Der Januar schreitet voran und Informationssicherheit bleibt weiterhin Top-Thema

Kaum hat das Jahr begonnen, ist der Januar schon halb rum und die meisten von uns wieder im Arbeitsmodus angekommen. Die Planungen sind noch frisch, ebenso wie neu definierte Ziele fürs Jahr. Der Kalender füllt sich zwar noch langsam, aber stetig.

Gerade jetzt, wo das Jahr Fahrt aufnimmt, ist es ein guter Zeitpunkt, den Blick auf die Themen zu richten, die uns im Jahr 2026 beschäftigen werden.

2026 markiert für viele Unternehmen den Moment, in dem Informationssicherheit endgültig zur strategischen Pflicht wird. Mit NIS2, DORA, dem EU AI Act und dem Cyber Resilience Act (CRA) hat die die EU einen Rahmen gesetzt, der weit über „klassische“ IT-Security hinausgeht. Auch in diesem Jahr treten neue Umsetzungspflichten hierzu in Kraft. Für das Management bedeutet dies, das Sicherheit Teil der Unternehmensführung wird, nicht nur der Technik.

Die regulatorischen Anforderungen steigen weiter

Cyber-Resilienz wird Unternehmensstandard

Mit Inkrafttreten des NIS2UmsuCG im Dezember 2025 sind nun deutlich mehr Unternehmen als bei früheren Regelungen betroffen. NIS2 fordert ein nachweisbares Risikomanagement, klare Meldepflichten und eine aktive Rolle der Geschäftsleitung.

Operative Stabilität im Finanzsektor

Durch den Digital Operational Resilience Act (DORA) wird für Banken, Versicherer und FinTechs Resilienz messbar. Tests, Szenarien, Lieferkettenkontrolle und Incident-Reporting werden verbindlich. Ausfälle werden nicht mehr nur technisch bewertet, sondern als Geschäftsrisiko. DORA ist zwar bereits seit dem 17.01.2025 in Kraft. Doch während das Jahr 2025 noch als „Schonfrist“ mit gewisser Toleranz galt, richten Prüfer ihren Fokus ab 2026 deutlich stärker auf die tatsächliche Wirksamkeit der Maßnahmen und deren belastbare Nachweise. Die Anforderungen sind klar definiert und die Umsetzung wird deutlich strenger geprüft und bewertet.

Verantwortungsvolle KI als Pflicht

Mit der EU-Verordnung über künstliche Intelligenz, (Artificial Intelligence Act) wurde der erste umfassende Rechtsrahmen für Künstliche Intelligenz geschaffen. Seit dem 1. August 2024 in Kraft, wird die Verordnung schrittweise vollständig wirksam. Ein Großteil der Bestimmungen des AI-Gesetzes finden ab dem 2. August 2026 ihre Anwendung.

KI-Systeme müssen transparent, sicher und nachvollziehbar sein, besonders in kritischen Anwendungen. KI-Projekte brauchen Governance, Dokumentation und klare Verantwortlichkeiten.

Sicherheit als Produkteigenschaft

Hersteller digitaler Produkte müssen Sicherheit über den gesamten Lebenszyklus gewährleisten. „Secure by Design“ wird zur Voraussetzung für Marktzugang.

Durch den Cyber Resilience Act (CRA) wurden verbindliche Cybersicherheitsstandards für nahezu alle in der EU verkauften Produkte mit digitalen Elementen (Hardware und Software) einführt. Bereits im Dezember 2024 in Kraft getreten, gilt bis zur vollständigen Anwendung mit allen Anforderungen für neue Produkte eine stufenweise Übergangsfrist bis 2027.
Einen wichtigen Termin gibt es bereits im September 2026. Dann beginnen die Meldepflichten für Hersteller bei Schwachstellen und Sicherheitsvorfällen.

Geopolitische Spannungen als Sicherheitsfaktor

Laut dem Global Cybersecurity Outlook 2026 hat Geopolitik weiterhin Auswirkungen auf den Status der Cybersicherheit. Kritische Infrastrukturen (wie z. B. Energie, Gesundheit, Wasserversorgung, Transport) geraten stärker ins Visier. Unternehmen müssen geopolitische Risiken in ihre Sicherheitsstrategie integrieren. Dazu gehört auch das Schaffen von souveränen Lösungen, bei denen man sich nicht abhängig macht von Unternehmen bzw. anderen Staaten, um Resilienz und Handlungsfähigkeit langfristig zu sichern.

Was bedeutet das für Unternehmen in 2026?

Sicherheit wird „Chefsache“

Ab 2026 trägt die Geschäftsleitung die volle Verantwortung für Umsetzung, Kontrolle und Nachweis der Sicherheitsmaßnahmen. Eigentlich hätte diese Pflicht schon längst gelebte Praxis sein müssen, nun ist sie gesetzlich verankert, inklusive persönlicher Haftung bei Verstößen.

Strukturen statt Einzelmaßnahmen

Ob ISMS (Informationssicherheits-Managementsystem), BCM (Business Continuity Management) oder Third-Party-Management. Die EU-Regelwerke verlangen nicht nur, dass Unternehmen „etwas tun“, sondern dass sie nachweisen können, dass es wirksam ist und sie es dauerhaft und gesteuert (im Sinne eines Risikomanagements) tun.

„Lieferkette“ wird auch für die IT wichtig

Lieferkettenrisiken sind im Rahmen von 3rd-Party-Risk-Management als strategisches Geschäftsrisiko zu betrachten. Unternehmen müssen systematisch prüfen, ob ein Anbieter (Dienstleister, Cloud-Anbieter, Zulieferer) sicher arbeitet, bevor sie ihn beauftragen. Ebenso müssen Anbieter auch während der Vertragslaufzeit überprüft werden. Entscheidend sind hier klare Prozesse für Störungen, Ausfälle und Eskalationen, sowie eine funktionierende Exit-Strategie, um einen Anbieter bei Bedarf schnell und kontrolliert ablösen zu können.

Dokumentation wird zur Compliance-Währung

Nur was dokumentiert ist, gilt als umgesetzt. Zum Risikostatus muss jederzeit Auskunft erteilt werden können.

Resilienz wird Wettbewerbsvorteil

Unternehmen, die früh investieren, gewinnen Vertrauen und Marktchancen und können besser auf Preissteigerungen der Dienstleister reagieren.

2026 wird zum strategischen Wendepunkt. Die neuen EU-Regelwerke schaffen einen Rahmen, der Informationssicherheit auf die Ebene von Qualität, Nachhaltigkeit und Compliance hebt. Für das Management ist das eine Chance.

Wer jetzt handelt, stärkt nicht nur die Sicherheit, sondern auch die Zukunftsfähigkeit des Unternehmens.

Wenn Sie Unterstützung bei der Umsetzung von NIS2, DORA, dem EU AI Act oder dem Cyber Resilience Act brauchen, von der Risikoanalyse über den Aufbau eines Managementsystems bis zur Bewertung Ihrer Dienstleister – wir begleiten Sie gern auf diesem Weg.