Die NIS-2-Richtlinie ist seit Dezember 2025 in Deutschland geltendes Recht. Keine Übergangsfrist, keine Schonfrist, keine Ausnahmen. Rund 29.500 Unternehmen aus 18 Sektoren müssen Risikomanagement betreiben, Sicherheitsvorfälle melden und sich beim BSI registrieren. Und trotzdem: Auf dem 21. Deutschen IT-Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik musste das BSI einräumen, dass die Umsetzung weit hinter den Erwartungen zurückbleibt. Die Registrierungszahlen sind enttäuschend, die Kenntnis über die Richtlinie ist erschreckend gering und ein nicht unerheblicher Teil der betroffenen Unternehmen hat bewusst entschieden, sich erst gar nicht zu registrieren.

Was steckt dahinter? Und vor allem: Wie können Unternehmen die Compliance-Hürde endlich nehmen, ohne dabei ihre operativen Ressourcen zu überfordern? Die Antwort liegt zu einem grossen Teil in modernen GRC-Softwarelösungen.

Das Wichtigste in Kürze

• Knapp die Hälfte aller deutschen Unternehmen hatte laut BSI bis Ende 2024 noch nie von NIS-2 gehört.
• Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 ohne Übergangsfrist in Kraft. Die BSI-Registrierungsfrist lief am 6. März 2026 ab.
• Hauptgründe für die Nicht-Umsetzung: fehlende Awareness, wahrgenommene Komplexität, Ressourcenmangel und eine bewusste „Wait-and-See“-Strategie.
• Bei Verstössen drohen Bussgeldere von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
• Geschäftsführerinnen und Geschäftsführer haften persönlich für die Einhaltung der Cybersicherheitspflichten.
• GRC-Software reduziert den Umsetzungsaufwand nachweislich um bis zu 40–50 % und bringt Struktur, Automatisierung und Auditbereitschaft in einem einzigen Tool.

Der Weckruf vom BSI-Kongress: Deutschland verschläft die NIS-2-Pflicht

Auf dem 21. BSI-Sicherheitskongress sprach Manuel Bach aus der BSI-Abteilung Cybersicherheit in der Wirtschaft Klartext: Die Registrierungszahlen von Unternehmen im BSI-Meldeportal bleiben deutlich unter den Erwartungen. Schlimmer noch: Das BSI weiss von Unternehmen, die nach Konsultation ihrer Rechtsbeistände bewusst entschieden haben, sich nicht zu registrieren — in der Hoffnung, unter dem Radar zu bleiben.

Und dann die vielleicht alarmierendste Zahl: Knapp die Hälfte aller deutschen Unternehmen hatte zum Zeitpunkt einer BSI-Studie Ende 2024 den Begriff „NIS-2“ noch nie gehört. Nicht unbekannt als Pflicht — schlicht unbekannt als Begriff.

Younes Ahmadzei, der sich im Rahmen seiner Bachelorarbeit an der TU München mit der NIS-2-Umsetzung bei kleinen und mittelständischen Unternehmen befasst hatte, bestätigte dieses Bild: Viele Unternehmen hatten sich erst Anfang 2026 erstmals ernsthaft mit dem Thema auseinandergesetzt — also nach dem Inkrafttreten des Gesetzes ohne Übergangsfrist. Und selbst wer von der Richtlinie weiss, zweifelt oft daran, ob deren Umsetzung die IT-Sicherheit im eigenen Unternehmen tatsächlich verbessert. NIS-2 wird als bürokratische Pflichtübung wahrgenommen, nicht als strategische Chance.

Dieser Befund ist alarmierend — und gleichzeitig erklärbar.

Warum so viele Unternehmen NIS-2 ignorieren: Die fünf grössten Hürden

1. Fehlende Awareness und Unkenntnis der eigenen Betroffenheit

Der erste und fundamentalste Grund ist schlicht mangelndes Bewusstsein. Viele Unternehmen wissen nicht, dass NIS-2 sie betrifft. Die Richtlinie hat den Kreis der verpflichteten Organisationen massiv erweitert: von rund 4.500 Unternehmen unter der alten NIS-Richtlinie auf über 29.500 in Deutschland. Betroffen sind nun auch mittelgrosse Unternehmen aus 18 Sektoren — darunter Energie, Transport, Gesundheit, Produktion, digitale Dienste, Finanzwesen und öffentliche Verwaltung.

Grundsätzlich gilt: Unternehmen mit mindestens 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz können in den Anwendungsbereich fallen. Wer sich nicht aktiv fragt, ob das auf das eigene Unternehmen zutrifft, läuft Gefahr, die eigene Pflicht schlicht zu übersehen.

2. Die wahrgenommene Komplexität des Regelwerks

NIS-2 ist komplex. Deutschland hat versucht, mit einem einzigen Gesetz mehrere regulatorische Baustellen gleichzeitig zu bearbeiten — das Ergebnis ist ein vielschichtiges Regelwerk, das selbst Expertinnen und Experten herausfordert. Für viele Mittelständler wirkt der Gesetzestext abstrakt und schwer in konkrete operative Massnahmen übersetzbar.

Laut einer Studie „Cybersicherheit & Digitale Resilienz 2026“ bewerten 47 Prozent der befragten Unternehmen die Einführung von NIS-2 als schwierig oder sehr schwierig. Als grösste Hürden nennen jeweils rund 39 Prozent den hohen Anpassungsaufwand für Prozesse und Richtlinien sowie die schiere Komplexität der Anforderungen. Ein weiteres Drittel beklagt unklare regulatorische Vorgaben und Integrationsprobleme in bestehende IT-Systeme.

Governance-Pflichten, Risikomanagement, Incident Response, Lieferantenbewertung — viele dieser Anforderungen wirken, als wären sie für Konzerne mit eigenen Compliance-Teams geschrieben worden. Für einen Maschinenbauer mit 80 Mitarbeitenden aus Süddeutschland ist das eine ganz andere Realität.

3. Ressourcenmangel in KMU

Grosse Unternehmen verfügen über eigene IT-Abteilungen, Security-Teams und Compliance-Expertinnen. Kleine und mittelgrosse Unternehmen — also genau jene Gruppe, die durch NIS-2 neu in die Pflicht genommen wird — haben diese Ressourcen schlicht nicht. In Interviews mit betroffenen Unternehmensvertreterinnen und -vertretern wurde der Aufwand auf mindestens eine Person mit zwei bis drei Tagen pro Woche beziffert — eine realistische Einschätzung, die für viele KMU nicht ohne erhebliche Mehrkosten umsetzbar ist.

Hinzu kommt: Viele Unternehmen sind technisch durchaus gut aufgestellt, scheitern aber organisatorisch und bei der Dokumentation. Fehlende Prozessstrukturen, keine gelebte Sicherheitskultur, kaum vorhandene Meldestrukturen — all das macht die Compliance-Arbeit aufwendig und mühsam.

4. Die „Wait-and-See“-Strategie

Solange das nationale Umsetzungsgesetz nicht final war, warteten viele Unternehmen ab. Diese Zurückhaltung war ein bewusstes strategisches Kalkül: Wer zu früh investiert, könnte in eine Richtung laufen, die das finale Gesetz wieder korrigiert. Diese Haltung führte zu einem gefährlichen Stillstand — und als das Gesetz im Dezember 2025 ohne Übergangsfrist in Kraft trat, waren viele Unternehmen völlig unvorbereitet.

Inzwischen ist dieses Argument obsolet. Das Gesetz gilt. Die Registrierungsfrist ist am 6. März 2026 abgelaufen. Wer noch nicht registriert ist, riskiert ab sofort ein Bussgeld.

5. Unterschätzung der persönlichen Haftung

NIS-2 ist das erste deutsche Cybersicherheitsgesetz, das Geschäftsführerinnen und Geschäftsführer persönlich in die Pflicht nimmt. § 38 des neuen BSIG verpflichtet Geschäftsleitungen unter anderem zur regelmässigen Schulung in vier Kernfeldern — alle drei Jahre. Und wer als Unternehmensleitung die eigene Meldepflicht ignoriert, haftet dafür persönlich.

Manuel Bach vom BSI zog auf dem Kongress einen treffenden Vergleich: Steuerpflicht kann man auch nicht selbst für sich ausschliessen. Nur weil man der Meinung ist, das eigene Unternehmen falle nicht unter NIS-2, entspricht das noch lange nicht der Rechtslage.

