NISG 2026 und DORA: Verträge müssen sofort angepasst werden

Neue EU- und nationale Cybersicherheitsgesetze zwingen Unternehmen und IT-Dienstleister zur sofortigen Überarbeitung ihrer Verträge. Standard-Klauseln aus 2025 sind ab Januar 2026 nicht mehr rechtskonform.

Die regulatorische Landschaft für IT-Dienstleister und ihre Unternehmenskunden hat sich in den letzten Tagen des Jahres 2025 dramatisch verschoben. Nach der Veröffentlichung des österreichischen Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) und der bevorstehenden Vollanwendung der EU-Verordnung DORA (Digital Operational Resilience Act) fordern Compliance-Experten die sofortige Überarbeitung von Geheimhaltungsvereinbarungen (NDAs) und Serviceverträgen. Juristische Analysten warnen: Die Standardverträge aus dem Jahr 2025 werden den strengen Haftungs- und Meldepflichten ab 2026 nicht mehr gerecht.

Warum sind 73 % der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet? Neue Gesetze wie NISG 2026 und DORA erhöhen Melde- und Auditpflichten – wer NDAs und Drittverträge nicht anpasst, riskiert empfindliche Bußgelder. Unser kostenloses E‑Book erklärt praxisnah, wie Sie Drittanbieter-Risiken bewerten, Audit- und Meldeprozesse implementieren und Haftungsfallen in Verträgen schließen. Ideal für Geschäftsführer und IT‑Verantwortliche. Jetzt kostenlosen Cybersecurity-Guide herunterladen

NISG 2026 beendet den „Konzernprivileg“-Schutz

Am 23. Dezember wurde das lang erwartete NISG 2026 veröffentlicht. Es markiert einen Paradigmenwechsel im Umgang mit Risiken durch Drittunternehmen für „wesentliche“ und „wichtige“ Entitäten. Ein kritischer Punkt des neuen Gesetzes: Das sogenannte „Konzernprivileg“ entfällt.

Jede rechtliche Einheit innerhalb eines Konzerns wird nun einzeln bewertet. Eine IT-Tochtergesellschaft, die für die Muttergesellschaft arbeitet, unterliegt damit der direkten Aufsicht der Behörden. Sie kann sich nicht mehr hinter der Compliance-Gesamtlage der Gruppe verstecken.

Die Konsequenz? NDAs und Service Level Agreements (SLAs) zwischen diesen Unternehmen und ihren externen IT-Anbietern müssen neu verhandelt werden. Das Gesetz schreibt vor, dass Vertraulichkeitsklauseln die verpflichtende Meldung „signifikanter Sicherheitsvorfälle“ an die neue Cybersicherheitsbehörde nicht behindern dürfen. Standard-NDAs, die den Datenaustausch über Sicherheitsverstöße pauschal einschränken, sind damit potenziell unwirksam. Es braucht sofortige Ausnahmeregelungen für regulatorische Meldungen.

DORA-Frist drängt: Vertragsergänzungen als letzte Chance

Während das NISG 2026 die Bühne für das kommende Jahr bereitet, steht der Finanzsektor vor einer noch dringlicheren Hürde. Die DORA-Verordnung tritt in ihre entscheidende Vollanwendungsphase. Berichten dieser Woche zufolge nehmen die europäischen Aufsichtsbehörden (ESAs) eine strenge Haltung zum „Register der Informationen“ für Drittanbieter ein.

Für externe IT-Dienstleister bedeutet das: NDAs können keine statischen Dokumente mehr sein. Sie müssen dynamische Klauseln enthalten, die es Finanzinstituten erlauben, Penetrationstests und Audits auf den Systemen des Anbieters durchzuführen – Aktivitäten, die traditionell durch strenge Vertraulichkeitsklauseln blockiert wurden. Branchenfeedback der letzten 48 Stunden deutet darauf hin, dass viele Anbieter versuchen, noch vor Jahresende „DORA-konforme“ Vertragsergänzungen zu unterzeichnen, um eine Ungültigkeit der Verträge im Januar zu vermeiden.

