KRITIS-Dachgesetz: 1.300 Betreiber müssen bis 17. Juli registrieren

Im Frühjahr 2026 verdichten sich die Anzeichen, dass Aufsichtsbehörden und Gesetzgeber härter durchgreifen – und dabei zunehmend auch die persönliche Verantwortung von Führungskräften in den Blick nehmen.

Ob KRITIS-Dachgesetz, Cyber Resilience Act oder die zunehmende Durchsetzung von Whistleblower-Schutz: Wer heute in einem deutschen Unternehmen Verantwortung trägt, muss mit ernsten Konsequenzen rechnen. Ein Überblick über die aktuellen Entwicklungen.

Seit Juli 2023 sind Unternehmen ab 250 Mitarbeitern zur Umsetzung des Hinweisgeberschutzgesetzes verpflichtet – doch viele machen dabei kritische Datenschutzfehler. Dieser kostenlose Praxisleitfaden zeigt Ihnen Schritt für Schritt, wie Sie interne Meldestellen rechtssicher und DSGVO-konform organisieren. Kostenlosen Leitfaden zum Hinweisgeberschutzgesetz jetzt herunterladen

Whistleblower-Streit erschüttert Universität Luxemburg

Ein aktueller Fall zeigt, wie brisant das Thema Hinweisgeberschutz geworden ist. Christos Koulovatianos, ehemaliger Leiter des Fachbereichs Finanzen an der Universität Luxemburg, geht juristisch gegen seine Entlassung vor. Der Professor hatte interne Missstände bei der Beförderung von vier Nachwuchswissenschaftlern aufgedeckt – und wurde am 13. Mai 2026 gefeuert.

Seine Anwälte sprechen von einem Racheakt der Universitätsleitung. Die Einrichtung selbst bestreitet jeden Zusammenhang. Fest steht: Der Fall wird zum Präzedenzfall für die Frage, wie weit der Schutz von Whistleblowern in der akademischen Welt tatsächlich reicht.

Zehn Jahre DSGVO: Neue Gefahren durch KI

Die Datenschutz-Grundverordnung feiert Ende Mai ihren zehnten Geburtstag – doch von Verschnaufpause keine Spur. Im Gegenteil: Die rasanten Fortschritte bei Künstlicher Intelligenz stellen das Regelwerk vor völlig neue Herausforderungen.

Die Zahlen sind alarmierend: 63 Prozent der Organisationen können die Zweckbindung für KI-Systeme nicht durchsetzen. 60 Prozent fehlt die technische Fähigkeit, einen schädlichen KI-Agenten abzuschalten. Und nur 43 Prozent haben überhaupt eine zentrale KI-Governance-Struktur etabliert.

Die rasante Entwicklung von KI stellt Unternehmen vor neue rechtliche Herausforderungen, da viele Anforderungen des EU AI Acts bereits unmittelbar gelten. Dieses kostenlose E-Book bietet einen praxisnahen Umsetzungsleitfaden zu Risikoklassen und Dokumentationspflichten, damit Ihre IT rechtlich auf der sicheren Seite bleibt. Kostenlosen Umsetzungsleitfaden zur EU-KI-Verordnung sichern

Hinzu kommt die Bedrohung durch das KI-Modell „Mythos“, das selbstständig Sicherheitslücken verketten kann. Neun von zehn Cyberangriffen nutzen inzwischen kompromittierte Identitäten. Die durchschnittliche Erholungszeit nach einem Angriff? 24 Tage.

KRITIS-Dachgesetz: Countdown für Betreiber läuft

Seit dem 16. März 2026 gilt das neue KRITIS-Dachgesetz. Rund 1.300 Betreiber kritischer Infrastrukturen in elf Sektoren müssen bis zum 17. Juli 2026 beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registriert sein.

Die Anforderungen sind hart:
- Umfassende Risikoanalysen
- Resilienzpläne inklusive Personalsicherheit
- 24-Stunden-Meldefrist für Vorfälle

Die Strafen können wehtun: Bis zu 500.000 Euro nach KRITIS, bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes nach NIS2. Und: Oft sind Geschäftsführer persönlich haftbar.

Lieferketten unter Beobachtung

Die Hirschen Gruppe hat am 26. Mai einen neuen Supplier Code of Conduct veröffentlicht. Alle Lieferanten müssen sich zu Rechtsstaatlichkeit, Korruptionsbekämpfung und fairem Wettbewerb verpflichten. Besonderes Gewicht liegt auf DSGVO und Menschenrechtsschutz.

Der Schritt ist wegweisend: Ab 2027 wird „Security-by-Design“ für Hersteller zur gesetzlichen Pflicht – durch den EU Cyber Resilience Act. Compliance allein reicht dann nicht mehr. Sicherheit muss vom ersten Produktlebenszyklus an integriert werden.

Deutsche Bank: EY vor der Abwahl?

Am 28. Mai steht bei der Deutschen Bank die Hauptversammlung an. Eine Aktionärsgruppe opponiert gegen die Wiederwahl von Ernst & Young (EY) als Wirtschaftsprüfer. Der Vorwurf: EY habe im Wirecard-Skandal versagt und keine ausreichende Aufklärung geleistet.

Die Deutsche Bank selbst steht unter Druck: Im Januar gab es Durchsuchungen, im März folgten Klagen. Der Fall zeigt, wie sehr historische Altlasten die Gegenwart belasten können.

Cum-Cum: Steuerschaden in Milliardenhöhe

Die „Cum-Cum“-Steuergeschäfte beschäftigen weiterhin die Justiz. Neue Recherchen belegen die Beteiligung von Sparkasse Nienburg und Evangelische Bank an Transaktionen mit der Deutschen Bank aus dem Jahr 2008.

Die Sparkasse Nienburg räumt ihre Teilnahme zwischen 2013 und 2015 ein und bestätigt eine Steuerrückzahlung von 10,4 Millionen Euro. Branchenexperten schätzen den gesamten Steuerschaden aus Cum-Cum-Geschäften auf bis zu 28,5 Milliarden Euro.

TÜV SÜD: 600 Millionen Euro Schadensersatz gefordert

Der Zivilprozess gegen TÜV SÜD wegen des Dammbruchs von Brumadinho in Brasilien (2019) mahnt zur Vorsicht. Rund 1.500 Kläger fordern 600 Millionen Euro Schadensersatz. Der Vorwurf: Der TÜV habe bei Sicherheitszertifikaten versagt.

Das Unternehmen weist jede Verantwortung zurück. Parallel dazu ermittelt die Münchner Staatsanwaltschaft – ein Abschluss wird für Ende 2026 oder Anfang 2027 erwartet.

Ausblick: Der Juli wird zum Härtetest

In den kommenden Wochen wird sich zeigen, wie gut die deutsche Industrie auf die neuen Anforderungen vorbereitet ist. Die Registrierungsfrist für KRITIS-Betreiber am 17. Juli wird zum ersten großen Belastungstest.

Gleichzeitig werden die Whistleblower-Fälle wegweisende Urteile zum Arbeitsrecht liefern. Und die KI-Entwicklung zwingt Unternehmen, ihre technischen Maßnahmen dynamisch statt statisch zu gestalten.

Die Botschaft an die Führungsetagen ist eindeutig: „Check-the-box?-Compliance hat ausgedient. Gefragt sind proaktive Resilienz und persönliche Verantwortung – vom Vorstand bis zur mittleren Führungsebene.

de | wirtschaft | 69423710 |