Die Konsequenzen des Nichthandelns: Was Unternehmen riskieren

Die Bussgeldrahmen unter NIS-2 sind substanziell. Für besonders wichtige Einrichtungen drohen Sanktionen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen gilt ein Rahmen von bis zu 7 Millionen Euro oder 1,4 Prozent des globalen Umsatzes.

Dazu kommt die persönliche Haftung der Geschäftsführung, die in ihrer Tragweite von vielen Unternehmensleitungen noch immer unterschätzt wird. Durch lückenhafte Sicherheit riskieren Unternehmen ausserdem erhebliche Reputationsschäden, wenn ein Sicherheitsvorfall publik wird und offensichtlich wird, dass keine angemessenen Massnahmen ergriffen wurden.

Und schliesslich: Wer Teil einer Lieferkette ist, wird zunehmend von grösseren Partnern und Auftraggebern auf Compliance-Konformität geprüft. NIS-2-Compliance entwickelt sich zum Wettbewerbsfaktor.

Warum manuelle Umsetzung an ihre Grenzen stösst

Die klassische Herangehensweise — Berater engagieren, Excel-Tabellen pflegen, Dokumentation in Word-Dateien zusammenstellen — funktioniert für grosse Konzerne mit entsprechenden Ressourcen. Für den Mittelstand ist sie schlicht zu aufwendig, zu fehleranfällig und zu wenig skalierbar.

NIS-2 ist kein einmaliges Projekt, das man abhakt und wieder vergisst. Es geht um kontinuierliches Risikomanagement, regelmässige Überprüfung von Massnahmen, strukturierte Vorfallsreaktion innerhalb strikter Meldefristen — erhebliche Sicherheitsvorfälle müssen dem BSI innerhalb von 24 Stunden gemeldet werden — sowie laufende Dokumentation der Lieferkettensicherheit.

Das ist kein Aufwand, den man mit einer Checkliste in der Schublade bewältigt.

Wie GRC-Software die Compliance-Lücke schliesst

Governance, Risk & Compliance — kurz GRC — Software wurde genau für dieses Problem entwickelt: komplexe regulatorische Anforderungen strukturiert, skalierbar und nachvollziehbar umzusetzen. Für NIS-2 ist GRC-Software kein Nice-to-have, sondern ein strategisches Werkzeug.

Strukturierter Einstieg statt Orientierungslosigkeit

Moderne GRC-Plattformen liefern vorkonfigurierte NIS-2-Frameworks inklusive aller relevanten Massnahmenfelder, Kontrollziele und Dokumentationsvorlagen. Statt bei null anzufangen, startet ein Unternehmen mit einem strukturierten Gap-Assessment: Wo steht das Unternehmen heute? Welche Anforderungen sind bereits erfüllt? Wo bestehen noch Lücken?

Diese Gap-Analyse ist der Ausgangspunkt für einen priorisierten Massnahmenplan — und genau das, was viele Unternehmen bisher vermissen: eine klare Übersicht, wo sie anfangen müssen.

Automatisiertes Risikomanagement

NIS-2 verlangt eine kontinuierliche Identifikation, Bewertung und Minimierung von Risiken. In der manuellen Umsetzung bedeutet das: regelmässige Workshops, Tabellenpflege, interne Abstimmungsrunden. Eine GRC-Plattform automatisiert diese Prozesse: Risiken werden erfasst, bewertet, mit konkreten Massnahmen verknüpft und in einem lebendigen Risikoregister dokumentiert — das sich automatisch aktualisiert, wenn sich die Bedrohungslage oder die Unternehmensstruktur ändern.

Incident Management mit integrierten Meldewegen

Die 24-Stunden-Meldefrist für erhebliche Sicherheitsvorfälle ist eine der härtesten operativen Anforderungen von NIS-2. Ohne strukturierte Prozesse ist sie kaum einzuhalten. GRC-Software bietet integrierte Incident-Management-Module: Vorfälle werden strukturiert erfasst, automatisch klassifiziert, relevante Stakeholder werden benachrichtigt und Meldewege zum BSI können vorbereitet werden. Die lückenlose Dokumentation schützt die Geschäftsführung zudem im Haftungsfall.

Lieferkettensicherheit und Drittparteienmanagement

NIS-2 verpflichtet Unternehmen auch zur Absicherung ihrer Lieferkette. Das bedeutet: Lieferanten und Dienstleister müssen auf ihre Sicherheitspraktiken hin bewertet werden. In einer GRC-Plattform lässt sich dieses Drittparteienmanagement systematisch abbilden — mit automatisierten Fragebögen, strukturierten Bewertungsworkflows und einem zentralen Überblick über alle relevanten Partner.

Auditbereitschaft auf Knopfdruck

Besonders wichtige Einrichtungen müssen ihre Massnahmen innerhalb von drei Jahren gegenüber dem BSI nachweisen. Wer seine NIS-2-Compliance in einer GRC-Plattform abbildet, ist jederzeit auditbereit: Alle Nachweise, Dokumente, Risikoeinschätzungen und Massnahmenprotokolle sind an einem zentralen Ort gespeichert, versioniert und jederzeit abrufbar.

Entlastung für Geschäftsführung und IT

Ein häufig unterschätzter Vorteil: GRC-Software entlastet die Geschäftsführung. Anstatt von Compliance-Details erdrückt zu werden, erhalten Führungskräfte klare Dashboards, die auf einen Blick zeigen, wie es um die NIS-2-Konformität des Unternehmens steht. IT-Teams werden entlastet, weil Routineaufgaben automatisiert werden — laut Studiendaten um bis zu 40 Prozent.

Multi-Framework-Abdeckung: NIS-2 ist nicht allein

Wer NIS-2 umsetzen muss, hat in vielen Fällen auch andere regulatorische Verpflichtungen: DSGVO, ISO 27001, DORA (für Finanzunternehmen), TISAX (für die Automobilindustrie) oder das kommende KRITIS-Dachgesetz. Gut integrierte GRC-Plattformen können diese Frameworks parallel abbilden und Synergien nutzen — wer ISO 27001 bereits implementiert hat, hat damit einen erheblichen Vorsprung bei der NIS-2-Umsetzung.

Zazoon: GRC-Software, die nicht überfordert

Bei Zazoon haben wir diese Realität im Mittelstand aus nächster Nähe beobachtet. Unternehmen brauchen keine weitere Checkliste und kein weiteres Berater-Dokument. Sie brauchen eine Softwarelösung, die NIS-2 in handhabbare Schritte zerlegt, die Umsetzung begleitet und dabei nicht mehr IT-Expertise voraussetzt, als realistischerweise vorhanden ist.

Unsere GRC-Plattform bietet genau das: einen strukturierten NIS-2-Einstieg, ein integriertes Risikomanagement, automatisierte Dokumentation und einen zentralen Überblick für Geschäftsführung und IT — ohne dass dafür ein dediziertes Compliance-Team aufgebaut werden muss.

Fazit: Der Preis des Abwartens ist zu hoch

NIS-2 ist kein bürokratisches Konstrukt, das man aussitzen kann. Es ist geltendes Recht mit substanziellen Sanktionen und persönlicher Geschäftsführerhaftung. Die ernüchternden Zahlen vom BSI-Kongress zeigen, dass ein erheblicher Teil der deutschen Wirtschaft diesen Ernst noch nicht begriffen hat — oder ihn bewusst ignoriert.

Die gute Nachricht: Es ist noch nicht zu spät, um strukturiert anzufangen. Und GRC-Software macht es zum ersten Mal realistisch, NIS-2-Compliance auch ohne grosses Compliance-Team und ohne sechsstellige Beratungsbudgets zu erreichen. Die Unternehmen, die jetzt handeln, sichern sich nicht nur vor Bussgeldern und Haftungsrisiken ab. Sie schaffen die Grundlage für eine resilientere IT-Infrastruktur, stärken das Vertrauen ihrer Kunden und Partner und positionieren sich als verlässliche Glieder in einer sicherheitsbewussten Lieferkette.

Der Aufwand ist real. Aber er ist beherrschbar — mit den richtigen Werkzeugen.

Häufig gestellte Fragen (FAQ)

Gilt NIS-2 auch für mein Unternehmen, wenn ich kein Technologieunternehmen bin? Ja, in vielen Fällen. NIS-2 erfasst Unternehmen aus 18 Sektoren, darunter Energie, Transport, Gesundheit, Maschinenbau, Chemie, Lebensmittelproduktion und öffentliche Verwaltung. Als Faustregel gilt: Unternehmen mit mindestens 50 Mitarbeitenden oder mehr als 10 Millionen Euro Jahresumsatz sollten aktiv prüfen, ob sie in den Anwendungsbereich fallen. Diese Prüfung sollte möglichst zeitnah erfolgen.

