zu enger Adressatenkreis und unzureichende Sanktionen.
Parallel verschärfte sich die Bedrohungslage dramatisch:
Ransomware-Welle. Angriffe auf das Universitätsklinikum Düsseldorf (2020), die Funke-Mediengruppe (2020) und den Anhalt-Bitterfeld-Landkreis (2021) demonstrierten Verletzlichkeit auch im Mittelstand und der öffentlichen Verwaltung.
Lieferketten-Angriffe. Der SolarWinds-Vorfall (2020) machte deutlich, dass die Kompromittierung eines einzigen Lieferanten Tausende von Unternehmen gefährden kann.
Geopolitischer Kontext. Der Krieg in der Ukraine und die hybriden Bedrohungen gegen die NATO-Infrastruktur erhöhten den Druck auf Energieversorger, Telekommunikation und Wassersektor.
Uneinheitliche Umsetzung. Die unterschiedlichen Umsetzungsstandards in den EU-Mitgliedstaaten schufen Sicherheitslücken — Angreifer wählten gezielt das schwächste Glied.
Schlüsselindikatoren der Bedrohungslage
152 % — Anstieg der Ransomware-Angriffe in den vergangenen fünf Jahren (BSI Lagebericht 2024)
18 — Anzahl der von NIS-2 erfassten Sektoren (mehr als doppelt so viele wie unter NIS-1)
24 Std. — Neue Frist für Frühwarnung bei Sicherheitsvorfällen
10 Mio. EUR — Maximalbußgeld für wesentliche Einrichtungen
Wer ist betroffen — Anlage 1 vs. Anlage 2
Das NIS2UmsuCG ersetzt die bisherige KRITIS-Logik durch zwei neue Kategorien:
Wesentliche Einrichtungen (Anlage 1)
Sektoren mit hoher Kritikalität — wesentliche Einrichtungen unterliegen proaktiver (ex-ante) Aufsicht durch das BSI, also regelmäßigen Prüfungen ohne konkreten Anlass.
Sektor
Beispiele
Energie
Strom, Erdöl, Gas, Wasserstoff, Fernwärme
Verkehr
Luft-, Schienen-, Schiffs-, Straßenverkehr
Bankwesen
Kreditinstitute
Finanzmarktinfrastrukturen
Handelsplätze, zentrale Gegenparteien
Gesundheitswesen
Krankenhäuser, EU-Referenzlabore, Pharma-F&E, Hersteller von Arzneimitteln
Einrichtungen der angewandten Forschung (ohne Bildungseinrichtungen)
Größenkriterien — die "Size-Cap-Rule"
Grundsätzlich gilt: Eine Einrichtung fällt unter NIS-2, wenn sie in einem der Sektoren tätig ist und mindestens mittlere Unternehmensgröße erreicht:
Wesentliche Einrichtung (Anlage 1): Großunternehmen — ab 250 Mitarbeitenden oder Jahresumsatz über 50 Mio. EUR und Jahresbilanzsumme über 43 Mio. EUR
Wichtige Einrichtung (Anlage 2): Mittlere Unternehmen — ab 50 Mitarbeitenden oder Jahresumsatz über 10 Mio. EUR und Jahresbilanzsumme über 10 Mio. EUR
Ausnahmen — automatisch wesentliche Einrichtungen unabhängig von der Größe
Bestimmte Anbieter sind unabhängig von ihrer Größe wesentliche Einrichtungen:
Qualifizierte Vertrauensdiensteanbieter (eIDAS)
TLD-Registries und DNS-Diensteanbieter
Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste (sofern mittlere Unternehmensgröße erreicht)
Einrichtungen der Bundesverwaltung
Hinweis zur Selbstklassifizierung
Das NIS2UmsuCG verlangt eine Selbstklassifizierung durch die betroffenen Einrichtungen — es gibt keine behördliche Bestimmung. Unternehmen müssen eigenständig prüfen, ob sie unter Anlage 1 oder 2 fallen, und sich beim BSI registrieren. Eine fehlende oder fehlerhafte Selbstregistrierung ist bußgeldbewehrt.
