NIS-2: Der längst überfällige Weckruf für kritische Infrastrukturen

Von Peter Machat, Senior Director EMEA Central bei Armis

Am 13. November hat der Deutsche Bundestag die NIS-2-Richtlinie verabschiedet – ein wichtiger Schritt, denn Anfang 2026 tritt sie offiziell in Kraft. Damit ist klar: Die nächsten Jahre werden für Betreiber kritischer Infrastrukturen besonders anspruchsvoll.

Gleich mehrere neue europäische Regelwerke greifen ineinander und erhöhen den Druck auf Organisationen, ihre Sicherheits- und Compliance-Prozesse zu modernisieren. Neben NIS-2 gehören dazu auch der Digital Operational Resilience Act (DORA), der EU AI Act und der Cyber Resilience Act (CRA), der ab September 2026 eine verbindliche Meldepflicht für Schwachstellen vorsieht. Für Security-Verantwortliche gehören diese vier Vorgaben zu den zentralen Themen im kommenden Jahr. Mit NIS-2 wird die Latte höher gelegt – auch in Deutschland. KRITIS-Betreiber müssen jetzt handeln: Sie brauchen ein risikobasiertes Cyber- und Incident-Management, müssen ihre Lieferketten absichern und Risiken durch Dritte im Blick behalten. Außerdem gilt es, Meldepflichten für erhebliche Sicherheitsvorfälle zuverlässig umzusetzen. Spätestens Anfang 2026 müssen Governance, Reporting, Lieferkettenprozesse und Risikoanalysen vollständig stehen.

DORA, bereits seit dem 17. Januar 2025 verbindlich, richtet sich speziell an Finanzmarktteilnehmer. Es reguliert das IKT-Risikomanagement, Meldepflichten, Resilienztests sowie Abhängigkeiten von Drittanbietern und Cloud-Diensten. Für 2026 bedeutet das: Finanzunternehmen und ihre IKT-Dienstleister müssen ihre Resilienzorganisation nicht nur definiert, sondern auch operativ verankert haben.

Der EU AI Act, seit 1. August 2024 in Kraft, regelt den Umgang mit KI-Systemen nach Risikokategorien. Viele zentrale Pflichten treten jedoch erst am 2. August 2026 oder später in Kraft. Unternehmen müssen dafür alle eingesetzten KI-Systeme inventarisieren, Risiken bewerten, Transparenz- und Dokumentationspflichten erfüllen und Monitoring- sowie Qualitätssicherungsprozesse etablieren. Zudem braucht es eine klare KI-Governance, um „Schatten-KI“ und die damit verbundenen Compliance-Risiken auszuschließen.

Der Cyber Resilience Act (CRA) soll Mindeststandards für die Sicherheit digitaler Produkte – Hardware wie Software – über ihren gesamten Lebenszyklus hinweg schaffen. Offiziell eingeführt am 12. November 2024, gilt er ab 11. Dezember 2027. Doch schon 2026 sollten Hersteller und Lieferanten vorbereitet sein: Prozesse für Security-by-Design und Secure-by-Default müssen etabliert, ein sauberes Schwachstellenmanagement umgesetzt und vollständige SBOMs vorliegen. Ab September 2026 wird die Meldung von Schwachstellen verpflichtend.

Viele dieser Regelwerke sind seit Jahren im Gespräch, doch Unternehmen kämpfen weiterhin mit unklaren Formulierungen und fehlenden Leitlinien. Dabei ist Compliance längst mehr als das Abarbeiten einer Checkliste. Sie ist ein zentrales Mittel, um reale Sicherheitsvorfälle zu verhindern. Cyberkriminelle halten sich nicht an Vorschriften – sie suchen nach Schwachstellen und nutzen jede Gelegenheit, kreativ und ohne Einschränkungen. Gerade Betreiber kritischer Infrastrukturen müssen deshalb über reine Compliance hinausgehen und ihre Sicherheitsstrategie weiterentwickeln – idealerweise durch die Nutzung von KI-gestützter Automatisierung.

Armis unterstützt Unternehmen dabei mit der Cyber-Exposure-Management-Plattform Centrix™, die viele der geforderten Kernpflichten der neuen Regelwerke adressiert. Durch umfassende Transparenz über alle kritischen Assets, Echtzeit-Asset-Intelligence, präzise Schwachstellenanalysen, KI-basierte Bedrohungserkennung und kontextbezogene Einblicke in Vorfälle ermöglicht Armis fundierte Entscheidungen im Cyber-Risikomanagement – und hilft Unternehmen, den wachsenden regulatorischen Anforderungen gerecht zu werden.