Was passiert, wenn mein Unternehmen die Registrierungsfrist verpasst hat? Die BSI-Registrierungsfrist ist am 6. März 2026 abgelaufen. Unternehmen, die noch nicht registriert sind, riskieren Bussgelder und sollten die Registrierung unverzüglich nachholen. Das BSI hat signalisiert, dass es die Einhaltung der Pflichten aktiv überwacht.

Wie hoch sind die Bussgeldrisiken konkret? Für besonders wichtige Einrichtungen liegt der Busssgeldrahmen bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen gilt ein Rahmen von bis zu 7 Millionen Euro oder 1,4 Prozent des globalen Umsatzes.

Was ist der Unterschied zwischen „wichtigen“ und „besonders wichtigen“ Einrichtungen? Besonders wichtige Einrichtungen sind grössere Unternehmen aus kritischen Sektoren wie Energie, Wasser, Finanzmarktinfrastruktur und Gesundheit. Wichtige Einrichtungen umfassen mittelgrosse Unternehmen sowie Organisationen aus weiteren Sektoren wie Produktion, Lebensmittel und digitale Dienste. Die genaue Zuordnung hängt von Sektorzugehörigkeit, Unternehmensgrösse und Marktstellung ab.

Hilft ISO 27001 bereits bei der NIS-2-Umsetzung? Ja, erheblich. ISO 27001 und NIS-2 überlappen in vielen Bereichen — insbesondere beim Informationssicherheitsmanagementsystem (ISMS), bei der Risikoanalyse und bei der Dokumentation von Sicherheitsmassnahmen. Wer bereits ISO-27001-zertifiziert ist, hat einen deutlichen Vorsprung. Gute GRC-Plattformen bilden beide Frameworks parallel ab und nutzen die vorhandene Arbeit als Grundlage für die NIS-2-Compliance.

Wie lange dauert die NIS-2-Umsetzung mit einer GRC-Software? Das hängt vom Ausgangszustand des Unternehmens ab. Mit einer GRC-Plattform, die strukturierte Vorlagen, Gap-Analysen und automatisierte Workflows mitbringt, können gut vorbereitete Unternehmen den Compliance-Aufbau gegenüber einer rein manuellen Herangehensweise um bis zu 50 Prozent verkürzen. Realistische Zeitrahmen für einen ersten soliden Compliance-Stand liegen bei drei bis sechs Monaten.

Was genau muss ich als Geschäftsführerin oder Geschäftsführer persönlich tun? Gemäss § 38 des neuen BSIG müssen Geschäftsleitungen die Umsetzung der Risikomanagementmassnahmen aktiv überwachen und billigen. Ausserdem sind regelmässige Schulungen in vier Kernbereichen vorgeschrieben — mindestens alle drei Jahre. Wer diese Pflichten vernachlässigt, haftet persönlich. Eine GRC-Plattform hilft dabei, diese Aufgaben strukturiert zu dokumentieren und nachzuweisen.

Kann eine GRC-Software auch die Lieferkettensicherheit abdecken? Ja. Moderne GRC-Plattformen bieten Drittparteienmanagement-Module, mit denen Lieferanten und Dienstleister systematisch bewertet und dokumentiert werden können. Das ist besonders wichtig, da NIS-2 ausdrücklich auch die Sicherheit der Lieferkette als Teil des Risikomanagements fordert.

Korruption gehört zu den grössten strukturellen Risiken für Unternehmen und Staaten in Europa. Trotz zahlreicher nationaler Gesetze bestand bisher ein zentrales Problem: fehlende Einheitlichkeit. Unterschiedliche Definitionen, Strafmasse und Durchsetzungsmechanismen haben dazu geführt, dass Korruption oft grenzüberschreitend organisiert und gezielt in regulatorischen Grauzonen betrieben wurde.

Mit der neuen EU-Anti-Korruptionsrichtlinie 2026 ändert sich dieses Bild grundlegend. Erstmals schafft die Europäische Union einen einheitlichen strafrechtlichen Mindeststandard, der alle Mitgliedstaaten verpflichtet, Korruption nach denselben Prinzipien zu verfolgen.

Das Wichtigste in Kürze

• Einheitlicher EU-weiter strafrechtlicher Rahmen zur Korruptionsbekämpfung
• Klare Definition zentraler Korruptionsdelikte
• Harmonisierung von Mindeststrafen und Sanktionen
• Deutlich ausgeweitete Unternehmenshaftung
• Verpflichtende nationale Anti-Korruptionsstrategien
• Stärkere Zusammenarbeit zwischen EU- und nationalen Behörden
• Umsetzung in nationales Recht innerhalb von 2 bis 3 Jahren

Warum die EU jetzt handelt

Korruption ist längst kein rein nationales Problem mehr. Sie ist eng verknüpft mit organisierter Kriminalität, Geldwäsche und Missbrauch öffentlicher Mittel. Gleichzeitig haben unterschiedliche nationale Regelungen bisher dazu geführt, dass sich Korruptionsnetzwerke gezielt die schwächsten Rechtsordnungen innerhalb der EU zunutze machen konnten.

Die Folge: ineffektive Strafverfolgung, geringe Abschreckung und erhebliche wirtschaftliche Schäden. Die neue Richtlinie ist daher eine direkte Antwort auf diese strukturellen Defizite.

Der Kern der Richtlinie: Harmonisierung statt Fragmentierung

Die EU verfolgt mit der Richtlinie einen klaren Ansatz: keine vollständige Vereinheitlichung, aber verbindliche Mindeststandards, die von allen Mitgliedstaaten eingehalten werden müssen.

Einheitliche Definition von Korruptionsdelikten

Ein zentraler Fortschritt ist die europaweit einheitliche Definition von Korruptionsdelikten. Dazu gehören insbesondere:

• Bestechung im öffentlichen und privaten Sektor
• Veruntreuung
• Einflussnahme
• Behinderung der Justiz
• Illegale Bereicherung
• Verschleierung von Vermögenswerten

Diese Vereinheitlichung reduziert Interpretationsspielräume erheblich und erschwert es, regulatorische Unterschiede gezielt auszunutzen.

Mindeststrafen und Sanktionen

Neben der Definition der Delikte werden auch die Sanktionen harmonisiert. Ziel ist es, eine einheitliche Abschreckungswirkung innerhalb der EU zu erreichen.

Zu den wichtigsten Massnahmen gehören:

• Mindestfreiheitsstrafen im Bereich mehrerer Jahre je nach Delikt
• Hohe Geldstrafen für Unternehmen, orientiert am Umsatz
• Zusatzmassnahmen wie Ausschluss von öffentlichen Aufträgen
• Sanktionen gegen verantwortliche Führungspersonen

Damit wird verhindert, dass einzelne Mitgliedstaaten als „weichere“ Standorte für Korruptionsdelikte dienen.

Unternehmen im Fokus: Deutlich erhöhte Haftungsrisiken

Ein zentraler Bestandteil der Richtlinie ist die Ausweitung der Haftung juristischer Personen. Unternehmen geraten damit deutlich stärker in den Fokus der Strafverfolgung.

Unternehmen können belangt werden, wenn:

• Korruption zu ihrem Vorteil erfolgt
• unzureichende Kontroll- und Präventionsmassnahmen bestehen

Das führt zu einer klaren Verschiebung: weg von rein individueller Verantwortung hin zu struktureller Unternehmensverantwortung.

Konkrete Auswirkungen auf Compliance

Für Unternehmen ergeben sich daraus erhebliche Anforderungen:

• Ausbau interner Kontrollsysteme
• Stärkere Überwachung von Geschäftspartnern und Lieferketten
• Implementierung effektiver Hinweisgebersysteme
• Nachweis einer funktionierenden Compliance-Kultur
• Lückenlose Dokumentation von Präventionsmassnahmen

Unternehmen ohne robuste Anti-Korruptionsprogramme tragen zukünftig ein deutlich höheres Risiko.

Prävention als strategischer Bestandteil

Die Richtlinie beschränkt sich nicht auf Strafrecht. Sie verankert auch klare Anforderungen an Prävention und Governance.

