NIS2-Durchsetzung ab 30. Juni: Neue Melderegeln für Sicherheitsvorfälle
11.06.2026 - 14:35:48 | boerse-global.de
Der Europäische Datenschutzausschuss (EDPB) hat eine standardisierte Vorlage für die Meldung von Datenpannen verabschiedet. Die Initiative ist Teil des Digital Omnibus und soll Unternehmen entlasten, die bisher mit unterschiedlichen Formularen nationaler Aufsichtsbehörden kämpften.
Bislang variierten die Anforderungen je nach Mitgliedstaat erheblich. International agierende Firmen und kleine Betriebe mussten oft mehrere Versionen eines Vorfalls dokumentieren. Das neue Formular vereinheitlicht die Meldepflichten nach Artikel 33 DSGVO – und spart damit Zeit und Kosten.
Was Unternehmen jetzt melden müssen
Anzeige: Wer die neuen Melderegeln ab 30. Juni umsetzen muss, braucht jetzt eine einheitliche Vorlage – sonst drohen persönliche Haftung und Bußgelder. Dieser Report liefert die Checkliste und die EU-Meldevorlage. Jetzt kostenlosen Compliance-Report anfordern
Die Vorlage verlangt präzise Angaben zur Ursache einer Panne. Ob Ransomware-Angriff oder Phishing: Die Organisation muss den Vorfall genau beschreiben. Auch die eingesetzten Sicherheitsmaßnahmen wie Multi-Faktor-Authentisierung (MFA) oder Verschlüsselung sind zu dokumentieren.
Ein weiterer Schwerpunkt: die Folgen für Betroffene. Unternehmen müssen potenzielle Risiken wie Identitätsdiebstahl oder Betrug explizit ausweisen. Der EDPB hat eine öffentliche Konsultation zum Entwurf gestartet, die bis zum 5. August 2026 läuft. Gleichzeitig warnte das Gremium davor, den Begriff der betroffenen Personen zu verwässern.
NIS2: Verschärfte Durchsetzung ab Ende Juni
Die Harmonisierung fällt in eine Zeit, in der die EU auch bei der Netz- und Informationssicherheit nachlegt. Am 30. Juni 2026 beginnt eine Phase verschärfter Durchsetzung für die NIS2-Richtlinie. Bereits Ende Mai hatte sich die EU-NIS-Kooperationsgruppe auf einheitliche Meldevorlagen für Sicherheitsvorfälle geeinigt.
Einige Mitgliedstaaten ziehen bereits Konsequenzen. In Bulgarien gilt seit dem 1. Juni eine persönliche Haftung für Leitungsorgane bei Verstößen – mit Bußgeldern bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes. Luxemburg führt eine Registrierungspflicht für betroffene Unternehmen ein, deren Frist am 10. Juli endet. Die EU-Cybersicherheitsagentur ENISA stuft derzeit acht Sektoren als Hochrisikobereiche ein, darunter das Gesundheitswesen und den Schienenverkehr.
Aktuelle Urteile zeigen: Kontrollverlust kann teuer werden
Anzeige: Bereits der Kontrollverlust über Daten kann immaterielle Schadensersatzforderungen auslösen – wie aktuelle Urteile zeigen. Mit der Checkliste in diesem Report vermeiden Sie teure Fehler bei der NIS2-Umsetzung. NIS2-Checkliste jetzt sichern
Die Brisanz des Themas belegen aktuelle Vorfälle. Mitte April traf ein Cyberangriff den Abrechnungsdienstleister Unimed – rund 54.000 Patientendaten der Universitätsklinik Freiburg waren betroffen. Experten verweisen auf jüngste Entscheidungen des EuGH und BGH: Bereits der Kontrollverlust über personenbezogene Daten kann einen ersatzfähigen immateriellen Schaden darstellen.
Auch die Bußgeldpraxis konkretisiert sich. Das Landgericht Berlin reduzierte am 9. Juni eine Strafe gegen Deutsche Wohnen von 14,5 Millionen auf 900.000 Euro. Grund: Das Unternehmen hatte bei unzureichender Löschung von Mieterdaten kooperiert.
Parallel läuft die Vorbereitung auf den EU AI Act. Ab August 2026 greifen dessen Kernregeln und Kennzeichnungspflichten für KI-Inhalte. Die Bundesnetzagentur übernimmt dann die nationale Aufsicht – sowohl für den AI Act als auch für den EU Data Act.
