Deutsche Unternehmen vor regulatorischem Tsunami: NIS-2, CRA und neue Arbeitsgesetze

Gleich mehrere große Gesetzesvorhaben treten zeitgleich in Kraft oder nähern sich ihren entscheidenden Deadlines – mit weitreichenden Folgen für Unternehmen jeder Größe.

NIS-2: Der digitale Sicherheitsgurt wird enger

Seit Dezember 2025 ist die NIS-2-Richtlinie in Kraft – und die Zahl der betroffenen Unternehmen explodiert. Waren zuvor rund 4.500 Organisationen als kritische Infrastruktur eingestuft, sind es heute knapp 29.500. Besonders der Maschinen- und Anlagenbau steht unter Druck: Wer als Zulieferer nicht nachweist, dass er die neuen Sicherheitsstandards erfüllt, riskiert den Verlust wichtiger Kunden.

Angesichts der verschärften NIS-2-Vorgaben und der persönlichen Haftung von Geschäftsführern ist eine rechtssichere Dokumentation der IT-Sicherheit unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Unternehmen proaktiv vor Cyberangriffen schützen und neue gesetzliche Anforderungen ohne hohes Budget erfüllen. IT-Sicherheit stärken und Haftungsrisiken minimieren

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte bereits am 6. Januar 2026 ein spezielles Meldeportal freigeschaltet. Seitdem gilt eine strikte 24-Stunden-Meldepflicht bei schwerwiegenden Sicherheitsvorfällen. Die Botschaft ist klar: Compliance ist Chefsache. Geschäftsführer haften persönlich – und das nicht nur für die eigenen Systeme, sondern auch für Risiken in der gesamten Lieferkette.

Cyber Resilience Act: Zeitfenster schließt sich

Während die NIS-2 die Infrastruktur betrifft, zielt der EU Cyber Resilience Act (CRA) auf Produkte mit digitalen Funktionen ab. Zwar gilt er vollständig erst ab Dezember 2027, doch eine wichtige Deadline rückt bereits näher: Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Sicherheitslücken und schwerwiegende Vorfälle melden.

Betroffen sind etwa Aufzugshersteller, deren Anlagen längst mit digitalen Kommunikationsmodulen und Überwachungssystemen ausgestattet sind. Wer jetzt noch nicht mit der Integration von Sicherheitsstandards wie IEC 62443 begonnen hat, sollte schnell handeln. Eine Fallstudie der Advantech-ARK-Serie zeigt, dass durchdachtes Sicherheitsdesign die Entwicklungszeit um bis zu 60 Prozent und die Kosten um die Hälfte reduzieren kann.

Ergänzt wird das Ganze durch die EU-Produktsicherheitsverordnung (GPSR), die seit Dezember 2024 gilt, und das modernisierte Produktsicherheitsgesetz, das am 19. Februar 2026 in Kraft trat. Neu: Auch für B2B-Produkte, die von Verbrauchern genutzt werden könnten, drohen jetzt empfindliche Geld- und sogar Haftstrafen.

Arbeitsschutz: Dynamische Prüfungen statt verstaubter Ordner

Der Frühling 2026 markiert einen Wendepunkt im betrieblichen Arbeitsschutz. Die TÜV Rheinland kündigte im Februar an, ihr Prüfverfahren für Gefährdungsbeurteilungen grundlegend zu erweitern. Statt statischer Checklisten verlangen die Prüfer nun ein dynamisches Risikomanagement, das Klimawandel, Cyberangriffe und psychische Belastungen ebenso berücksichtigt wie klassische Unfallgefahren.

Hintergrund: Die Überarbeitung der internationalen Norm DIN ISO 45001 wird für 2027 erwartet. Schon jetzt müssen Unternehmen zeigen, dass sie nicht nur für Brände gewappnet sind, sondern auch für cyberbedingte Betriebsausfälle und psychologische Kriseninterventionen. Die Dringlichkeit untermauern aktuelle Zahlen: Psychische Erkrankungen am Arbeitsplatz haben laut Berichten vom April 2026 einen neuen Höchststand erreicht.

Da Aufsichtsbehörden zunehmend dynamische Risikomanagement-Systeme fordern, stehen Sicherheitsverantwortliche unter Zugzwang. Diese kostenlosen Vorlagen und Checklisten helfen Ihnen, behördenkonforme Gefährdungsbeurteilungen schnell zu erstellen und rechtliche Risiken sicher zu vermeiden. Rechtssichere Gefährdungsbeurteilungen jetzt erstellen

Zumindest kleine Unternehmen atmen etwas auf: Seit dem 25. März 2026 liegt die Schwelle für die Pflicht zur Bestellung von Sicherheitsbeauftragten bei 50 statt 20 Mitarbeitern – Ausnahmen für Hochrisikobereiche bleiben bestehen.

Arbeitsrecht: Reformen im Eiltempo

Die erste Maiwoche 2026 brachte gleich mehrere arbeitsrechtliche Neuerungen:

Am 6. Mai startete die Finanzkontrolle Schwarzarbeit (FKS) eine bundesweite Großrazzia in der Kurier- und Logistikbranche. Über 2.900 Prüfer kontrollierten die Einhaltung des Mindestlohns von 13,90 Euro pro Stunde. Erste Ergebnisse zeigen: Subunternehmer tricksen mit nicht bezahlten Arbeitsstunden, um Sozialabgaben zu sparen.

AGG-Reform: Nach der Kabinettszustimmung am 6. Mai wurde die Frist für Klagen auf vier Monate verlängert. Kritiker bemängeln jedoch, dass das Gesetz keine spezifischen Regelungen für KI-basierte Diskriminierung enthält.

Arbeitszeit: Arbeitsministerin Bärbel Bas kündigte für Juni 2026 einen Gesetzesentwurf zur Flexibilisierung der Arbeitszeit an. Kernpunkte: Umstellung von täglicher auf wöchentliche Höchstarbeitszeit und die Pflicht zur elektronischen Zeiterfassung.

Entgelttransparenz: Bis zum 7. Juni 2026 muss die EU-Entgelttransparenzrichtlinie in nationales Recht umgesetzt sein. Künftig dürfen Arbeitgeber nicht mehr nach dem vorherigen Gehalt fragen – und Beschäftigte erhalten ein Auskunftsrecht über Vergleichsgehälter.

Fazit: Compliance wird Chefsache

Die Gleichzeitigkeit von NIS-2, CRA und neuen Arbeitsgesetzen bedeutet eine fundamentale Verschiebung. Compliance ist kein „dicker Ordner im Regal" mehr, sondern strategische Führungsaufgabe. Die persönliche Haftung der Geschäftsführer – bis hin zum Privatvermögen – macht das Thema zur Chefsache.

Besonders der deutsche Mittelstand steht unter Druck: Große Kunden verlangen zunehmend den Nachweis umfassender Compliance über die gesamte Lieferkette hinweg. „Executable Compliance"-Modelle und KI-gestützte Prüftools versprechen Abhilfe, indem sie gesetzliche Anforderungen direkt in operative Prozesse integrieren.

Der Blick nach vorn: Der Juni 2026 bringt den Arbeitszeit-Entwurf, der September die ersten CRA-Meldepflichten. Und 2027? Dann wird der Cyber Resilience Act vollständig durchschlagen – und die nächste Überarbeitung internationaler Sicherheitsstandards steht an. Gefragt ist hybride Expertise: Recht, IT-Sicherheit und klassischer Arbeitsschutz müssen zusammenwachsen. Wer das schafft, reduziert nicht nur Haftungsrisiken – sondern steigert auch die betriebliche Effizienz.

de | wirtschaft | 69289933 |