Mitgliedstaaten müssen unter anderem:

• Nationale Anti-Korruptionsstrategien entwickeln
• Regelmässige Risikoanalysen durchführen
• Unabhängige Kontroll- und Aufsichtsstellen etablieren
• Transparenz durch strukturierte Datenbereitstellung erhöhen

Damit entsteht ein systematischer Ansatz, der Korruption nicht nur sanktioniert, sondern aktiv verhindert.

Stärkere Zusammenarbeit innerhalb der EU

Ein weiterer entscheidender Fortschritt liegt in der verbesserten Zusammenarbeit zwischen den Behörden.

Die Richtlinie fördert:

• Intensiveren Informationsaustausch zwischen Mitgliedstaaten
• Engere Kooperation mit EU-Institutionen
• Bessere Koordination bei grenzüberschreitenden Ermittlungen

Dadurch wird ein zentrales Problem der Vergangenheit adressiert: fehlende Abstimmung zwischen nationalen Strafverfolgern.

Grenzen und Kritik

Trotz der weitreichenden Reform bleibt die Richtlinie ein politischer Kompromiss.

Kritische Punkte sind:

• Teilweise abgeschwächte Regelungen im Vergleich zu ursprünglichen Entwürfen
• Fokus auf Mindeststandards statt vollständiger Harmonisierung
• Unterschiedliche Umsetzungsgeschwindigkeiten in den Mitgliedstaaten

Dennoch stellt die Richtlinie einen historischen Schritt dar und legt die Grundlage für weitere regulatorische Entwicklungen.

Bedeutung für GRC und Unternehmensstrategie

Für GRC-Verantwortliche hat die neue Richtlinie strategische Relevanz.

Zentrale Implikationen:

• Harmonisierung erhöht regulatorische Transparenz
• Risiken werden europaweit vergleichbarer und sichtbarer
• Enforcement wird konsequenter und koordinierter
• Compliance-Systeme müssen EU-weit konsistent gestaltet werden

Besonders wichtig wird die Fähigkeit, Compliance nicht nur umzusetzen, sondern auch nachweisbar zu machen.

Fazit

Die EU-Anti-Korruptionsrichtlinie 2026 markiert einen Wendepunkt in der europäischen Regulierung. Sie reduziert bestehende Lücken, schafft einheitliche Mindeststandards und erhöht den Druck auf Unternehmen erheblich.

Für Organisationen bedeutet das: Korruptionsrisiken werden nicht nur strenger reguliert, sondern auch konsequenter verfolgt.

Wer frühzeitig in belastbare Compliance-Strukturen investiert, positioniert sich langfristig stabiler. Wer abwartet, setzt sich einem deutlich steigenden regulatorischen und finanziellen Risiko aus.

FAQ

Wann müssen Unternehmen mit konkreten Auswirkungen rechnen?

Die Mitgliedstaaten haben in der Regel 2 bis 3 Jahre Zeit, die Richtlinie in nationales Recht umzusetzen. Danach werden die neuen Anforderungen wirksam.

Sind nur grosse Unternehmen betroffen?

Nein. Grundsätzlich betrifft die Richtlinie Unternehmen aller Grössen, insbesondere wenn sie in regulierten Branchen oder international tätig sind.

Was ändert sich im Vergleich zur bisherigen Rechtslage?

Vor allem die Einheitlichkeit. Definitionen, Sanktionen und Durchsetzung werden europaweit angeglichen, wodurch Schlupflöcher reduziert werden.

Welche Rolle spielt Compliance in Zukunft?

Compliance wird zu einem zentralen Steuerungsinstrument. Unternehmen müssen nachweisen können, dass sie wirksame Präventionsmassnahmen implementiert haben.

Welche Risiken drohen bei Verstössen?

Neben hohen Geldstrafen drohen Reputationsschäden, Ausschluss von öffentlichen Aufträgen und strafrechtliche Konsequenzen für verantwortliche Personen.

Ist mit weiteren EU-Regulierungen zu rechnen?

Ja. Die Richtlinie zeigt deutlich, dass die EU bereit ist, auch im Strafrecht stärker harmonisierend einzugreifen, insbesondere im Bereich GRC und Finanzkriminalität.

Der Fall Revolut zeigt eindrücklich, wie schnell operative Entscheidungen zu regulatorischen Risiken werden können. Die italienische Wettbewerbsbehörde hat das Fintech mit über 11 Millionen Euro bestraft – nicht wegen eines einzelnen Verstosses, sondern wegen einer Kombination aus unklarer Kommunikation, mangelhafter Transparenz und problematischen Prozessen im Umgang mit Kunden.

Im Kern geht es um eine einfache, aber für GRC entscheidende Frage:
Was Unternehmen ihren Kunden versprechen – und was tatsächlich passiert.

Genau hier entstehen die grössten Risiken.

Das wichtigste in Kürze

• Revolut wurde mit über 11 Millionen Euro wegen mehrerer Verstösse sanktioniert.
• Zentrale Themen waren irreführende Investmentdarstellung, unklare Kosten und aggressive Account-Sperrungen.
• Kunden wurden nicht ausreichend über Risiken, Einschränkungen und Prozesse informiert.
• Der Fall zeigt typische GRC-Schwachstellen in schnell skalierenden digitalen Geschäftsmodellen.
• Transparenz, Governance und saubere Prozesse sind zentrale regulatorische Erwartungen.
• GRC betrifft nicht nur Regeln, sondern auch Produktdesign, Kommunikation und operative Umsetzung.

Was konkret passiert ist

Die italienische Aufsichtsbehörde stellte mehrere Probleme fest, die sich über verschiedene Bereiche des Geschäftsmodells erstreckten.

Ein zentraler Punkt war die Darstellung von Investmentprodukten. Revolut bewarb bestimmte Angebote als „kommissionsfrei“, ohne dabei von Anfang an klar zu machen, welche zusätzlichen Kosten, Einschränkungen oder Unterschiede tatsächlich bestehen. Besonders kritisch wurde bewertet, dass sogenannte Bruchstücke von Aktien andere Eigenschaften haben als klassische Aktien – etwa in Bezug auf Rechte oder Übertragbarkeit – und diese Unterschiede nicht ausreichend kommuniziert wurden.

Ein zweiter grosser Kritikpunkt war der Umgang mit Kontosperrungen. Kunden berichteten, dass Konten eingeschränkt oder blockiert wurden, ohne ausreichende Vorabinformation oder klare Erklärung der Gründe. In einigen Fällen hatten Nutzer über längere Zeit keinen Zugriff auf ihre Gelder. (en.agcm.it)

Ein dritter Aspekt betraf fehlende Transparenz bei operativen Details, etwa bei der Umstellung auf lokale Bankkonten. Kunden wussten nicht klar, wann und unter welchen Bedingungen sie beispielsweise eine nationale Kontonummer erhalten würden.

Das Entscheidende: Es ging nicht um einen technischen Fehler, sondern um systemische Defizite in Kommunikation, Prozessen und Governance.

Warum dieser Fall aus GRC-Sicht so relevant ist

Der Revolut-Fall ist kein Einzelfall. Er steht exemplarisch für strukturelle Herausforderungen moderner, digitaler Geschäftsmodelle.

1. Produktversprechen vs Realität

Viele digitale Plattformen arbeiten mit einfachen, attraktiven Botschaften wie „kostenlos“, „sofort verfügbar“ oder „einfach“. Das Problem entsteht, wenn diese Versprechen nicht vollständig oder nicht verständlich erklärt werden.

Aus GRC-Sicht bedeutet das:
Produktdesign und Kommunikation sind Teil der Compliance.

Wenn Kunden ein Produkt nicht richtig verstehen, entsteht nicht nur ein Reputationsrisiko, sondern ein regulatorisches Problem.

2. Operations sind Teil der Compliance

Ein besonders kritischer Punkt ist der Umgang mit Kontosperrungen.

Aus regulatorischer Sicht ist es legitim, Konten einzuschränken – etwa aus Gründen der Geldwäscheprävention oder Sicherheit. Entscheidend ist jedoch, wie dieser Prozess gestaltet ist:

• Gibt es klare Regeln?
• Werden Kunden informiert?
• Können sie reagieren?
• Gibt es Support und Eskalationsmöglichkeiten?

Wenn diese Prozesse nicht sauber definiert sind, wird aus einer Sicherheitsmassnahme schnell ein Compliance-Verstoss.

3. Skalierung ohne Governance

Viele Fintechs wachsen extrem schnell. Neue Produkte, neue Märkte, neue Kunden.

