1138

20. Januar 2026

Legal Roadmap 2026: Data, Digitale Resilienz und Cybersicherheit

Zurück zur Startseite

Digitale Resilienz und Cybersicherheit entwickeln sich zunehmend zu zentralen Steuerungs- und Haftungsthemen für Unternehmen. Mit der Umsetzung der NIS-2-Richtlinie, dem Inkrafttreten des Cyber Resilience Act (CRA) sowie dem Europäischen Gesundheitsdatenraum (EHDS) verschärft und erweitert die EU den regulatorischen Rahmen erheblich. Unternehmen stehen damit vor der Herausforderung, technische, organisatorische und rechtliche Anforderungen über verschiedene Regelwerke hinweg konsistent umzusetzen – häufig unter hohem Zeitdruck.

 

NIS-2-Richtlinie – The Network and Information Security Directive

Was müssen Unternehmen jetzt beachten?

Die NIS-2-Richtlinie (The Network and Information Security (NIS) 2 Directive), die bereits am 16. Januar 2023 in Kraft getreten ist und neue Standards für Cybersicherheitsmaßnahmen in der EU setzt, ist zum Ende des Jahres 2025 in Deutschland in nationales Recht umgesetzt worden. Zur Umsetzung wurde insbesondere das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG) umfangreich novelliert. Seit dem 6. Dezember 2025 müssen sich Unternehmen an die umfangreichen Cybersicherheitsvorgaben des neuen BSIG halten, um keine aufsichtsbehördlichen Maßnahmen zu riskieren. Dies ist insbesondere mit Blick auf die seit diesem Datum geltende Registrierungspflicht zu beachten, denn eine Übergangsfrist ist nicht vorgesehen.

Erweiterte Cybersicherheitsanforderungen und Sanktionsrahmen

Das BSIG führt weitreichende Anforderungen zu Cyber-Risikomanagement, Cyber-Governance und Meldepflichten im Fall von Sicherheitsvorfällen ein. Hierdurch sollen einheitliche Sicherheitsstandards für die in den Anwendungsbereich des Gesetzes fallenden Unternehmen etabliert werden. Das neue BSIG erfasst in Umsetzung der NIS-2-Richtlinie geschätzt circa 29.500 Unternehmen in Deutschland und damit eine erheblich größere Anzahl als die Vorgängerregelung, die lediglich rund 4.500 Unternehmen betraf.

Cybersicherheitsmaßnahmen sind in Anwendung eines risikobasierten Ansatzes zu implementieren. Verstöße können mit Bußgeldern bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Vorjahresumsatzes sanktioniert werden.

Registrierungspflichten

Unternehmen, die in den Anwendungsbereich des BSIG fallen, müssen sich innerhalb von drei Monaten beim BSIG registrieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierfür am 6. Januar 2026 ein Onlineportal freigeschaltet.

Verantwortung der Geschäftsleitung für Cybersicherheitsmaßnahmen

Cybersicherheit wird unter dem BSIG zur „Chefsache“. Geschäftsleitungen der unter das BSI fallenden Unternehmen sind verpflichtet, die notwendigen Cybersicherheitsmaßnahmen in den Unternehmen umzusetzen und ihre Umsetzung zu überwachen. Bei einem Verstoß gegen diese Pflichten droht den Geschäftsleitungen eine persönliche Haftung. Ferner müssen Geschäftsleitungen betroffener Unternehmen regelmäßig an Schulungen teilnehmen, um die Cybersicherheitsrisiken für das Unternehmen erkennen und bewerten zu können.

Meldepflichten bei Sicherheitsvorfällen

Bei erheblichen Sicherheitsvorfällen sind Unternehmen zu einer Meldung an das BSI verpflichtet. Das Meldeverfahren ist zeitlich gestaffelt ausgestaltet, sodass im Zuge der Aufklärung von Vorfällen erlangte Informationen sukzessive gemeldet werden müssen. Eine erste Pflicht zur Meldung gilt bereits 24 Stunden nach Kenntniserlangung vom erheblichen Sicherheitsvorfall.

Cybersicherheit in der Lieferkette

Als Bestandteil eines angemessenen Cybersicherheitsmanagements sieht das BSIG auch die Cybersicherheit der Lieferkette vor. In der Konsequenz können auch Unternehmen, die nicht originär in den Anwendungsbereich des BSIG fallen, mittelbar von den Cybersicherheitsanforderungen betroffen sein. Dies ist der Fall, wenn ein Unternehmen als Dienstleister für andere Unternehmen im Anwendungsbereich des BSIG tätig wird und diese Unternehmen ihre Verpflichtungen im Sinne eines vertraglichen „Flow Down“ an ihre Dienstleister weitergeben. Unternehmen, die in den Anwendungsbereich des BSIG fallen, müssen gerade diesen „Flow Down“ in der Lieferkette sicherstellen.

Was sollten Unternehmen jetzt konkret tun?

Unternehmen sollten alsbald analysieren, ob sie in den Anwendungsbereich des BSIG fallen, die Registrierung beim BSI vornehmen und ermitteln, ob die bereits implementierten Cybersicherheitsmaßnahmen mit den Vorgaben des BSIG übereinstimmen sowie diese gegebenenfalls anpassen. Darüber hinaus sind Prozesse und Richtlinien zur Meldung von Sicherheitsvorfällen zu implementieren und mit den Prozessen zur Einhaltung von Meldepflichten nach anderen Vorgaben (z.B. der DSGVO) abzustimmen.

 

Cyber Resilience Act

Was müssen Unternehmen jetzt beachten?

