NIS-2 ab Oktober: Neue Sicherheitsanforderungen für Lieferketten
29.06.2026 - 05:09:32 | boerse-global.de
Ein neuer Leitfaden für kleine und mittlere Unternehmen (KMU) zeigt: Wer heute nicht aufrüstet, riskiert Millionenstrafen.
Im Jahr 2024 registrierten die Behörden bundesweit 27.829 Verstöße – ein Rückgang von 13 Prozent gegenüber dem Vorjahr. Über sieben Jahre summierten sich die Bußgelder auf insgesamt 89 Millionen Euro. Der Fokus liegt laut dem Bericht auf der Umsetzung von DSGVO, BDSG und der ISO-Norm 27001.
NIS-2 wird zur neuen Hürde
Ab dem 1. Oktober 2026 werden spezifische Sicherheitsmaßnahmen für Lieferketten verbindlich. Unternehmen müssen dann Konzepte wie „Security by Architecture“, Software-Stücklisten (SBOM) und ein aktives Schwachstellenmanagement vorweisen.
Die Bußgelder sind happig: Bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes drohen bei Verstößen gegen die NIS-2-Richtlinie. Der EU Data Act sieht sogar Strafen von bis zu 20 Millionen Euro oder 4 Prozent des Umsatzes vor. Immerhin: Ab dem 1. Januar 2027 entfallen die Gebühren für den Wechsel von Cloud-Anbietern – ein Signal für mehr Wettbewerb.
KI-Risiken: Shadow-KI und Deepfakes
Die Bedrohungslage ist ernst. Eine Studie von ManageEngine unter 302 Führungskräften zeigt: 75 Prozent der deutschen Unternehmen waren in den letzten zwölf Monaten von einem Cybervorfall betroffen. In 56 Prozent der Fälle handelte es sich um Phishing oder Social Engineering.
Gleichzeitig setzen immer mehr KMU auf künstliche Intelligenz. Laut einer Umfrage von Thryv nutzen bereits 68 Prozent der Firmen mit 10 bis 100 Mitarbeitern KI. Andere Berichte sprechen sogar von 77 Prozent. Die größten Risiken: der Abfluss sensibler Daten durch „Shadow-KI“ und Deepfake-Betrug. Experten warnen: Die Zeitspanne zwischen der Entdeckung einer Schwachstelle und ihrer Ausnutzung könnte bis Ende 2026 auf unter eine Stunde fallen.
Angesichts steigender Cybervorfälle und neuer gesetzlicher Anforderungen zur KI-Nutzung müssen Unternehmer heute proaktiv handeln. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Sie jetzt kennen müssen, um Ihre Firma langfristig zu schützen. Kostenlosen Cyber-Security-Report jetzt herunterladen
Strengere Regeln für Passwörter und Updates
Der Standard „Cyber Essentials Plus“ verschärft die Zugangsregeln. Künftig ist eine Multifaktor-Authentifizierung (MFA) für alle Nutzer verpflichtend. Die Passwortrichtlinien sehen eine Mindestlänge von acht Zeichen bei MFA-Nutzung vor – ohne Zusatzsicherung sind mindestens zwölf Zeichen Pflicht. Kritische Sicherheitsupdates müssen binnen 14 Tagen eingespielt werden.
Spezifische Anforderungen gelten seit dem 2. Januar 2026 für Zahnarztpraxen durch die IT-Sicherheitsrichtlinie nach § 390 SGB V. Ab dem 1. Juli 2026 ist für elektronische Heilberufsausweise (eHBA) und Institutionenkarten (SMC-B) nur noch das Verschlüsselungsverfahren ECC zulässig. Die bisherigen RSA-Verfahren laufen zum 30. Juni 2026 aus.
Da ein Großteil der Cyberangriffe auf Methoden wie Phishing und Social Engineering zurückzuführen ist, wird die Prävention für Unternehmen zur Pflichtaufgabe. Das kostenlose Anti-Phishing-Paket zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen gegen psychologische Manipulationstaktiken und Hackerangriffe wirksam absichern. In 4 Schritten zum sicheren Unternehmen – Gratis-Download
EuGH-Urteil: Klare Grenzen für Schadensersatz
Ein Urteil des Europäischen Gerichtshofs vom 19. März 2026 (Az. C-526/24) bringt mehr Rechtssicherheit. Das Gericht stellte fest: Bereits ein erster Auskunftsantrag nach Artikel 15 DSGVO kann als exzessiv gelten, wenn eine rechtsmissbräuchliche Absicht vorliegt.
Für Schadensersatzforderungen nach Artikel 82 DSGVO ist der konkrete Nachweis eines Verstoßes, eines Schadens und der Kausalität erforderlich. Der Verlust der Kontrolle über personenbezogene Daten kann zwar einen immateriellen Schaden darstellen. Die bloße Befürchtung eines Datenmissbrauchs reicht für einen Entschädigungsanspruch jedoch nicht aus.
Trilog zur CSA-Verordnung: Entscheidung am 29. Juni
Am heutigen Montag findet ein entscheidender Trilog zur CSA-Verordnung statt. Direkte Scan-Verpflichtungen für private Kommunikation wurden in den Entwürfen gestrichen. Doch die Diskussion dreht sich nun um Pflichten zu Risikominderungsmaßnahmen, die indirekt ähnliche Anforderungen an Diensteanbieter stellen könnten. Das dürfte spannend werden – für Unternehmen und Bürger gleichermaßen.