Was dabei oft nicht im gleichen Tempo wächst, ist die Governance-Struktur.

Der Revolut-Fall zeigt genau dieses Muster:

• Komplexe Produkte ohne ausreichende Erklärung
• Operative Prozesse ohne klare Kommunikation
• Unterschied zwischen interner Logik und externer Wahrnehmung

GRC muss hier als Stabilitätsanker wirken – nicht als nachgelagerte Kontrollfunktion.

Die eigentlichen GRC-Probleme hinter dem Fall

Wenn man den Fall strukturiert betrachtet, lassen sich mehrere typische GRC-Schwachstellen erkennen.

Fehlende Transparenz in der Customer Journey

Informationen müssen nicht nur vorhanden sein, sondern zur richtigen Zeit, im richtigen Kontext und verständlich bereitgestellt werden.

Gerade im digitalen Umfeld reicht es nicht, Informationen irgendwo in Dokumenten zu verstecken.

Unklare Verantwortlichkeiten

Wer ist verantwortlich für:

• Produktkommunikation
• Kundentransparenz
• operative Prozesse
• Eskalationsmechanismen

Wenn diese Verantwortlichkeiten nicht klar geregelt sind, entstehen Lücken.

Fragmentierte Prozesse

Oft sind Produktentwicklung, Compliance, Legal und Operations nicht ausreichend integriert.

Das führt dazu, dass:

• Produkte entwickelt werden, ohne alle regulatorischen Aspekte zu berücksichtigen
• Prozesse entstehen, die aus operativer Sicht sinnvoll sind, aber regulatorisch problematisch

Fehlende End-to-End-Sicht

GRC wird häufig in Silos gedacht.

Der Kunde erlebt jedoch immer den gesamten Prozess – von der Registrierung über die Nutzung bis zur möglichen Einschränkung.

Wenn diese End-to-End-Sicht fehlt, entstehen genau die Probleme, die im Revolut-Fall sichtbar wurden.

Was Unternehmen daraus lernen müssen

Der wichtigste Punkt:
GRC beginnt nicht bei der Kontrolle, sondern beim Design.

Unternehmen sollten mehrere Prinzipien berücksichtigen:

Erstens: Transparenz by Design
Produkte müssen so gestaltet sein, dass Kunden sie verstehen – inklusive Risiken, Einschränkungen und Kosten.

Zweitens: Process Governance
Kritische Prozesse wie Kontosperrungen oder Transaktionsprüfungen müssen klar definiert, dokumentiert und kommuniziert sein.

Drittens: Integration von GRC in Produktentwicklung
Compliance darf kein nachgelagerter Check sein, sondern muss von Anfang an Teil der Entwicklung sein.

Viertens: Customer Impact als Risikoindikator
Wenn Prozesse zu Frustration, Unsicherheit oder fehlender Kontrolle bei Kunden führen, ist das oft ein Frühindikator für regulatorische Risiken.

Fünftens: Skalierbare Governance-Strukturen
Wachstum ohne Governance führt zwangsläufig zu Problemen.

Fazit

Der Revolut-Fall ist mehr als nur eine einzelne Strafe. Er zeigt, wie sich GRC-Risiken in modernen digitalen Geschäftsmodellen entwickeln.

Nicht fehlende Regeln sind das Problem, sondern fehlende Integration.

Unternehmen müssen verstehen, dass:

• Kommunikation ein Compliance-Thema ist
• Prozesse ein Compliance-Thema sind
• Produktdesign ein Compliance-Thema ist

GRC ist damit kein Kontrollsystem am Ende, sondern ein integraler Bestandteil des gesamten Geschäftsmodells.

Wer das nicht versteht, wird früher oder später regulatorisch korrigiert.

FAQ

Warum wurde Revolut bestraft?
Wegen irreführender Kommunikation zu Investmentprodukten, unklarer Kostenstruktur, problematischer Kontosperrungen und fehlender Transparenz gegenüber Kunden.

War das ein technisches Problem?
Nein. Es handelte sich primär um ein Governance- und Prozessproblem.

Was ist die wichtigste GRC-Lehre aus dem Fall?
Dass Compliance nicht nur Regeln betrifft, sondern auch Produktdesign, Kommunikation und operative Abläufe.

Warum sind Kontosperrungen ein Risiko?
Weil sie direkt den Zugang zu Geld betreffen und daher besonders hohe Anforderungen an Transparenz und Fairness bestehen.

Was sollten Unternehmen konkret ändern?
Sie sollten GRC früh in Produktentwicklung integrieren, klare Prozesse definieren, Transparenz erhöhen und Governance-Strukturen skalierbar aufbauen.

Die Europäische Union steht vor der größten Reform ihrer Geldwäscheregeln seit Bestehen des Binnenmarkts. Mit dem neuen EU-Geldwäschereipaket, bestehend aus der EU-Geldwäscheverordnung (AMLR), der 6. Geldwäscherichtlinie (AMLD6) und der neuen EU-Aufsichtsbehörde AMLA, wird die Geldwäscheprävention grundlegend neu aufgestellt.

Ziel ist es, fragmentierte nationale Regelungen zu beenden, Schlupflöcher zu schließen und Finanzkriminalität wirksamer zu bekämpfen. Die Auswirkungen reichen jedoch weit über die EU hinaus und betreffen auch viele Schweizer und internationale Unternehmen, die in oder mit der EU tätig sind.

Für Unternehmen bedeutet das: Die Zeit der Beobachtung ist vorbei – Vorbereitung ist jetzt entscheidend.

Das Wichtigste in Kürze

• Die EU harmonisiert ihre Geldwäscheregeln vollständig und ersetzt nationale Sonderwege
• Ab Juli 2027 gelten einheitliche, direkt anwendbare Regeln in allen EU-Staaten
• Mit der AMLA entsteht erstmals eine zentrale EU-Behörde mit direkter Aufsichtsbefugnis
• Die Anforderungen an KYC, CDD, Datenqualität und Governance steigen deutlich
• Auch Nicht-EU-Unternehmen mit EU-Bezug sind betroffen
• Unternehmen sollten 2026 nutzen, um Prozesse, Systeme und Organisation anzupassen

Was ist das EU-Geldwäschereformpaket?

Das Reformpaket besteht aus drei zentralen Bausteinen:

1. Die EU-Geldwäscheverordnung (AMLR)

Die AMLR ist eine direkt anwendbare Verordnung. Anders als frühere Richtlinien muss sie nicht mehr in nationales Recht umgesetzt werden. Dadurch gelten künftig identische Regeln in allen EU-Mitgliedstaaten.

Sie regelt unter anderem:

• Kundenidentifikation und Risikobewertung
• wirtschaftlich Berechtigte
• laufende Überwachung von Geschäftsbeziehungen
• interne Kontrollen und Dokumentationspflichten

2. Die 6. EU-Geldwäscherichtlinie (AMLD6)

Die AMLD6 ergänzt die Verordnung, insbesondere bei:

• Strafbarkeit von Geldwäsche
• Haftung von Unternehmen und Organen
• Zusammenarbeit zwischen Behörden

Sie sorgt dafür, dass Verstöße EU-weit vergleichbar sanktioniert werden.

3. Die neue EU-Behörde AMLA

Die Anti-Money Laundering Authority (AMLA) ist das Herzstück der Reform. Sie:

• beaufsichtigt direkt große und risikoreiche Institute
• koordiniert nationale Aufsichtsbehörden
• entwickelt technische Standards und Leitlinien
• setzt neue Maßstäbe bei Prüfungen und Durchsetzung

Warum kommt es zu dieser Reform?

Fragmentierung als zentrales Problem

Bisher galt: Zwar existierten EU-Richtlinien, doch jedes Land setzte sie unterschiedlich um. Das führte zu:

• inkonsistenten Prüfstandards
• regulatorischem „Shopping“
• schwacher grenzüberschreitender Durchsetzung

Kriminelle Netzwerke nutzten genau diese Unterschiede systematisch aus.

Finanzkriminalität ist grenzüberschreitend

Geldwäsche, Terrorismusfinanzierung und Sanktionsumgehung funktionieren heute:

• digital
• international
• hochgradig vernetzt

Nationale Aufsicht allein kann diese Strukturen nicht mehr wirksam bekämpfen.

