NIS2-Umsetzung: 30.000 Unternehmen müssen nachrüsten, Vorstände schulen

Am heutigen Samstag ist das Data-Act-Durchführungsgesetz in Kraft getreten – ein Meilenstein für die Anwendung europäischer Daten- und Produktsicherheitsvorschriften in Deutschland. Das Gesetz regelt erstmals klar, welche Behörden für die Überwachung der Einhaltung zuständig sind. Besonders betroffen: Hersteller vernetzter Geräte (IoT) und Anbieter digitaler Dienste.

Wer kontrolliert wen?

Die neue Rechtslage schafft eine klare Aufsichtsstruktur. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) übernimmt die Kontrolle für öffentliche Stellen in Hamburg – etwa wenn Behörden selbst vernetzte Geräte herstellen oder im Katastrophenfall auf Daten zugreifen müssen.

Die neuen Regulierungen wie der Data Act oder die NIS2-Richtlinie fordern von Unternehmen ein Höchstmaß an Compliance. Dieser kostenlose Praxis-Guide unterstützt Sie dabei, die komplexen Anforderungen in fünf konkreten Schritten rechtssicher umzusetzen. In 5 Schritten DSGVO-konform: So haken Sie alle Pflichten schnell und einfach ab

Für private Unternehmen teilen sich die Bundesnetzagentur und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die Aufsicht. Ein zweigleisiges System, das für Klarheit sorgen soll – aber auch neue Bürokratie mit sich bringt.

Brüssel zeigt Härte: 200 Millionen Euro Strafe für Temu

Nur einen Tag vor Inkrafttreten des deutschen Gesetzes schlug die EU-Kommission ein weiteres Mal zu: Gegen den Online-Händler Temu verhängte sie am Freitag ein Bußgeld von 200 Millionen Euro. Der Vorwurf: Verstöße gegen den Digital Services Act (DSA). Konkret monieren die Brüsseler Behörden unzureichende Risikobewertungen für illegale oder unsichere Produkte.

Temu ist kein kleiner Fisch: Rund 130 Millionen Kunden in Europa und ein Jahresumsatz von 53 Milliarden Euro (2025) machen den Konzern zu einem Schwergewicht. Es ist bereits das zweite große Verfahren dieser Art – erst im Winter kassierte die Plattform X eine Strafe von 120 Millionen Euro.

Chips Act 2.0: Europas Kampf um Halbleiter-Souveränität

Die EU-Kommission arbeitet bereits an der nächsten industriepolitischen Großoffensive: dem „Chips Act 2.0“. Ziel ist es, die Nachfrageseite zu stärken – konkret sollen öffentliche Auftraggeber bevorzugt europäische Halbleiter kaufen.

Der Hintergrund ist ernüchternd: Derzeit liegt der EU-Anteil am globalen Halbleitermarkt bei rund zehn Prozent. Das selbstgesteckte Ziel von 20 Prozent bis 2030 rückt in weite Ferne. Die Kommission schätzt den Gesamtinvestitionsbedarf bis 2035 auf 120 Milliarden Euro. Geplant sind unter anderem schnellere Umweltgenehmigungen für Chipfabriken und gezielte Förderung europäischer Start-ups. Anfang Juni will die EU-Spitze weitere Details vorlegen.

NIS2: Von 4.500 auf 30.000 betroffene Unternehmen

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) verschärft die Anforderungen an die Cybersicherheit drastisch. Die Zahl der regulierten Unternehmen stieg von 4.500 auf rund 30.000. Das bedeutet: Mittelständler, die bisher kaum mit dem Thema in Berührung kamen, müssen jetzt nachrüsten.

Eine der umstrittensten Neuerungen: Pflichtschulungen für Vorstände und Geschäftsführer. Rund vier Stunden Training alle drei Jahre sind vorgeschrieben – die Devise lautet: Cybersicherheit muss Chefsache werden. Wer sich weigert, riskiert saftige Strafen: bis zu 20 Millionen Euro oder zwei Prozent des globalen Jahresumsatzes.

Angesichts drastisch steigender Cyberrisiken und neuer gesetzlicher Pflichten wie der NIS2-Richtlinie müssen Unternehmen ihre Schutzmaßnahmen proaktiv verstärken. Erfahren Sie in diesem kostenlosen E-Book, wie Sie aktuelle Bedrohungen abwenden und Ihre Firma ohne hohe Investitionen langfristig absichern. IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen

Die aktuelle Lage ist durchwachsen. Die europäische Cybersicherheitsbehörde ENISA veröffentlichte am Freitag eine neue Bewertung: Während Banken und Telekommunikation gut dastehen, befinden sich der Schienenverkehr und die Trinkwasserversorgung weiterhin in der „Risikozone“. Auch der Weltraumsektor bereitet Experten Sorgen – geopoltische Spannungen und komplexe Software-Lieferketten machen ihn verwundbar.

Technische Standards: Der Countdown läuft

Die Übergangsfrist für den EU Data Act endet im September 2026. Die Industrie arbeitet daher unter Hochdruck an standardisierten Datenformaten – im Fokus steht die Asset Administration Shell (AAS). Sie ist die Grundlage für den kommenden Digitalen Produktpass und den Batteriepass.

Eine Umfrage unter PLM-Anbietern (Product Lifecycle Management) – darunter SAP, Siemens und Dassault Systèmes – soll bis Mitte 2026 klären, wie weit die Unterstützung für AAS tatsächlich ist. Parallel dazu verschärft das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Cloud-Standards. Der neue C5:2026-Standard umfasst 168 Kriterien und wird ab Juni 2027 verpflichtend.

Bereits im April veröffentlichte das BSI die C3A-Kriterien zur Bewertung digitaler Souveränität. Erste Ergebnisse zeigen: Große US-Cloud-Anbieter tun sich strukturell schwer mit diesen Anforderungen. Der Grund liegt im Konflikt zwischen dem US-amerikanischen CLOUD Act und dem EU-Datengesetz – ein grundlegender Widerspruch, der noch nicht aufgelöst ist.

de | wirtschaft | 69446767 |