NIS-2-Richtlinie: Registrierungsfrist endet 31. Juli – bis zu 10 Millionen Euro Bußgeld
06.07.2026 - 18:37:09 | boerse-global.de
Eine neue Studie des DaProLab zeigt: Datenschutz-Compliance entscheidet zunehmend über den wirtschaftlichen Erfolg europäischer Unternehmen. Die am heutigen Montag veröffentlichte Untersuchung bewertet die konkreten Auswirkungen von DSGVO-Vorgaben auf finanzielle Ergebnisse. Parallel verschärfen Aufsichtsbehörden wie die luxemburgische CNPD ihre Kontrollen. Die Herausforderung: Unternehmen müssen die Anforderungen der Datenschutz-Grundverordnung mit neuen Regelwerken wie dem AI Act und der NIS-2-Richtlinie harmonisieren.
KI-Verordnung und DSGVO: Zielkonflikte vorprogrammiert
Bis zum 2. August 2026 müssen Unternehmen prüfen, ob ihre Systeme unter die europäische KI-Verordnung (EU 2024/1689) fallen. Experten warnen: DSGVO und AI Act finden parallel Anwendung – das kann zu operativen Zielkonflikten führen. KI-Systeme können die Konformitätsbewertungen des AI Acts erfüllen und trotzdem gegen die DSGVO verstoßen.
Besonders kritisch: das Spannungsfeld zwischen der für KI notwendigen Datenmenge und dem Prinzip der Datenminimierung. Auch die Transparenzpflichten bei komplexen Algorithmen stehen oft im Widerspruch zur technischen Undurchsichtigkeit moderner Systeme. Unternehmen brauchen ein umfassendes KI-Verzeichnis, interne Richtlinien und Schulungen, um Risiken durch sogenannte Schatten-KI zu minimieren.
Sicherheitslücken und die Gefahr von Dark Data
Die aktuelle Bitdefender-Studie zeigt: 47,4 Prozent der Organisationen haben nur eine eingeschränkte Sichtbarkeit ihrer KI-Nutzung. Rund 45 Prozent der befragten Betriebe sehen interne KI-Modelle als signifikante Gefahr für die Datensicherheit. Besonders alarmierend: 55,2 Prozent der Opfer von Sicherheitsvorfällen wurden zur Geheimhaltung aufgefordert.
Die neuen EU-Vorgaben stellen Unternehmen vor komplexe Herausforderungen bei der Risikodokumentation und Kennzeichnung von KI-Systemen. Dieser kostenlose Umsetzungsleitfaden bietet Ihrer IT- und Rechtsabteilung einen kompakten Überblick über alle Fristen und Pflichten des EU AI Acts. EU AI Act in 5 Schritten verstehen
Ein weiteres Risiko ist die Anhäufung nicht klassifizierter Daten – sogenanntes „Dark Data“. Schätzungen zufolge bestehen bis zu 80 Prozent der Unternehmensdaten aus solchen unstrukturierten Informationen. Ein Vorfall bei der Volkswagen-Tochter Cariad zeigt die Gefahr: Bewegungsdaten von 800.000 Elektrofahrzeugen waren ungeschützt zugänglich. Fachleute empfehlen eine umfassende Klassifizierung der Datenbestände innerhalb weniger Wochen.
NIS-2 und DORA: Fristen rücken näher
Im Bereich Cybersicherheit tickt die Uhr. Für die NIS-2-Richtlinie endet die Registrierungsfrist am 31. Juli 2026. Betroffen sind Unternehmen ab 50 Mitarbeitern und einem Umsatz von 10 Millionen Euro in 18 Sektoren. Vielen Betrieben fehlt trotz Registrierung die operative Handlungsfähigkeit – besonders bei der 24-Stunden-Meldepflicht für Vorfälle. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Im Finanzsektor zeigt der Digital Operational Resilience Act (DORA) erste messbare Ergebnisse. Seit Inkrafttreten am 17. Januar 2025 verzeichnete die luxemburgische Finanzaufsicht CSSF bis zum 8. Juni 2026 insgesamt 326 Meldungen schwerer IT-Vorfälle. 40 Prozent entfielen auf Banken, 19 Prozent auf Fondsmanager. Hauptursache: In 29,5 Prozent der Fälle gab es Probleme bei Drittanbietern, gefolgt von technischen Mängeln und Prozessfehlern.
Compliance-Experten warnen davor, die Tragweite der neuen Regulierungen zu unterschätzen, da bei Verstößen empfindliche Strafen drohen. Sichern Sie sich jetzt den kostenlosen Praxis-Report mit allen relevanten Übergangsfristen, um Ihr Unternehmen rechtlich auf die sichere Seite zu bringen. Kostenlosen KI-Umsetzungsleitfaden herunterladen
Hamburg startet Initiative für einheitliche Aufsicht
Um bürokratische Hürden für länderübergreifend agierende Unternehmen zu senken, hat Hamburg eine Bundesratsinitiative gestartet. Ziel: eine einheitliche Datenschutzaufsicht, bei der für ein Unternehmen nur noch eine Behörde zuständig ist – deren Entscheidungen bundesweit bindend wirken. Die Beratung ist für den 10. Juli 2026 angesetzt. Unterstützung kommt bereits von den Datenschutzbeauftragten aus Berlin und Niedersachsen.
In der Schweiz zeigen Ergebnisse eines Pilotprojekts im Kanton Aargau aus dem Frühjahr 2026: Besonders Gemeinden und kleinere Organisationen haben Defizite in der Notfallplanung und beim Management von Lieferantenabhängigkeiten. Grundlegende Schutzmaßnahmen sind vorhanden, ein ganzheitlicher Ansatz zur Cyberresilienz fehlt jedoch häufig. Der Vorsteher des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) berichtet zudem von einer Verdopplung der Meldungen über Datenschutzverletzungen im Vergleich zum Vorjahr.