Politischer und gesellschaftlicher Druck

Große Geldwäschefälle der letzten Jahre haben:

• das Vertrauen in Finanzsysteme erschüttert
• den politischen Willen zur Zentralisierung gestärkt
• gezeigt, dass freiwillige Harmonisierung nicht ausreicht

Die AML-Reform ist daher auch ein politisches Signal: Die EU will handlungsfähig sein.

Was ändert sich konkret für Unternehmen?

Einheitliche, strengere Anforderungen

Unternehmen müssen sich auf weniger Interpretationsspielraum, aber mehr Klarheit einstellen. Was heute national „akzeptiert“ ist, kann morgen EU-weit unzulässig sein.

Besonders betroffen sind:

• KYC- und CDD-Prozesse
• Risiko-Scoring-Modelle
• Dokumentationstiefe
• Monitoring-Mechanismen

Mehr Transparenz und Datenqualität

Die Reform setzt stark auf:

• strukturierte Daten
• Register-Abgleiche
• konsistente Kundeninformationen

Unvollständige oder historisch gewachsene Datenbestände werden zum Risiko.

Direkte Aufsicht und schärfere Sanktionen

Mit AMLA steigt:

• die Wahrscheinlichkeit von Prüfungen
• die Vergleichbarkeit von Sanktionen
• der persönliche Haftungsdruck auf Management-Ebene

Compliance wird damit endgültig zur strategischen Führungsaufgabe.

Wen betrifft das besonders?

• Banken und Versicherungen
• Vermögensverwalter und Fonds
• Zahlungsdienstleister und FinTechs
• Krypto-Dienstleister
• Immobilien- und Unternehmensdienstleister
• Unternehmen mit EU-Tochtergesellschaften oder EU-Kunden

Auch Unternehmen außerhalb der EU sind betroffen, wenn sie wirtschaftlich in der EU aktiv sind.

Wie sollten Unternehmen jetzt reagieren?

1. Frühzeitige Gap-Analyse

Unternehmen sollten prüfen:

• Welche AML-Regeln gelten heute?
• Wo weichen sie von den neuen EU-Standards ab?
• Welche Prozesse sind besonders risikobehaftet?

Ziel ist ein realistisches Bild des Handlungsbedarfs.

2. Prozesse und Governance neu denken

Die Reform ist kein reines IT-Projekt. Notwendig sind:

• klare Verantwortlichkeiten
• stärkere Verzahnung von Compliance, IT und Fachbereichen
• Eskalations- und Entscheidungsstrukturen auf Management-Ebene

3. Daten und Systeme modernisieren

Zukunftsfähige AML-Strukturen brauchen:

• saubere Stammdaten
• zentrale Datenhaltung
• automatisierte Prüf- und Monitoring-Mechanismen

Manuelle Workarounds werden langfristig nicht mehr ausreichen.

4. Schulung und Kultur

Mitarbeitende müssen:

• neue Pflichten verstehen
• Risiken erkennen
• Verantwortung übernehmen

AML wird stärker zur Unternehmenskultur-Frage, nicht nur zur Checkliste.

Fazit

Die EU-Geldwäschereform ist kein technisches Detailprojekt, sondern ein Systemwechsel. Mit einheitlichen Regeln und einer zentralen Aufsicht schafft die EU ein neues Niveau an Transparenz und Durchsetzung.

Unternehmen, die frühzeitig handeln, können:

• regulatorische Risiken minimieren
• Prüfungen souveräner bestehen
• Vertrauen bei Kunden und Partnern stärken

Wer hingegen abwartet, riskiert hohen Nachholbedarf, operative Brüche und Reputationsschäden.

Jetzt ist der richtige Zeitpunkt, AML strategisch neu aufzustellen.

FAQ – Häufige Fragen zur EU-Geldwäschereform

Ab wann gelten die neuen Regeln?

Die zentralen Vorschriften greifen ab Juli 2027. Vorbereitung ist jedoch bereits 2025–2026 notwendig.

Gilt die Reform auch für Nicht-EU-Unternehmen?

Ja, wenn sie in der EU tätig sind, EU-Kunden betreuen oder EU-Tochtergesellschaften haben.

Wird AMLA jedes Unternehmen direkt beaufsichtigen?

Nein. AMLA beaufsichtigt ausgewählte große und risikoreiche Institute direkt, koordiniert aber die nationale Aufsicht für alle anderen.

Reicht es, bestehende AML-Prozesse leicht anzupassen?

In vielen Fällen nein. Die Reform erfordert oft strukturelle Anpassungen bei Daten, Governance und Organisation.

Ist das Thema nur für Compliance relevant?

Nein. Es betrifft Management, IT, Operations und strategische Planung gleichermaßen.

Wir schreiben Januar 2026. Der erste Staub um das Inkrafttreten der EU-KI-Verordnung (EU AI Act) hat sich gelegt. Die Verbote für inakzeptable Risiken sind seit fast einem Jahr wirksam, und die Regeln für General Purpose AI (GPAI) sind seit August 2025 in Kraft. Doch für die meisten Unternehmen beginnt jetzt die kritischste Phase. Im August 2026 endet die 24-monatige Übergangsfrist für Hochrisiko-KI-Systeme gemäss Anhang III. Das bedeutet: In knapp sieben Monaten müssen Systeme in Bereichen wie HR, kritische Infrastruktur oder Kreditwürdigkeitsprüfung vollständig konform sein. Wer jetzt noch in der Analysephase steckt, riskiert, den Marktzugang zu verlieren.

Das Wichtigste in Kürze

• Die Frist für Hochrisiko-KI-Systeme nach Anhang III läuft im August 2026 ab.
• Ein robustes Risikomanagementsystem (RMS) muss jetzt operativ und dokumentiert sein.
• Daten-Governance ist kein IT-Thema mehr, sondern eine zentrale Compliance-Anforderung für Trainings-, Validierungs- und Testdaten.
• Die technische Dokumentation muss vor dem Inverkehrbringen vollständig erstellt sein, nicht erst bei einer Prüfung.

Operative Herausforderungen

Die Uhr tickt unaufhörlich. Während sich viele GRC-Verantwortliche im Jahr 2025 primär auf die Identifikation und Inventarisierung ihrer KI-Landschaft konzentriert haben, verlangt das Jahr 2026 den harten Übergang in die operative Umsetzung. Es reicht nicht mehr aus, zu wissen, welche Systeme als hochriskant eingestuft werden. Der Fokus liegt nun auf der Nachweisbarkeit der Compliance.

Eine der grössten Hürden in der Praxis zeigt sich derzeit beim Qualitätsmanagementsystem (QMS). Der AI Act verlangt nicht nur ein isoliertes QMS für die KI, sondern idealerweise die Integration in bestehende Strukturen wie ISO 9001 oder ISO 42001. Viele Unternehmen stellen jetzt fest, dass ihre bestehenden Prozesse für Softwareentwicklung nicht die Granularität aufweisen, die der Gesetzgeber für KI-Systeme fordert. Insbesondere die Dokumentation des gesamten Lebenszyklus – von der ersten Designentscheidung bis zur Post-Market-Monitoring-Strategie – offenbart in Audits häufig Lücken.

Ein weiterer kritischer Punkt ist die Daten-Governance. Für Hochrisiko-KI-Systeme, die Modelle trainieren, schreibt die Verordnung strenge Kriterien an die Datenqualität vor. Datensätze müssen relevant, repräsentativ, fehlerfrei und vollständig sein. Dies ist in der Praxis eine massive Herausforderung, da historische Daten oft nicht unter diesen Gesichtspunkten gesammelt wurden. GRC-Teams müssen jetzt eng mit Data Scientists zusammenarbeiten, um Bias-Analysen durchzuführen und Lücken in der Datenherkunft zu schliessen. Fehlt der Nachweis über die Qualität der Trainingsdaten, ist die Konformität des gesamten Systems gefährdet.

Zudem darf der menschliche Faktor nicht unterschätzt werden. Die Anforderung an die menschliche Aufsicht (Human Oversight) verlangt, dass die Personen, die KI-Systeme überwachen, auch die nötige Kompetenz dazu besitzen. Das bedeutet, dass Schulungsmassnahmen jetzt anlaufen müssen. Es genügt nicht, einen Mitarbeiter pro forma als Aufsicht zu benennen; er muss in der Lage sein, Fehlfunktionen zu erkennen und das System im Zweifelsfall zu stoppen („Kill Switch“).