Wesentliche und wichtige Einrichtungen müssen technische, organisatorische und personelle Maßnahmen ergreifen, um Risiken für die Sicherheit der Netz- und Informationssysteme zu beherrschen. Die zehn Mindestbereiche entsprechen Art. 21 NIS-2 und sind in § 30 BSIG-neu für Deutschland normiert:
Konzepte für die Risikoanalyse und für Sicherheit von Informationssystemen
Bewältigung von Sicherheitsvorfällen — Erkennung, Reaktion, Wiederherstellung
Aufrechterhaltung des Geschäftsbetriebs — Backup, Disaster Recovery, Krisenmanagement
Sicherheit der Lieferkette — einschließlich sicherheitsbezogener Aspekte der Beziehungen zu Lieferanten und Diensteanbietern
Sicherheit bei Beschaffung, Entwicklung und Wartung der Netz- und Informationssysteme
Verfahren zur Bewertung der Wirksamkeit der Risikomanagement-Maßnahmen
Cyber-Hygiene und Schulungen für Mitarbeitende
Kryptographie und Verschlüsselung soweit angemessen
Multi-Faktor-Authentifizierung (MFA) und gesicherte Sprach-, Video- und Textkommunikation
Konkretisierung durch BSI-Standards
Der BSI-Grundschutz und die ISO/IEC 27001 sind die anerkannten Frameworks, mit denen sich die zehn Bereiche operativ umsetzen lassen. Das BSI plant eine konkretisierende Verwaltungsvorschrift, in der die Anforderungen pro Sektor und Größenklasse näher beschrieben werden.
ISO 27001 vorhanden?
Ein bestehendes ISMS nach ISO/IEC 27001 deckt etwa 70–80 % der NIS-2-Pflichten zum Risikomanagement ab. Lücken bestehen typischerweise bei: Lieferketten-Sicherheit, Geschäftsleitungspflichten, Meldepflichten an das BSI und Cyber-Hygiene-Schulungen. Eine Gap-Analyse zeigt, welche Module ergänzt werden müssen.
Meldepflichten — die 24/72/30-Regel
NIS-2 führt ein dreistufiges Meldesystem ein, das deutlich strenger ist als unter NIS-1:
Stufe
Frist
Inhalt
Empfänger
Frühwarnung
24 Std.
Erste Information — wahrscheinliche Ursache, mögliche grenzüberschreitende Auswirkungen
BSI (Melde- und Lageportal)
Vorfallmeldung
72 Std.
Aktualisierte Bewertung — Schweregrad, Auswirkungen, Indicators of Compromise (IOCs)
Die Frist beginnt mit Kenntnis von einem erheblichen Sicherheitsvorfall — nicht mit Abschluss der internen Untersuchung.
Was ist ein "erheblicher Sicherheitsvorfall"?
Ein Vorfall ist erheblich, wenn er
eine schwerwiegende Betriebsstörung der Dienste oder einen finanziellen Schaden verursachen kann oder
andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigen kann.
Die Konkretisierung erfolgt über sektorale Schwellen, die das BSI in einer Verwaltungsvorschrift festlegen wird.
Goldene Regel
Im Zweifel melden. Eine unterlassene Meldung eines erheblichen Vorfalls ist bußgeldbewehrt — eine Meldung, die sich nachträglich als nicht meldepflichtig erweist, hat hingegen keine negativen Konsequenzen. Lieber eine zu viele als eine zu wenige.
Parallelmeldung bei Datenpannen
Wenn ein Sicherheitsvorfall gleichzeitig eine Datenschutzverletzung im Sinne der DSGVO darstellt (z. B. Ransomware mit Datenexfiltration), muss er doppelt gemeldet werden:
An das BSI — innerhalb von 24/72 Std. nach NIS-2
An die zuständige Datenschutzaufsichtsbehörde (BfDI bei Bundesangelegenheiten oder LfDI für die Privatwirtschaft) — innerhalb von 72 Std. nach Art. 33 DSGVO
Gegebenenfalls an die Betroffenen — bei hohem Risiko nach Art. 34 DSGVO
Die Meldungen sind inhaltlich nicht identisch — die DSGVO-Meldung fokussiert auf Auswirkungen für betroffene Personen, die NIS-2-Meldung auf operative Auswirkungen und Cyber-Lage.
Geschäftsleitungspflichten und persönliche Haftung
Das NIS2UmsuCG verlagert die Cyber-Security-Verantwortung explizit auf die oberste Leitungsebene. § 38 BSIG-neu verpflichtet die Geschäftsleitung dazu,
die Risikomanagement-Maßnahmen zu billigen und ihre Umsetzung zu überwachen,
regelmäßige Schulungen zu Cyber-Risiken zu absolvieren,
eine den Risiken angemessene Mittelausstattung sicherzustellen und
persönlich für Verstöße der Einrichtung haftbar gemacht zu werden.
