IKS: Kontrollsysteme der Verwaltung im Umbruch

Deutschlands Behörden müssen ihre internen Kontrollsysteme (IKS) 2026 grundlegend modernisieren. Treiber sind verschärfte IT-Sicherheitsvorgaben und neue Finanzstandards.

BERLIN – Ein Paradigmenwechsel steht an: Die öffentliche Verwaltung in Deutschland muss ihre Compliance- und Risikomanagement-Strukturen neu aufstellen. Auslöser sind aktualisierte Richtlinien für Interne Kontrollsysteme (IKS), die in einer verschärften Regulierungsumgebung wirksam werden. Nach der Umsetzung der NIS-2-Richtlinie im Januar haben jüngste Ankündigungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und Updates zu finanziellen Risikostandards einen strengeren Rahmen für die behördliche Rechenschaftspflicht geschaffen.

Neue Maßstäbe für digitale und finanzielle Compliance

Seit Anfang Februar 2026 sind die Anforderungen an IKS im öffentlichen Sektor deutlich erweitert. Haupttreiber ist die Umsetzung des NIS-2-Durchführungsgesetzes, das strenge Risikomanagement-Maßnahmen für öffentliche Institutionen vorschreibt.

Laut einer Pressemitteilung des BSI Anfang Januar sind die neuen Regelungen zu den „Grundsätzen für das Informationssicherheitsmanagement in der Bundesverwaltung“ nun in der operativen Phase. Das BSI eröffnete sein neues Meldeportal am 6. Januar 2026. Damit beginnt die strengere Aufsicht für rund 30.000 betroffene Einrichtungen, darunter Bundesbehörden.

Parallel zu diesen digitalen Vorgaben gab es in der Finanzbranche – eng mit der Verwaltung durch Landesbanken und Sparkassen verbunden – ein wichtiges Update. Am 3. Februar 2026 berichtete das IT Finanzmagazin über den Entwurf der 9. MaRisk-Novelle (Mindestanforderungen an das Risikomanagement). Diese Standards gelten zwar primär für Finanzinstitute, setzen nach Expertenmeinung aber oft den Maßstab für die finanzielle Compliance im gesamten öffentlichen Sektor. Die Novelle verlangt ein Ende der „Checkbox-Compliance“. Stattdessen sind nachvollziehbare Begründungsketten und ein stärkerer Fokus auf die Risikotragfähigkeit gefordert.

Passend zum Thema Cybersicherheit: Behörden und verwaltungsnahe Einrichtungen stehen 2026 vor neuen Meldepflichten und realen Angriffsrisiken. Das kostenlose E-Book „Cyber Security Awareness Trends“ erklärt, welche gesetzlichen Vorgaben (inkl. NIS‑2) jetzt wichtig sind, welche Sofortmaßnahmen Ihr IKS stärken und wie Sie IT‑ und Management‑Aufgaben praktisch verzahnen. Praxistipps für IT‑Verantwortliche und Führungskräfte plus Checkliste für schnelle Umsetzung. Jetzt Cyber-Security-Report herunterladen

Cybersicherheit als zentraler Compliance-Baustein

Die Integration der Cybersicherheit in das klassische IKS ist der bestimmende Trend für 2026. Eine Branchenanalyse des Security-Insider vom 30. Januar 2026 identifiziert vier strategische Trends. Eine Schlüsselentwicklung ist die Aufwertung der KI-Governance zur Führungsaufgabe. Das beeinflusst direkt, wie Behörden automatisierte Entscheidungsprozesse managen.

Unter den neuen Leitlinien müssen Verwaltungen nicht nur die Existenz von Sicherheitskontrollen nachweisen, sondern deren Wirksamkeit in Echtzeit. Das neue BSI-Portal und die damit verbundenen Meldepflichten zwingen die Behörden, ihre IKS-Prozesse transparenter zu dokumentieren denn je. Dieser Wandel soll die „Digitale Souveränität“ stärken – eine Priorität der Bundesregierung im gesamten Jahr 2025.

