Was 2026 für Unternehmen bringt

Mehr Verantwortung für Cybersicherheit

Die Bedrohung durch Cyberangriffe ist so hoch wie nie, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Mit der NIS-2-Richtlinie will die EU die Sicherheitsstandards für Unternehmen deutlich anheben und den Kreis der Verpflichteten erweitern. NIS-2 steht für „Network and Information Security Directive 2“. Deutschland hat die Umsetzung inzwischen beschlossen; die neuen Regeln treten voraussichtlich Anfang 2026 in Kraft.

Betroffen sind nicht mehr nur Betreiber kritischer Infrastrukturen, sondern auch viele mittelständische Unternehmen in 18 Sektoren – von Energie und Gesundheit bis zur verarbeitenden Industrie. Voraussetzung: mindestens 50 Beschäftigte oder mehr als 10 Millionen Euro Umsatz. Ob Ihr Unternehmen dazugehört, zeigt das BSI-Tool unter https://betroffenheitspruefung-nis-2.bsi.de/

Die Pflichten sind umfangreich: Unternehmen müssen ein Risikomanagement etablieren, Sicherheitskonzepte erstellen, Lieferketten absichern und Mitarbeitende schulen. Außerdem gilt eine Registrierungspflicht bei einer zentralen Meldestelle innerhalb von drei Monaten nach Inkrafttreten. Sicherheitsvorfälle sind künftig streng zu melden: erste Meldung binnen 24 Stunden, eine detaillierte Analyse nach 72 Stunden und ein Abschlussbericht spätestens nach einem Monat.

Letztlich verlangt das Gesetz, dass sich Unternehmen grundlegend mit IT-Sicherheit auseinandersetzen und entsprechende Strukturen implementieren.

Weitere Informationen: BSI - NIS-2-regulierte Unternehmen