Was bedeutet "persönliche Haftung"?
Bußgelder gegen die Geschäftsleitung persönlich sind nach dem NIS2UmsuCG zwar nicht direkt vorgesehen — die Bußgelder treffen die Einrichtung. Doch:
Innenhaftung — die Geschäftsleitung haftet gegenüber der Gesellschaft nach §§ 43 GmbHG bzw. 93 AktG bei Verletzung der Sorgfaltspflichten. Cyber-Security ist eine Compliance-Pflicht der Leitung.
Zeitweise Untersagung der Leitungsfunktion — § 65 BSIG-neu ermöglicht dem BSI, auf Antrag bei wiederholten und schwerwiegenden Verstößen die Untersagung der Leitungsfunktion bei der jeweiligen Einrichtung anzuordnen.
Konsequenz für Vorstände und Geschäftsführer
Cyber-Security ist nun ausdrücklich Chefsache. Die Befassung der Geschäftsleitung — Schulung, Beschluss über Risikoakzeptanz, Freigabe der Maßnahmen — ist dokumentationspflichtig. Ohne Nachweise droht die persönliche Sorgfaltspflicht-Haftung. D&O-Versicherungen sollten geprüft und ggf. angepasst werden.
Bußgelder und Sanktionen
Das NIS2UmsuCG sieht ein zweistufiges Bußgeldsystem vor:
Verstoß
Wesentliche Einrichtung
Wichtige Einrichtung
Maximalbußgeld
10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (höherer Wert)
7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes (höherer Wert)
Beispiele
Verletzung der Risikomanagement-Pflichten, fehlende Meldung eines erheblichen Vorfalls
Anordnungen zur Behebung von Mängeln (§ 64 BSIG-neu)
Veröffentlichung der Verstöße — Reputationsschaden
Zeitweise Untersagung der Leitungsfunktion — bei wiederholten schwerwiegenden Verstößen
Verbindliche Verwaltungsanweisungen zur Umsetzung konkreter Maßnahmen
Ein realistischer Bußgeld-Korridor für mittelgroße deutsche Unternehmen liegt zwischen 50.000 EUR und 5 Mio. EUR je nach Schwere und Vorgeschichte. Die DSGVO-Bußgeldspruchpraxis der BfDI und der Landesdatenschutzbehörden gibt einen Anhaltspunkt für die zu erwartende Aufsichtspraxis.
Umsetzung in 6 Schritten
Schritt 1: Anwendbarkeitsprüfung (Gap Assessment)
Klären, ob die Einrichtung in den Anwendungsbereich von Anlage 1 oder 2 fällt
Aktuelles Cyber-Security-Niveau analysieren (Soll-Ist-Abgleich gegen die zehn Pflichtbereiche)
Schritt 2: Governance-Rahmen aufbauen
Rollen und Verantwortlichkeiten definieren (CISO, ISO 27001-Beauftragter, Geschäftsleitung)
Geschäftsleitung formal einbinden — Beschlussfassung über Risikoakzeptanz, regelmäßige Berichterstattung
Schulungsprogramm für die Leitung etablieren (Pflicht nach § 38 BSIG-neu)
Cyber-Security-Komitee oder -Steuerungskreis aufsetzen
Schritt 3: Risikomanagement etablieren
Schutzbedarfsfeststellung der relevanten Geschäftsprozesse
Identifikation kritischer Assets und Datenflüsse
Maßnahmen zur Risikominderung definieren — orientiert an BSI-Grundschutz-Bausteinen oder ISO 27002
Restrisiko durch die Geschäftsleitung dokumentiert akzeptieren
Schritt 4: Technische Maßnahmen
Multi-Faktor-Authentifizierung (MFA) für privilegierte Zugriffe und kritische Systeme
Verschlüsselung für Daten in Übertragung und Speicherung
Detection and Response (SIEM, EDR, ggf. SOC) — eigen- oder fremdbetrieben
Backup-Strategie mit getesteter Wiederherstellung (3-2-1-Regel)
Patch- und Schwachstellenmanagement als kontinuierlicher Prozess
Schritt 5: Vorfallmanagement und Meldekette
Incident-Response-Plan dokumentieren
Kommunikationskette zum BSI definieren — wer meldet wann, in welchem Format
Meldevorlagen für die drei Stufen (24h, 72h, 1 Monat) vorbereiten