Kommunen im Fokus: Neue Risiken bei Vergabe und Ausgaben

Auch auf Landesebene formen strenge IKS-Leitlinien die Verwaltung neu. In Nordrhein-Westfalen (NRW) gilt seit dem 1. Januar 2026 ein grundlegender Systemwechsel im kommunalen Vergaberecht.

Laut einer Analyse der Vergabeplattform cosinex aus dem späten Januar 2026 hebt der neue § 75a der Gemeindeordnung (GO NRW) die zwingende Anwendung der Unterschwellenvergabeordnung (UVgO) für bestimmte Ausschreibungen auf. Stattdessen müssen Kommunen nun auf eigene, interne Richtlinien zurückgreifen, die auf den haushaltsrechtlichen Grundsätzen der Wirtschaftlichkeit und Sparsamkeit basieren. Diese Deregulierung erhöht paradoxerweise den Bedarf an robusten Internen Kontrollsystemen, um Korruption zu verhindern und Compliance ohne das starre Sicherheitsnetz der UVgO zu gewährleisten. Experten warnen: Diese Flexibilität schafft neue Compliance-Risiken, die durch verstärkte IKS‑Maßnahmen abgefedert werden müssen.

Vom Papier zur Praxis: Die Wirkung zählt

Die Entwicklungen Anfang 2026 markieren eine Abkehr von der rein formalen Compliance. Die MaRisk-Novelle vom 3. Februar unterstreicht einen breiteren Trend zur „materiellen Compliance“. Hier wiegt die Qualität der Risikobewertung schwerer als die Menge der Dokumentation.

Für Entscheidungsträger im öffentlichen Sektor bedeutet das eine doppelte Bürde:
1. Digitale Compliance: Einführung von ISMS (Informationssicherheits-Managementsystemen), die NIS-2-Standards genügen.
2. Finanz- und Prozess-Compliance: Anpassung an flexiblere, aber riskantere Vergaberegeln (wie in NRW) und strengere Finanzrisikostandards.

Beobachter deuten an, dass die gleichzeitige Verschärfung der IT-Sicherheitsregeln und die Flexibilisierung der Verfahrensregeln ein komplexes Umfeld schaffen. Darin wird das IKS zum zentralen Steuerungsinstrument. Die „Check-the-box“-Mentalität wird durch die Forderung nach „nachweisbarer Resilienz“ ersetzt.

Was kommt auf die Verwaltungen zu?

In den kommenden Monaten werden Behörden konkrete Umsetzungshilfen erwarten, um diesen Bundes- und Landesvorgaben zu entsprechen. Das BSI hat angekündigt, weitere branchenspezifische Profile für die öffentliche Verwaltung zu entwickeln, um die NIS-2-Umsetzung im Laufe des Jahres 2026 zu unterstützen.

Zudem läuft aktuell noch bis Ende Februar der ThemenRadar 2025/2026, eine Umfrage zu Digitaltrends in der öffentlichen Verwaltung. Sie wird voraussichtlich weitere Daten liefern, wie tief diese neuen IKS-Anforderungen in die Verwaltungskultur vordringen. Öffentliche Manager sollten sich auf eine verstärkte Prüfungsintensität einstellen – mit Fokus auf die Wirksamkeit ihrer Kontrollen, nicht nur auf deren bloße Existenz.

PS: KI‑Governance wird zur Führungsaufgabe – und die neuen EU‑Regeln verlangen Nachweise. Unser kostenloser Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt Risikoklassifizierung, Dokumentationspflichten und praktikable Schritte für Compliance und Transparenz in Organisationen, die automatisierte Entscheidungsprozesse einsetzen. Kompakt und verständlich – ideal für Behörden, die KI systematisch einbetten müssen. Jetzt kostenlosen KI-Umsetzungsleitfaden sichern