Mit dem Cyber Resilience Act (CRA) wird ab 2026 sukzessive ein umfassender europäischer Rechtsrahmen zur Sicherstellung der Cybersicherheit von vernetzten Produkten und softwarebasierten Diensten eingeführt. Ziel des Gesetzgebers ist es,

  • Sicherheitslücken bereits im Entwicklungsprozess zu minimieren,
  • Hersteller stärker in die Verantwortung zu nehmen und
  • ein einheitliches Schutzniveau für den europäischen Binnenmarkt zu schaffen.

Für Unternehmen – sowohl Hersteller als auch Händler und Importeure – bedeutet dies: Weitreichende Pflichten bereits in einem frühen Stadium der Produktentwicklung und über den gesamten Lebenszyklus des jeweiligen Produkts hinaus (Stichwort: Updatepflicht) sowie ein erhöhtes Maß an Transparenz.

Der CRA umfasst praktisch alle „Produkte mit digitalen Elementen“. Darunter fallen beispielsweise etwa IoT-Geräte, Embedded Systems, Softwareprodukte, SaaS-Anwendungen oder Hardware mit Firmware. Ausnahmen gelten nur für wenige Bereiche, etwa medizinische Produkte oder reine Open Source-Projekte ohne kommerzielle Verwendung.

Kern des CRA ist der risikobasierte Ansatz. Hersteller müssen bereits in der Entwicklungsphase („Security by Design“ und „Security by Default“) sicherstellen, dass ihre Produkte bestimmten Sicherheitsanforderungen genügen. Dazu gehören unter anderem:

  • robuste Authentifizierungsmechanismen,
  • Schutz vor unbefugtem Zugriff,
  • sichere Updates,
  • umfassende Dokumentation und
  • ein strukturiertes Schwachstellenmanagement.

Zudem verpflichtet der CRA Hersteller, Sicherheitslücken aktiv zu überwachen und innerhalb klarer Fristen zu melden. Auch nach dem Inverkehrbringen müssen Produkte über einen definierten Zeitraum mit Sicherheitsupdates versorgt werden.

Unternehmen sollten beachten, dass der CRA nicht nur die technische Komponente der Sicherheit betrifft, sondern auch organisatorische und dokumentarische Pflichten beinhaltet. Hierzu gehören

  • Risikoanalysen,
  • technische Dokumentation,
  • eine EU-Konformitätserklärung und
  • ein kontinuierlicher Compliance-Prozess.

Händler und Importeure müssen prüfen, ob Produkte mit den Vorgaben des CRA übereinstimmen – ein bloßer Verweis auf den Hersteller genügt künftig nicht.

Was sollten Unternehmen jetzt konkret tun?

Unternehmen sollten eine Bestandsaufnahme im Sinne einer Gap-Analyse vornehmen: Welche Produkte fallen in den Anwendungsbereich des CRA, welche Prozesse existieren bereits und wo bestehen Lücken? Da der CRA als interdisziplinäre Compliance-Vorgabe zu begreifen ist, sollten Entwicklungs-, IT- und Compliance-Abteilungen gemeinsam ein Sicherheits- und Qualitätskonzept erarbeiten, das die Vorgaben des CRA systematisch abbildet. Wesentlicher Bestandteil hiervon sollten ein ausreichendes Schwachstellenmanagement sowie klar definierte Prozesse zu Vorfallmeldungen sein. Unternehmen müssen sicherstellen, die Vorgaben des CRA entlang des gesamten Lebenszyklus des jeweiligen Produkts abzubilden.

Hersteller im Sinne des CRA sind bereits ab dem 11. September 2026 verpflichtet, aktiv ausgenutzte Schwachstellen in Produkten mit digitalen Elementen und schwerwiegende Sicherheitsvorfälle an die zuständige Aufsichtsbehörde – das Bundesamt für Sicherheit in der Informationstechnik – zu melden. Die übrigen für die vom CRA erfassten Produkte relevanten Vorschriften gelten ab dem 11. Dezember 2027 für alle Produkte, die dann auf den Markt gebracht werden. Eine planvolle Vorbereitung kann bereits jetzt erheblich zur Absenkung von Risiken aufsichtsbehördlicher Maßnahmen wie Bußgelder beitragen und das Vertrauen von Kunden stärken.

 

Europäischer Gesundheitsdatenraum (EHDS)

Was müssen Unternehmen jetzt beachten?

Als weiterer wichtiger Grundpfeiler der Europäischen Gesundheitsunion und der EU-Datenstrategie ist der Europäische Gesundheitsdatenraum (EHDS) im März 2025 in Kraft getreten. Er verschafft Patientinnen und Patienten einen schnellen und unkomplizierten Zugang zu ihren elektronischen Gesundheitsdaten. Darüber hinaus legt er auch Vorgaben für die Nutzung von Gesundheitsdaten (sog. Sekundärnutzung) beispielsweise für Produktsicherheit, Forschung oder Innovation fest. Die in diesen Bereichen tätigen Unternehmen können künftig auf Antrag Gesundheitsdaten für gesetzlich festgelegte Zwecke nutzen, sofern die betroffenen Patientinnen und Patienten nicht von ihrem gesetzlichen Widerspruchsrecht Gebrauch machen. Der EHDS ermöglicht daher Forschung und Innovation bei gleichzeitiger Souveränität der Betroffenen über ihre Daten.

Die Regelungen des EHDS sind gestaffelt nach zwei, vier, sechs oder zehn Jahren anwendbar.

Lesen Sie mehr

Publication
Data_server_room_N_2251

Information Technology / AI / Data / Cyber

9. Dezember 2024 .Lesedauer 22 Minuten

Kontakt

Verena Grentzenberg
Partner
Jan Meents
Jan Geert Meents
Partner
Lucas Blum
Counsel