Regelmäßige Tabletop-Übungen mit der Geschäftsleitung
Parallel-Meldekette zur Datenschutzaufsicht (Art. 33 DSGVO) abstimmen
Schritt 6: Lieferketten-Risikomanagement
Kritische Lieferanten und IKT-Drittanbieter identifizieren
Sicherheitsanforderungen vertraglich verankern (z. B. AVV, Cyber-Anlagen, Auditrechte)
Laufendes Monitoring der Lieferanten-Compliance
Notfallpläne für Ausfall kritischer Lieferanten
NIS-2 vs. DSGVO — Abgrenzung und Synergien
Aspekt
DSGVO
NIS-2 / NIS2UmsuCG
Schutzgut
Personenbezogene Daten
Netz- und Informationssysteme
Anwendungsbereich
Jede Verarbeitung personenbezogener Daten
Definierte Sektoren ab mittlerer Unternehmensgröße
Maximalbußgeld
20 Mio. EUR oder 4 %
10 Mio. EUR oder 2 %
Meldefrist
72 Std. (Art. 33 DSGVO)
24 Std. + 72 Std. + 1 Monat
Verantwortung der Leitung
Mittelbar (Rechenschaftspflicht)
Ausdrücklich und persönlich
Aufsicht
BfDI, Landesdatenschutzbehörden
BSI (zentral), BaFin/BNetzA (sektoral)
Schnittpunkte in der Praxis
Datenpannen mit Cyber-Ursache (Ransomware, Hacks) — Doppelmeldepflicht an Datenschutzaufsicht und BSI
Sicherheit der Verarbeitung (Art. 32 DSGVO) — viele technische Maßnahmen sind identisch (MFA, Verschlüsselung, Zugriffskontrolle)
Auftragsverarbeitung (Art. 28 DSGVO) und Lieferketten-Sicherheit (NIS-2) — vertragliche Anforderungen lassen sich integriert formulieren
Schulungspflichten — DSGVO-Awareness und NIS-2-Cyber-Hygiene können in einem Programm gebündelt werden
NIS-2 vs. KRITIS-Dachgesetz
Parallel zur Umsetzung von NIS-2 entsteht in Deutschland das KRITIS-Dachgesetz (KRITIS-DachG), das die EU-Richtlinie 2022/2557 (CER-Richtlinie) umsetzt. Es regelt die physische Resilienz kritischer Einrichtungen (Schutz vor Naturkatastrophen, Sabotage, Terror).
Während NIS-2 die digitale Sicherheit adressiert, fokussiert das KRITIS-Dachgesetz auf physische Robustheit. Beide Gesetze betreffen weitgehend dieselben Sektoren — Energie, Verkehr, Gesundheitswesen, Trinkwasser, Digital, Finanz, Lebensmittel, öffentliche Verwaltung. Für Betreiber kritischer Anlagen bestehen daher kombinierte Pflichten zur digitalen und physischen Resilienz.
Eine integrierte Resilienzstrategie verbindet NIS-2-Maßnahmen mit den KRITIS-DachG-Anforderungen — Doppelarbeit lässt sich vermeiden, wenn Risikoanalyse, Notfallplanung und Lieferketten-Management gemeinsam aufgesetzt werden.
Zeitplan der Umsetzung
Datum
Ereignis
14. Dezember 2022
Verabschiedung der NIS-2-Richtlinie (EU 2022/2555)
16. Januar 2023
Inkrafttreten der NIS-2-Richtlinie auf EU-Ebene
17. Oktober 2024
Frist zur nationalen Umsetzung in den EU-Mitgliedstaaten
Voraussichtlich 2025
Inkrafttreten des deutschen NIS2UmsuCG (Ratifizierung im laufenden Gesetzgebungsverfahren)
+3 Monate ab Inkrafttreten
Frist zur Selbstregistrierung beim BSI
+18 Monate ab Inkrafttreten
Operative Erfüllung der Risikomanagement-Pflichten
17. Oktober 2027
Erste Überprüfung der Richtlinie durch die EU-Kommission
Hinweis zum Stand der nationalen Umsetzung
Deutschland hat die EU-Frist zur Umsetzung (17. Oktober 2024) verfehlt. Das NIS2UmsuCG befindet sich im parlamentarischen Verfahren — der genaue Inkrafttretenszeitpunkt wird laufend aktualisiert. Unabhängig vom nationalen Inkrafttreten haben NIS-2-Pflichten unmittelbare Geltungswirkung für Einrichtungen, sobald sie unter den Anwendungsbereich fallen — Vorbereitungen sollten nicht aufgeschoben werden.
