NIS-2-Richtlinie, Sicherheitsvorfälle

NIS-2-Richtlinie: 30.000 Unternehmen müssen Sicherheitsvorfälle melden

18.06.2026 - 16:29:12 | boerse-global.de

Urteil erlaubt begrenzte Einsicht in Untersuchungsberichte. NIS-2 verschärft Meldepflichten für Unternehmen ab Dezember 2025.

LAG München stärkt Arbeitnehmerrechte bei internen Ermittlungen
NIS-2-Richtlinie - Eine schattenhafte Figur in einem modernen Büro mit einem verschwommenen Konferenztisch voller Dokumente, der Compliance und Recht darstellt. 18.06.2026 - Bild: über boerse-global.de

Das Landesarbeitsgericht München stärkt die Rechte von Arbeitnehmern bei internen Untersuchungen – doch die endgültige Klärung steht noch aus. Parallel dazu verschärfen neue Regulierungen die Pflichten für Unternehmen massiv.

Anzeige

Lücken in der Dokumentation oder versäumte Meldepflichten können Unternehmen teuer zu stehen kommen, da Bußgelder oft einen Prozentsatz des Jahresumsatzes erreichen. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Verarbeitungsverzeichnis rechtssicher führen und so eines der wichtigsten DSGVO-Dokumente korrekt verwalten. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Einsicht in Untersuchungsberichte: Das Urteil

Arbeitnehmer haben nach Abschluss einer internen Untersuchung ein begrenztes Einsichtsrecht. Das LAG München entschied am 12. Juni 2025: Kein Anspruch auf eine vollständige Kopie des Abschlussberichts nach DSGVO, aber ein Recht auf Einsicht in die persönlich betreffenden Daten.

Die Berichte landen meist in der Personalakte. Unternehmen dürfen bestimmte Informationen schwärzen – besonders zum Schutz von Hinweisgebern. Eine komplette Verweigerung mit Verweis auf Geschäftsgeheimnisse? Das sehen die Richter als nicht gerechtfertigt an.

Das Bundesarbeitsgericht muss nun endgültig klären, wie weit diese Einsichtsansprüche reichen. Der Fall ist dort anhängig.

NIS-2: Neue Meldepflichten ab Dezember 2025

Seit Dezember 2025 gilt die NIS-2-Richtlinie in deutschem Recht. Betroffen sind rund 30.000 Einrichtungen in 18 Sektoren – Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz.

Die Meldepflichten bei Sicherheitsvorfällen sind dreistufig:

  • 24 Stunden: Erste Frühwarnung
  • 72 Stunden: Vollständige Meldung
  • 1 Monat: Abschließender Bericht

Die Frist beginnt mit Kenntnisnahme durch das Management. Unternehmen mussten sich bis zum 6. März 2026 im BSI-Portal registrieren.

Anzeige

Die neuen Regulierungen und die Zunahme digitaler Bedrohungen zwingen Unternehmen dazu, ihre IT-Sicherheit proaktiv zu verstärken und gesetzliche Anforderungen lückenlos zu erfüllen. In diesem kostenlosen E-Book erfahren Sie, wie Sie Sicherheitslücken ohne hohe Investitionen schließen und Ihre Firma wirksam schützen. Gratis-E-Book: Cyber Security Strategien für Unternehmer

Haftung: Wenn die Compliance versagt

Die Bußgelder sind happig. Bei wesentlichen Einrichtungen drohen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Bei wichtigen Einrichtungen sind es 7 Millionen Euro oder 1,4 Prozent.

Doch es geht nicht nur ums Geld. Die persönliche Haftung der Geschäftsführung rückt in den Fokus. Das Management muss die Sicherheitsmaßnahmen aktiv überwachen.

Die Überschneidungen mit DSGVO-Meldepflichten machen eine abgestimmte Incident-Response-Strategie nötig. Experten raten zu automatisierten Systemen für Erkennung und Meldung – die Dokumentationsanforderungen sind sonst kaum zu stemmen.

de | wirtschaft | 69573656 |