Die kommenden Monate werden von einem hohen Druck auf die internen Ressorts geprägt sein. Legal, IT-Security und Compliance müssen ihre Silos endgültig aufbrechen. Ein integrierter GRC-Ansatz, der KI-Risiken nicht als isoliertes technisches Problem, sondern als unternehmensweites Governance-Thema behandelt, ist der einzige Weg, um die Deadline im August 2026 ohne operative Störungen zu meistern.

FAQ

Wann genau endet die Übergangsfrist für Hochrisiko-KI-Systeme?

Für die meisten Hochrisiko-KI-Systeme, die unter Anhang III der Verordnung fallen (z. B. Systeme in Bildung, Beschäftigung, kritische Infrastruktur), endet die Übergangsfrist am 2. August 2026. Ab diesem Datum müssen alle Anforderungen erfüllt sein.

Was passiert, wenn ein Unternehmen die Frist verpasst?

Systeme, die nicht konform sind, dürfen ab dem Stichtag nicht mehr in den Verkehr gebracht oder in Betrieb genommen werden. Zudem drohen empfindliche Bussgelder, die je nach Verstoss bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen können.

Müssen alle KI-Systeme zertifiziert werden?

Nein. Viele Hochrisiko-KI-Systeme unterliegen einer internen Konformitätsbewertung. Nur für bestimmte Systeme, insbesondere solche, die Biometrie nutzen, ist zwingend eine Prüfung durch eine benannte Stelle (Notified Body) erforderlich.

Im November 2025 hat der Deutscher Bundestag das Gesetz zur Umsetzung der NIS‑2‑Richtlinie verabschiedet. Damit wurden auf nationaler Ebene neue Regeln für Cybersicherheit und Informationssicherheit eingeführt, die weit über bisherige Vorgaben hinausgehen. Unternehmen, die bislang unter dem Radar waren, müssen nun prüfen, ob sie betroffen sind – und wenn ja, ihre Sicherheitsmassnahmen, Prozesse und Governance-Strukturen dringend anpassen.
Die Verzögerung bei der Umsetzung hat vielen Firmen zwar etwas Luft verschafft, doch jetzt beginnt der Handlungsdruck. Wer früh vorbereitet ist, kann Wettbewerbsvorteile erzielen – wer zu spät reagiert, riskiert Strafen, Reputationsverlust oder gar Geschäftsschädigung.

Das Wichtigste in Kürze

• Der Bundestag hat am 13. November 2025 das NIS-2-Umsetzungsgesetz beschlossen.
• Das Gesetz erweitert den Anwendungsbereich auf deutlich mehr Unternehmen und Behörden – schätzungsweise rund 29.500 Einrichtungen in Deutschland.
• Neue Pflichten betreffen u. a. Risikomanagement, technische & organisatorische Massnahmen, Vorfall-Meldepflichten mit definierten Fristen (z. B. erste Meldung innerhalb 24 Stunden) sowie erweiterte Aufsicht und Sanktionen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
• Unternehmen sollten jetzt eine Betroffenheitsanalyse durchführen, Regulierungs- und Compliance-Prozesse überarbeiten, sowie Governance und IT-Sicherheitsarchitektur auf nach oben geschärfte Anforderungen ausrichten.

Warum das Thema so wichtig ist

Die digitale Vernetzung und Abhängigkeit von IT-Systemen und Dienstleistungen haben in den letzten Jahren stark zugenommen. Gleichzeitig wächst die Bedrohung durch Cyberangriffe, gezielte Sabotage, Spionage und hybride Angriffe auf Einrichtungen der kritischen Infrastruktur. In diesem Umfeld war die bisherige Gesetzeslage in Deutschland aus Sicht vieler Experten nicht mehr ausreichend.
Die EU-Richtlinie NIS-2 verfolgt das Ziel, ein hohes und einheitliches Sicherheitsniveau für Netz- und Informationssysteme in der gesamten Union sicherzustellen.
Da Deutschland die Frist zur Umsetzung der Richtlinie verpasst hat, war Handeln erforderlich – mit dem nun beschlossenen Gesetz ist der nächste Schritt gesetzt.
Für Unternehmen bedeutet das konkret: Nicht nur Betreiber klassischer Kritischer Infrastrukturen (KRITIS) sind betroffen, sondern erstmals auch Unternehmen, die bisher nicht unter dieser Kategorie standen. Damit steigt die Zahl der regelpflichtigen Unternehmen deutlich – dies schafft Wettbewerbsvorteile für jene, die sich früh vorbereiten.

Welche Anforderungen und Pflichten erfüllt werden müssen

Unternehmen, die unter die neuen Regeln fallen, sehen sich mit mehreren neuen Elementen konfrontiert. Die wichtigsten Pflichten im Überblick:

Anwendungsbereich und Kategorien

Das Gesetz unterscheidet künftig zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“. Beide Kategorien sind von den Vorgaben betroffen – je nach Kritikalität mit unterschiedlich intensiven Anforderungen.
Unternehmen aus den Bereichen Energie, Gesundheit, Verkehr, digitale Dienste oder öffentliche Verwaltung zählen üblicherweise dazu. Aber auch andere Unternehmen können betroffen sein, wenn ihre Services relevant für das Funktionieren der Gesellschaft sind.

Technische und organisatorische Massnahmen (TOM)

Betroffene Stellen müssen IT-Sicherheitsmassnahmen umsetzen, die dem Stand der Technik entsprechen. Dazu zählen etwa Risikoanalysen, Business-Continuity-Pläne, Backup-Konzeptionen, Verschlüsselung, Zugangskontrollen sowie Überwachung und Erkennung von Angriffen.
Auch die Einbindung von Lieferketten- und Drittparteirisiken ist nun stärker gefordert – Unternehmen müssen ihre Abhängigkeiten kennen und steuern.

Vorfallsmeldung und Berichtspflichten

Ein zentrales Element sind die Meldepflichten bei Sicherheitsvorfällen. Neu ist ein dreistufiges Regime:

• Erste Meldung innerhalb 24 Stunden nach Entdeckung.
• Zwischenbericht nach 72 Stunden.
• Abschlussbericht spätestens nach einem Monat.
  Diese Fristen machen aus der Vorfallmeldung eine dringliche Compliance- und Steuerungsaufgabe.

Erweiterte Aufsicht und Sanktionen

Das BSI übernimmt erweiterte Aufsichts- und Prüfungsfunktionen. Es kann Sanktionen verhängen, Leitfäden herausgeben und die Registerführung übernehmen.
Außerdem müssen Unternehmen sich registrieren und ihre Zuständigkeiten benennen – etwa eine verantwortliche Person für Informationssicherheit.

Rolle der Verwaltung

Neu: Auch Behörden und Bundesverwaltung unterliegen künftig den Mindestanforderungen. Damit wird staatliche IT-Sicherheit auf ein Niveau mit der Wirtschaft gehoben – was für die gesamte Resilienz bedeutsam ist.

Was Unternehmen jetzt tun sollten

• Eine Betroffenheitsanalyse durchführen: Prüfen, ob das Unternehmen unter die Kategorien „wesentliche“ oder „wichtige“ Einrichtung fällt.
• Eine Gap-Analyse der bestehenden IT-Sicherheits-, Governance- und Meldeprozesse erstellen und auf NIS-2-Konformität ausrichten.
• Governance- und Risikomanagement-Prozesse überarbeiten: Wer ist verantwortlich? Wie wird Risiko gemessen? Wie schnell melden wir Vorfälle?
• Technische Massnahmen implementieren und dokumentieren: Risikoanalyse, Zutritts- & Zugriffskontrollen, Incident-Response-Plan, Backup-/Recovery-Strategie.
• Melde- und Berichtspflichten etablieren: Prozesse definieren, wer meldet, wie Fristen eingehalten werden.
• Schulungen und Sensibilisierung für Mitarbeitende: Cyberrisiken, Meldepflichten, Verantwortlichkeiten.
• Monitoring & Reporting einrichten: Dashboards über Vorfälle, Risiken, Massnahmen. Behandlung von Drittparteirisiken mit einbeziehen.

Wer diese Schritte früh angeht, kann nicht nur Compliance sicherstellen, sondern Wettbewerbsvorteile nutzen – z. B. indem vertrauenswürdige Partnerbeziehungen gestärkt und Versicherungsprämien gesenkt werden.

Fazit

Mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie markiert Deutschland einen entscheidenden Schritt Richtung digitaler Resilienz. Für Unternehmen bedeutet das: Nicht länger nur freiwillig, sondern reguliert und druckvoll wird Cybersicherheit zu einer zentralen strategischen Aufgabe.
Die Anforderungen sind hoch – aber diejenigen, die früh handeln, sichern sich nicht nur Rechtssicherheit, sondern auch Vertrauen von Kunden, Geschäftspartnern und Investoren.

