Logo WG-DATA
Kontakt
8.12.2025

Bereit für 2026? Warum NIS2 & KRITIS jetzt keine Theorie mehr sind!

2026 bringt frischen Wind und für viele Unternehmen einen umfangreichen Pflichtenkatalog. Egal ob Sparkasse, Stadtwerk, Klinikverbund, Energieversorger oder IKT-Dienstleister: Die regulatorische Latte liegt ab Januar deutlich höher. 
 NIS2 wird national umgesetzt, DORA läuft im Finanzsektor vollständig an, und das neue KRITIS-Dachgesetz verdichtet Anforderungen an Resilienz, Cyberabwehr und organisatorische Stabilität. 
 
Kurz: Die Anforderungen steigen! ABER sie sind erfüllbar, wenn man jetzt strukturiert startet.

Warum das Ganze? 
Weil Cyberangriffe inzwischen so selbstverständlich auftreten wie Regen im November. Und weil kritische Dienstleistungen wie Energieversorgung, Zahlungsverkehr und Gesundheitsversorgung auch bei technischen Störungen kontinuierlich aufrechterhalten werden müssen.
Die EU und Deutschland haben daher die Anforderungen verschärft, um die digitale und organisatorische Resilienz endlich auf ein modernes Niveau zu bringen. 

Die drei großen Themen 2026: NIS2, DORA & KRITIS-Dachgesetz

1. NIS2 – das Breitband-Update für die Cybersicherheit 

NIS2 betrifft deutlich mehr Unternehmen als sein Vorgänger. 
Von Energie, Gesundheit, Transport, Entsorgung bis hin zu IKT-Dienstleister: Viele rutschen automatisch in die Kategorie „wichtig“ oder „essenziell“. 

Das bedeutet konkret: 
        •       mehr Governance und klare Verantwortlichkeiten, 
        •       Pflicht-Risikobewertungen, 
        •       gestärkte Meldewege für Incidents, 
        •       technische Mindeststandards – von MFA bis Patchmanagement, 
        •       und: Nachweise, Nachweise, Nachweise. 

2. DORA – der große Spielmacher im Finanzsektor 

DORA (Digital Operational Resilience Act) ist weniger „nice to have“ und mehr „Du musst jetzt, wirklich!“. 
 
Finanzinstitute müssen: 
        •     IKT-Risiken systematisch managen, 
        •       strenge Drittanbieter- und Cloud-Kontrollen umsetzen, 
        •       Resilience-Tests durchführen, 
        •       und Cybervorfälle innerhalb genauer Fristen melden. 

Plus: Große Tech-Provider unterliegen erstmals einer EU-Aufsicht. Das verändert Vertragsbeziehungen und Einkauf – und sorgt für mehr Transparenz. 
Wer im Finanzsektor arbeitet, kommt an DORA nicht vorbei

3. KRITIS-Dachgesetz – der neue Rahmen für physische & digitale Resilienz 

Das Gesetz bringt erstmals einen übergreifenden Standard für kritische Infrastrukturen. 
Es betrifft besonders Energie, Wasser, Gesundheit, Transport und Entsorgung. 

Die Kerngedanken: 
        •       Verbindliche Risikoanalysen, 
        •       Schutz kritischer Prozesse (physisch + digital), 
        •       Störungsmonitoring, 
        •       Meldepflichten, 
        •       und einheitliche Mindeststandards für Betreiber. 
 
Damit verschwinden viele alten „Graubereiche“, in denen man sich bisher eingerichtet hatte.  

Wo muss mein Unternehmen anfangen? Eine kurze Übersicht:

Ist mein Unternehmen von NIS2, DORA, oder KRITIS betroffen? Oder gleich alles? 
(Die Antwort ist selten „nein“.) 
 

Verantwortlichkeiten festlegen: IT-Leitung, Datenschutz, Geschäftsführung und ggf. externe Expertise einbinden.

Die größte Baustelle – weil kaum jemand die komplette Lieferkette sauber dokumentiert hat. 

Üben, testen, dokumentieren. Es zählt, was nachweisbar ist. 

Wer meldet wann was – und wohin? 
Spätestens jetzt muss das klar sein. 

Warum Sie die Umsetzung nicht aufschieben sollten:

Ab 2026 werden Aufsicht und Prüfungen deutlich konsequenter.

Die Technische und organisatorische Maßnahmen lassen sich nicht kurzfristig umsetzen, sondern brauchen Zeit.

Viele Anforderungen lassen sich effizient bündeln, wenn man die Umsetzung frühzeitig strukturiert angeht.

Was droht bei Nichtbeachtung von NIS2, DORA & KRITIS?

Neben dem Verlust der Cyberresilienz drohen den Unternehmen drastische Sanktionen. 

NIS2: 

Die NIS2-Richtlinie sieht Bußgelder von bis zu 10 Millionen Euro oder alternativ 2 % des Jahresumsatzes vor. Zudem kann die Geschäftsführung persönlich haftbar gemacht werden.

DORA: 

DORA sieht Bußgelder von bis zu 2 % des Jahresumsatzes vor und schreibt regelmäßige Aufsichtsprüfungen durch die BaFin und die EBA vor, die in schlimmster Konsequenz zum Entzug der Lizenz führen können.

KRITIS-Dachgesetz: 

Bei schweren Verstößen drohen Bußgelder von bis zu 20 Millionen Euro und Betriebsuntersagungen sind möglich.

Wie die WG-DATA Sie bei der Umsetzung von NIS2, DORA & KRITIS unterstützt

Als Beratungsunternehmen, das täglich im Finanzsektor, Gesundheitswesen, Energiesektor und bei deren IKT-Dienstleistern arbeitet, bieten wir: 

  • NIS2- & DORA-Schnellcheck: Wo stehen Sie wirklich? Was wird kritisch? 
  • Umsetzungsroadmap: Pragmatisch, realistisch, priorisiert. 
  • Vertrags- & Drittanbieteranalyse. Passgenaue Anpassungen für DORA und NIS2. 
  • Incident- & Meldekonzepte inklusive Playbooks und Meldekaskaden. 
  • Resilience-Tests & Übungen vom Tabletop bis zum technischen Test. 
  • Kompakte, verständliche & praxisnahe Schulungen für Führungskräfte & Fachbereiche

Wir bringen Sie krisenfest durch 2026 – fachlich, pragmatisch und ohne unnötige Bürokratie.

Mehr über unser Leistungsangebot

Ihre Ansprechpartnerin

Irena Hansmann
Managerin
Risiken und Compliance
irena.hansmann@wg-data.de

Ihr Ansprechpartner

Ergün Canbay
Manager
Risiken und Compliance
erguen.canbay@wg-data.de

Aktuelles

Team
Das WG-DATA Team wünscht eine besinnliche Adventszeit!
04.12.2025
Prozessmanagement
Prozessmanagement bei der WG-DATA: Struktur schaffen & Wirkung entfalten
27.11.2025
Team
Geburtstagfrei – ein Benefit, der wirklich zählt
13.11.2025
Team
Das WG-DATA Team wünscht eine besinnliche Adventszeit!
04.12.2025
Prozessmanagement
Prozessmanagement bei der WG-DATA: Struktur schaffen & Wirkung entfalten
27.11.2025
Team
Geburtstagfrei – ein Benefit, der wirklich zählt
13.11.2025