NIS2-Umsetzung: Das ändert sich 2026
2026 ist das Startjahr für die neuen Melde-, Risikomanagement- und Aufsichtspflichten aus der NIS2-Umsetzung. Das NIS2UmsuCG (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) wurde im November 2025 beschlossen und ist inzwischen in Kraft getreten. Dieser Beitrag ist ein Update unserer früheren Berichte zur NIS2-Richtlinie.
Das ändert sich gegenüber bisher
Bereits in unseren vorherigen Beiträgen haben wir über die bevorstehende NIS2-Umsetzung berichtet. Nun sind viele der damaligen Ankündigungen konkrete Realität geworden. Die wichtigsten Neuerungen im Überblick:
NIS2UmsuCG ist in Kraft
Das NIS2UmsuCG ist inzwischen in Kraft (November 2025). Die Übergangsfristen laufen 2026 ab, womit die meisten Pflichten konkret greifen. Unternehmen müssen jetzt handeln, falls sie dies noch nicht getan haben.
Konkrete Meldepflichten greifen 2026
Die Meldepflichten sind nun verbindlich und zeitlich klar strukturiert:
- 24 Stunden: Frühwarnung bei Verdacht auf erheblichen Sicherheitsvorfall
- 72 Stunden: Vollständige Meldung an die zuständige Behörde (BSI)
- 1 Monat: Abschlussbericht mit Ergebnissen der Untersuchung und getroffenen Maßnahmen
Erweiterter Kreis betroffener Unternehmen
Der Kreis der betroffenen Unternehmen wurde deutlich erweitert. Insgesamt 18 Branchen fallen nun unter die NIS2-Pflichten. Betroffen sind nicht nur große Unternehmen, sondern auch Mittelständler ab 50 Mitarbeitern, sofern sie in kritischen Sektoren tätig sind.
Geschäftsführerhaftung: Persönliche Verantwortung
Eine der weitreichendsten Neuerungen betrifft die Leitungsorgane: Geschäftsführer und Vorstände haaren persönlich für die Einhaltung der Cybersicherheitsmaßnahmen. Bei Pflichtverletzungen drohen nicht nur bußgeldrechtliche, sondern auch zivilrechtliche Konsequenzen für die verantwortlichen Personen.
Bußgelder: bis zu 10 Millionen Euro
Die Sanktionsmöglichkeiten wurden erheblich verschärft:
- Standardverstöße: bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
- Schwere Verstöße: bis zu 7 % des weltweiten Jahresumsatzes
BSI fordert dokumentierte Patch-Prozesse
Das BSI fordert gemäß NIS2 dokumentierte Patch-Prozesse. Unternehmen müssen nachweisen, dass sie systematisch Schwachstellen verwalten und Sicherheitsupdates einspielen. Ad-hoc-Maßnahmen reichen nicht mehr aus – es braucht strukturierte, nachvollziehbare Prozesse.
Parallel: AI Act und Cyber Resilience Act
Zur NIS2-Umsetzung kommen 2026 weitere regulatorische Pflichten hinzu:
- AI Act: Transparenzpflichten treten im August 2026 in Kraft
- Cyber Resilience Act: Meldepflichten für Schwachstellen greifen ab September 2026
Unternehmen müssen daher nicht nur die NIS2-Anforderungen umsetzen, sondern auch die Schnittstellen zu AI Act und CRA im Blick behalten.
Fazit
Die NIS2-Umsetzung ist 2026 keine Zukunftsmusik mehr, sondern konkrete Realität. Unternehmen müssen ihre Cybersicherheitsmaßnahmen dokumentieren, Meldepflichten einhalten und Geschäftsführer für die Umsetzung in die Verantwortung nehmen. Wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern auch persönliche Haftungsrisiken.
Quellen
- BSI: NIS2-Informationen
- heise.de: NIS2-Umsetzung in Deutschland
- heuking.de: NIS2-Umsetzung
- llr.de: NIS2-Compliance
Stand: Juli 2026
Kommentar abschicken