Ab Dezember 2026 müssen Vorstände und Geschäftsführer eine achtstündige Grundschulung in Cybersicherheit absolvieren. Doch das ist nur der Anfang: Jährlich kommen vier Stunden Weiterbildung dazu.
IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen
Führungskräfte in der Pflicht
Die verschärften Regeln treiben Unternehmen in ganz Europa zur Eile. Besonders Deutschland steht unter Druck – nicht zuletzt wegen aktueller Sicherheitsvorfälle. Die Botschaft aus Brüssel ist klar: Cybersicherheit ist Chefsache.
Die NIS2-Richtlinie verlangt von Führungsetagen aktive Verantwortung für die IT-Sicherheit. Wer die Schulungspflicht ignoriert, riskiert persönliche Haftung. Das betrifft nicht nur Technologiekonzerne, sondern zunehmend auch Energieversorger, Verkehrsbetriebe, Banken und öffentliche Verwaltungen.
Schulungsanbieter wie Gill & Murry und PwC haben bereits spezielle Programme aufgelegt. Im Frühjahr 2026 fanden entsprechende Seminare in Budapest und online statt. Themen: Führungsverantwortung, Krisenmanagement und Risikobewertung.
Technische Hürden: Penetrationstests werden Pflicht
Doch die Anforderungen gehen weit über Schulungen hinaus. Artikel 21(2) der Richtlinie schreibt umfassendes Schwachstellenmanagement und regelmäßige Sicherheitstests vor. Für besonders kritische Systeme empfehlen Fachleute jährliche Penetrationstests – und zusätzlich nach jedem größeren Infrastrukturwechsel.
Die Dringlichkeit dieser Maßnahmen zeigte sich Ende Mai: Eine Zero-Day-Lücke in Netzwerksicherheitsprodukten von Check Point legte bundesweit bis zu 1.800 Systeme offen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz schlugen Alarm. Betroffen waren Betreiber kritischer Infrastrukturen in Verkehr und Gesundheitswesen sowie politische Organisationen.
Zwar stehen seit Ende Mai Patches bereit, und über die Hälfte der betroffenen Nutzer hat bereits aktualisiert. Der Vorfall verdeutlicht jedoch das Prinzip der „geteilten Verantwortung“ in Cloud- und Netzwerksicherheit.
Neben NIS2 stellen auch neue KI-Regeln Unternehmen vor große Herausforderungen bei der Risikodokumentation. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über alle Anforderungen, Pflichten und Fristen des EU AI Acts. EU AI Act in 5 Schritten verstehen: Jetzt kostenlosen Ratgeber sichern
Deutschland vorne, Frankreich hinten
Die Umsetzung von NIS2 verläuft in den Mitgliedsstaaten unterschiedlich. Deutschland hat die nationale Gesetzgebung Ende 2025 abgeschlossen: Der Bundestag und Bundesrat verabschiedeten das NIS2-Umsetzungsgesetz (NIS2UmsuCG) im November 2025. Es gilt für Unternehmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz in bestimmten Sektoren.
Frankreich hingegen hat die Richtlinie noch nicht in nationales Recht überführt. Französische Unternehmen werden dennoch aufgefordert, sich auf die erweiterten Melde- und Analysepflichten vorzubereiten.
Kroatien hat den Schutz bereits über die klassische kritische Infrastruktur hinaus auf weitere öffentliche und private Einrichtungen ausgedehnt. Hintergrund sind jüngste Cyberangriffe auf ein Krankenhaus und einen Flughafen, die Cybersicherheit zur nationalen Priorität gemacht haben.
Weitere EU-Regularien in der Pipeline
NIS2 ist Teil einer ganzen Welle neuer Digitalregulierungen. Der Digital Operational Resilience Act (DORA) ist bereits seit Januar 2025 in Kraft. Weitere Meilensteine stehen bevor:
- Cyber Resilience Act (CRA): Hauptpflichten ab 11. September 2026
- Data Act: Umsetzung ab 12. September 2026
- AI Act: Pflichten für Hochrisiko-Systeme voraussichtlich ab August 2026
Die Botschaft ist eindeutig: Die EU macht Ernst mit der digitalen Sicherheit. Unternehmen, die jetzt nicht handeln, könnten schon bald nicht nur mit Bußgeldern rechnen müssen – sondern mit der persönlichen Haftung ihrer Führungskräfte.