Häufig gestellte Fragen
Ist mein Unternehmen vom NIS-2-Umsetzungsgesetz betroffen?
Wenn Sie in einem der 18 Sektoren tätig sind und mindestens 50 Mitarbeitende oder einen Jahresumsatz über 10 Mio. EUR haben, wahrscheinlich ja. Bestimmte Anbieter (DNS, TLD, qualifizierte Vertrauensdienste) sind unabhängig von der Größe wesentliche Einrichtungen. Eine Erstklassifizierung leistet unser NIS-2 Anwendbarkeits-Prüfer.
Was ist die Frist für die Umsetzung in Deutschland?
Die EU-Frist zur nationalen Umsetzung war der 17. Oktober 2024. Das deutsche NIS2UmsuCG befindet sich im parlamentarischen Verfahren. Unternehmen sollten die Vorbereitungen jedoch nicht aufschieben — der Aufbau eines konformen ISMS dauert typischerweise 6–12 Monate.
Kann ich mein bestehendes ISO 27001-ISMS nutzen?
Ein bestehendes ISMS nach ISO/IEC 27001 deckt rund 70–80 % der NIS-2-Anforderungen zum Risikomanagement ab. Lücken bestehen meist bei Lieferketten-Sicherheit, Meldepflichten, Geschäftsleitungspflichten und Cyber-Hygiene-Schulungen. Eine Gap-Analyse identifiziert die zu ergänzenden Bereiche.
Wie wirkt sich NIS-2 auf meine Lieferanten aus?
Wesentliche und wichtige Einrichtungen müssen die Sicherheit ihrer Lieferkette aktiv steuern — Risikobewertung der Lieferanten, vertragliche Sicherheitsklauseln, laufendes Monitoring. Lieferanten von NIS-2-pflichtigen Unternehmen werden typischerweise mit erweiterten Sicherheitsanforderungen konfrontiert sein, auch wenn sie selbst nicht direkt unter den Anwendungsbereich fallen.
Wer überwacht die Einhaltung in Deutschland?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Aufsichtsbehörde. In bestimmten Sektoren ergänzen sektorspezifische Aufsichten — die BaFin im Finanzsektor (parallel zu DORA), die Bundesnetzagentur (BNetzA) bei Telekommunikation und Energie. Die Datenschutzaufsicht (BfDI / Landesdatenschutzbehörden) bleibt für Datenpannen zuständig.
Welche Kosten muss ich einplanen?
Die Umsetzung des NIS-2-Pflichtenkanons in einem mittleren Unternehmen (250–500 Mitarbeitende) liegt typischerweise bei 80.000–250.000 EUR im ersten Jahr — abhängig von der Ausgangslage und vorhandenen Sicherheitsmaßnahmen. Laufende Kosten (Audit, Schulung, Detection and Response) ab 30.000 EUR jährlich.
Was, wenn ich die Pflichten nicht rechtzeitig erfülle?
Verstöße werden mit Bußgeldern bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes (wesentliche Einrichtungen) geahndet. Daneben drohen Anordnungen, Veröffentlichung der Verstöße und im Extremfall die zeitweise Untersagung der Leitungsfunktion.
Fazit
Das NIS-2-Umsetzungsgesetz markiert einen Paradigmenwechsel im deutschen Cyber-Security-Recht. Für rund 30.000 Unternehmen in 18 Sektoren wird die Cyber-Security zur regulatorischen Pflicht — verbunden mit konkreten Mindeststandards, Meldepflichten und persönlicher Haftung der Geschäftsleitung.
Strategische Empfehlungen für 2026
Anwendbarkeit jetzt klären. Die Selbstklassifizierung ist Pflicht — Aufschub erhöht das Bußgeldrisiko.
Geschäftsleitung einbinden. Cyber-Security ist nun Chefsache und persönlich haftungsrelevant.
Mit Gap-Analyse beginnen. Aufbau eines konformen ISMS dauert 6–12 Monate — beginnen Sie sofort.
Lieferanten einbeziehen. Lieferkettensicherheit ist erstmals explizit reguliert — auditieren und vertraglich absichern.
Dokumentation aufbauen. Nachweise sind das A und O — ohne Dokumentation gilt eine Maßnahme als nicht umgesetzt.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