FAQ

Wer ist von der NIS-2-Umsetzung betroffen?
Betroffen sind Unternehmen der Kategorien „wesentliche Einrichtungen“ und „wichtige Einrichtungen“, insbesondere aus Bereichen wie Energie, Gesundheit, Verkehr, digitale Dienste sowie Behörden und Verwaltung.

Ab wann gelten die neuen Regelungen?
Der Bundestag hat das Gesetz am 13. November 2025 beschlossen. Es muss noch vom Bundesrat bestätigt und im Bundesgesetzblatt verkündet werden, bevor es verbindlich in Kraft tritt.

Welche Fristen gelten für die Meldung von Sicherheitsvorfällen?
Erstmeldung innerhalb von 24 Stunden nach Entdeckung, Zwischenbericht nach 72 Stunden, Abschlussbericht spätestens nach einem Monat.

Was passiert bei Nicht-Beachtung der Vorgaben?
Das BSI erhält erweiterte Aufsichts- und Sanktionsbefugnisse. Bei Verstössen können Bußgelder und weitere Rechtsfolgen drohen.

Wie sollten Unternehmen jetzt vorgehen?
Eine Betroffenheits- und Gap-Analyse durchführen, Governance- und Risikoprozesse anpassen, technische Massnahmen dokumentieren, Meldeprozesse etablieren und Mitarbeitende schulen.

Die Europäische Union verfolgt mit ihrem Green Deal ehrgeizige Klimaziele. Ein zentrales Instrument ist dabei der Carbon Border Adjustment Mechanism (CBAM), auch als CO₂-Grenzausgleich bekannt. Ab 1. Januar 2026 tritt die endgültige Phase in Kraft. Spätestens dann entstehen für viele Unternehmen finanzielle und organisatorische Pflichten, die weit über das bisherige reine Reporting hinausgehen.

Dieser Beitrag erklärt, was hinter CBAM steckt, welche Branchen betroffen sind, welche Herausforderungen sich abzeichnen und wie Unternehmen sich schon heute vorbereiten können.

Das Wichtigste in Kürze

• CBAM ersetzt teilweise die kostenlose Zuteilung von Zertifikaten im EU-Emissionshandel (EU ETS) und soll „Carbon Leakage“ verhindern.
• Betroffen sind Importe bestimmter CO₂-intensiver Güter: Zement, Eisen und Stahl, Aluminium, Düngemittel, Elektrizität und Wasserstoff (weitere Branchen können folgen).
• Ab 2026 müssen Importeure CBAM-Zertifikate kaufen, die die CO₂-Emissionen der importierten Produkte abbilden.
• Bereits seit 2023 läuft eine Übergangsphase mit reiner Berichtspflicht, in der Emissionen dokumentiert werden müssen.
• Lieferketten- und Datentransparenz werden entscheidend, um korrekte Emissionswerte nachzuweisen und Kosten zu steuern.

Warum CBAM eingeführt wurde

Die EU möchte verhindern, dass ihre Klimapolitik dazu führt, dass Unternehmen CO₂-intensive Produktionen ins Ausland verlagern, um dort mit geringeren Umweltauflagen günstiger zu produzieren. Dieses Risiko nennt man Carbon Leakage.

Mit CBAM wird ein Preis auf die CO₂-Emissionen gelegt, die bei der Herstellung bestimmter Güter außerhalb der EU entstehen. Dadurch wird ein fairer Wettbewerb sichergestellt: Produzenten innerhalb der EU, die schon heute im EU ETS Emissionszertifikate kaufen müssen, werden nicht benachteiligt.

Welche Produkte betroffen sind

Aktuell umfasst CBAM folgende Sektoren:

• Zement
• Eisen und Stahl
• Aluminium
• Düngemittel
• Elektrizität
• Wasserstoff

Darüber hinaus prüft die EU, ob künftig weitere Produktgruppen wie organische Chemikalien oder Kunststoffe einbezogen werden.

Übergangsphase und Inkrafttreten 2026

• Seit Oktober 2023 gilt die Übergangsphase. Unternehmen müssen Emissionen der betroffenen Importgüter quartalsweise melden, jedoch noch keine Zahlungen leisten.
• Ab 1. Januar 2026 beginnt die endgültige CBAM-Phase. Dann müssen Importeure die entsprechenden CBAM-Zertifikate kaufen, die den CO₂-Preis der importierten Güter widerspiegeln.
• Abschaffung kostenloser Zuteilungen im EU ETS: Schrittweise reduziert die EU die bisherige Gratisvergabe von Emissionszertifikaten an EU-Produzenten, sodass CBAM und EU ETS zunehmend gleichgestellt sind.

Herausforderungen für Unternehmen

1. Datenqualität und Lieferkettentransparenz
   Viele Unternehmen haben bislang keine verlässlichen Emissionsdaten ihrer ausländischen Lieferanten. Ohne Nachweis müssen Standardwerte angesetzt werden, die oft teurer sind.
2. Administrativer Aufwand
   CBAM erfordert ein neues Reporting- und Zertifikatssystem. Unternehmen müssen zuständige Stellen registrieren, Zertifikate kaufen, Konten führen und jährliche Prüfungen ermöglichen.
3. Kostenrisiken
   Je nach CO₂-Intensität der Lieferkette können die CBAM-Kosten erheblich ausfallen und Margen deutlich beeinflussen.
4. Strategische Beschaffung
   Unternehmen müssen abwägen, ob sie weiterhin aus Drittstaaten importieren oder stärker auf Lieferanten in der EU setzen, um Kosten und Risiken zu reduzieren.

Chancen durch CBAM

So belastend CBAM auf den ersten Blick wirkt – es bietet auch Chancen:

• Level Playing Field: Europäische Hersteller haben keinen Wettbewerbsnachteil mehr gegenüber Produzenten in Ländern ohne CO₂-Bepreisung.
• Innovationstreiber: CBAM fördert Investitionen in emissionsärmere Technologien weltweit, da Exporteure in die EU einen klaren Anreiz haben, ihre Emissionen zu senken.
• Reputationsvorteil: Unternehmen, die frühzeitig auf transparente und klimafreundliche Lieferketten setzen, können dies als Wettbewerbsvorteil nutzen.

Fazit

Der CBAM ist ein Meilenstein in der europäischen Klimapolitik. Ab 2026 wird er für viele Unternehmen nicht nur zur Compliance-, sondern auch zur Kostenfrage. Wer jetzt anfängt, Emissionsdaten systematisch zu erfassen, Lieferanten einzubinden und die internen Prozesse anzupassen, verschafft sich entscheidende Vorteile.

CBAM sollte nicht nur als Pflicht gesehen werden, sondern auch als Chance: Unternehmen, die Transparenz und Klimaschutz ernst nehmen, werden künftig nicht nur regulatorisch besser dastehen, sondern auch ökonomisch profitieren.

---

FAQ zu CBAM

Was bedeutet CBAM konkret für Importeure?
Importeure müssen ab 2026 die CO₂-Emissionen der importierten Güter nachweisen und entsprechende CBAM-Zertifikate kaufen.

Welche Länder sind betroffen?
Alle Länder, die in die EU exportieren – mit Ausnahme solcher, die ein gleichwertiges Emissionshandelssystem wie die EU haben (z. B. Norwegen, Schweiz).

Welche Daten müssen gemeldet werden?
Unter anderem: direkte Emissionen bei der Herstellung, Produktionsmengen, Produktionsprozesse, ggf. indirekte Emissionen (z. B. Stromverbrauch).

Wie hoch sind die Kosten?
Die Kosten hängen vom aktuellen Preis für EU ETS-Zertifikate ab. Ohne Emissionsnachweis wird ein Standardwert zugrunde gelegt, der meist höher ausfällt.

Gibt es Sanktionen bei Verstößen?
Ja. Falschangaben oder fehlende Zertifikate können zu erheblichen Geldbußen und Importverboten führen.

Wie können Unternehmen sich vorbereiten?

• Lieferanten frühzeitig einbinden und zur Emissionsdatenerhebung verpflichten.
• Interne Prozesse und IT-Systeme für Reporting und Zertifikatsverwaltung aufbauen.
• Strategische Beschaffung und Preiskalkulation anpassen.