NIS2-Richtlinie: 29.500 Unternehmen unter Meldepflicht

Die deutsche Unternehmenslandschaft steht vor tiefgreifenden Veränderungen – gleich mehrere Reformen in den Bereichen Arbeitsschutz und digitale Sicherheit treten in Kraft. Während kleinere Betriebe bei Sicherheitsbeauftragten entlastet werden, verschärfen sich die Anforderungen an kritische Infrastrukturen massiv.

Weniger Bürokratie für kleine Betriebe

Die Vorschriften zur Bestellung von Sicherheitsbeauftragten wurden grundlegend überarbeitet. Seit April 2026 gilt eine neue Schwelle: Erst ab 50 Beschäftigten müssen Unternehmen verpflichtend Sicherheitsbeauftragte benennen. Diese Anpassung der DGUV Vorschrift 1 soll vor allem kleine und mittlere Unternehmen (KMU) entlasten.

Die neuen Schwellenwerte entlasten zwar bei der Bestellung von Beauftragten, entbinden Arbeitgeber jedoch nicht von ihrer grundlegenden Dokumentationspflicht. Mit diesen praxiserprobten Vorlagen und Checklisten erstellen Sie rechtssichere Gefährdungsbeurteilungen, die jeder behördlichen Prüfung standhalten. Kostenlose Vorlagen und Checklisten zur Gefährdungsbeurteilung herunterladen

Der Bundesverband des Deutschen Versandhandels (BVDM) begrüßt die Reform als Schritt in die richtige Richtung. Allerdings fordern die Verbände weitere Vereinfachungen, um die Bürokratielast nachhaltig zu reduzieren. In Österreich bleibt die Rechtsgrundlage für Sicherheitsvertrauenspersonen die SVP-Verordnung – mit klaren Vorgaben zu Ausbildung und regelmäßigen Fortbildungen. Ein 24-stündiges Grundlagentraining ist Voraussetzung für die Teilnahme an Aufbaukursen, wie sie etwa im Oktober 2026 in Klagenfurt angeboten werden.

Neue Leitlinien für Zeitarbeit und Gefährdungsbeurteilung

Ende Mai 2026 sind aktualisierte Leitlinien für Sicherheit und Gesundheit in der Zeitarbeit veröffentlicht worden. Sie präzisieren die Anforderungen an die Gefährdungsbeurteilung und heben die Bedeutung des Mutterschutzgesetzes hervor. Neu ist die Zulässigkeit der Textform für arbeitsschutzrechtliche Vereinbarungen – ein Schritt zur Digitalisierung der Prozesse.

Besonders die Verknüpfung von Mutterschutz und Gefährdungsbeurteilung stellt viele Betriebe vor große bürokratische Herausforderungen. Dieses kostenlose E-Book unterstützt Sie mit editierbaren Checklisten dabei, die gesetzlichen Pflichten effizient und rechtssicher umzusetzen. Gratis E-Book: Gefährdungsbeurteilung Mutterschutz jetzt sichern

Die überarbeiteten Formulare für die Arbeitnehmerüberlassung, die auf den Standards von Anfang 2026 basieren, sollen den Personaldienstleistern die Einhaltung der Vorschriften erleichtern. Das Ziel: Die Gefährdungsbeurteilung soll verständlicher und praktikabler werden.

NIS2: 29.500 Unternehmen unter verschärfter Aufsicht

Die digitale Sicherheit ist längst fester Bestandteil des unternehmerischen Risikomanagements. Seit Dezember 2025 gilt die NIS2-Richtlinie mit einem einheitlichen Mindeststandard für „Security-by-Design". Die Registrierungsfristen für betroffene Unternehmen liefen im März 2026 ab – rund 29.500 Organisationen in Deutschland unterliegen nun strengen Melde- und Risikomanagementpflichten.

Die Meldefristen sind knapp bemessen:
- 24 Stunden für die Erstmeldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI)
- 72 Stunden für die Meldung an die Datenschutzbehörden

Bei Verstößen drohen empfindliche Geldstrafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Seit Mai 2026 gibt es spezielle Schulungsprogramme, die Führungskräfte über ihre persönliche Haftung und die Pflichten im Incident-Response-Prozess informieren.

Aktive Cyberabwehr: Neue Befugnisse für Behörden

Die Bundesregierung hat Ende Mai 2026 einen Gesetzentwurf zur aktiven Cyberabwehr verabschiedet. Das Kabinett billigte die Vorlage, die dem BSI, dem Bundeskriminalamt (BKA) und der Bundespolizei weitreichende Befugnisse einräumt. Konkret dürfen die Behörden künftig:

• Datenverkehr umleiten
• IT-Systeme von Angreifern durchsuchen
• Daten verändern oder löschen, um Bedrohungen abzuwehren

37 zusätzliche Stellen sollen die erweiterten Abwehrfähigkeiten unterstützen. Doch die Pläne stoßen auf Kritik: Verbände wie Bitkom und der BDI warnen vor möglichen negativen Auswirkungen auf die IT-Infrastruktur und die Systemstabilität.

EU-Datengesetz und neue Zertifizierungsstandards

Der Zugang zu Daten wird durch das EU-Datengesetz geregelt, das seit September 2025 gilt. Dateninhaber müssen Informationen aus vernetzten Produkten teilen, gleichzeitig aber Geschäftsgeheimnisse schützen – durch technische Standards und Geheimhaltungsvereinbarungen. Die Datenweitergabe darf nur verweigert werden, wenn ein nachweisliches Risiko schwerer wirtschaftlicher Schäden besteht.

Blick in die Zukunft: Das BSI hat angekündigt, dass Zertifizierungen nach dem neuen IT-Grundschutz++ ab dem 1. Januar 2027 verfügbar sein werden. Der auf ISO 27001 basierende Standard wird durch spezielle Schulungen für Berater ab November 2026 flankiert. Bewährte Instrumente wie die WiBA-Checklisten bleiben vorerst bestehen, um Unternehmen bei der Erfüllung der Mindestsicherheitsanforderungen zu unterstützen.

de | wirtschaft | 69436909 |