Haftung in der Lieferkette wird zum zentralen Risiko

Die breitere Implikation dieser Verschiebungen unterstrich der GRIP Forecast 2026, der am 26. Dezember veröffentlicht wurde. Der Bericht betont, dass 2026 vom Thema „Drittanbieter- und Lieferkettenprüfung“ definiert sein wird. Die Prognose sagt voraus, dass Aufsichtsbehörden Kundenunternehmen zunehmend für die Sicherheitsversäumnisse ihrer Lieferanten haftbar machen werden.

Dieser Trend zwingt zu einer Neubewertung der Haftungsobergrenzen, die oft in NDAs und Rahmenverträgen versteckt sind. Während traditionelle NDAs die Haftung für Datenpannen oft auf einen Festbetrag begrenzten, setzt der neue regulatorische Rahmen – sowohl unter NISG 2026 als auch DORA – Unternehmen Bußgeldern von bis zu 2 % des weltweiten Umsatzes oder 10 Millionen Euro aus.

Rechtsberater empfehlen daher einen „Compliance-first“-Ansatz bei der NDA-Überarbeitung. Dieser umfasst:
1. Verpflichtende Offenlegungsklauseln: Die Weitergabe von Vorfällen an Behörden muss explizit ohne vorherige Genehmigung des Anbieters erlaubt sein.
2. Audit-Kooperation: Vertraulichkeitsbeschränkungen für regulatorische Prüfungen müssen aufgehoben werden.
3. Transparenz bei Unterauftragnehmern: Anbieter müssen ihre eigenen Lieferketten offenlegen, auch wenn dies bisher als Geschäftsgeheimnis geschützt war.

Marktreaktion: „Compliance-Ready“ wird zum Wettbewerbsvorteil

Die Reaktion im DACH-Raum (Deutschland, Österreich, Schweiz) war unmittelbar. Seit der Veröffentlichung des NISG 2026 am 23. Dezember verzeichnen IT-Dienstleister einen starken Anstieg von Anfragen zu „Vertragsbereinigungsprojekten“.

Laut einem bereits Anfang Dezember diskutierten Compliance-Update von Deloitte Legal ist die Phase der Nachsicht vorbei. BaFin und andere nationale Aufsichtsbehörden haben signalisiert, dass 2026 ein Jahr der aktiven Durchsetzung und nicht der Aufklärung sein wird. Der Markt spaltet sich: „Compliance-Ready“-Managed Service Provider nutzen ihre aktualisierten Vertragsrahmen als Wettbewerbsvorteil. Kleinere Anbieter, die auf veraltete NDAs setzen, riskieren dagegen, Großkunden zu verlieren, die sich das regulatorische Risiko nicht leisten können.

Ausblick 2026: Das „Jahr der Umsetzung“ beginnt

Für das erste Quartal 2026 erwartet die Branche eine Welle der Vertragsneugestaltung, während Unternehmen ihre Lieferantenverträge an die neuen Gesetze anpassen. Das NISG 2026 sieht zwar eine Übergangsfrist vor, doch die vertragliche Grundlage für die erforderlichen Maßnahmen muss sofort geschaffen werden.

Experten prognostizieren, dass im zweiten Quartal 2026 die ersten Verwaltungsgelder gegen Unternehmen verhängt werden, die ihre Drittanbietervereinbarungen nicht aktualisiert haben. Die Botschaft der Entwicklungen dieser Woche ist klar: Compliance ist kein interner IT-Haken mehr, den man abhaken kann. Sie ist eine rechtlich bindende Verpflichtung, die in das Geflecht jeder externen Partnerschaft eingewoben werden muss – beginnend mit der Geheimhaltungsvereinbarung.

PS: IT‑Sicherheit lässt sich stärken – auch ohne teure Neueinstellungen. Dieses kostenlose E‑Book zeigt konkrete Maßnahmen, mit denen Unternehmen DORA- und NISG‑Pflichten erfüllen, Penetrationstests und Audit‑Kooperation vertraglich sichern und Meldeprozesse für signifikante Vorfälle etablieren. Enthalten sind Checklisten für Vertragsergänzungen, Vorlagen für Audit‑Anforderungen und ein Fahrplan zur schnellen Compliance‑Umsetzung. Perfekt für Compliance‑Teams und IT‑Dienstleister, die jetzt handeln müssen. Gratis Cybersecurity-Report anfordern