2026 wird ein Jahr, in dem wir nicht nur reagieren, sondern aktiv gestalten müssen. Die Informationssicherheit steht im Mittelpunkt – nicht nur als technische Herausforderung, sondern als strategische Aufgabe, die Unternehmen zukunftsfähig macht.
Du bist als ISB der Schlüssel dazu. Die gesetzlichen Vorgaben werden konkreter, die Bedrohungen komplexer, und die Erwartungen an uns als ISB steigen.
Doch das ist auch eine Chance: Du kannst Sicherheit nicht nur umsetzen, sondern Dich als Treiber für Vertrauen und Innovation positionieren.
Was das für Dich und Deine tägliche Arbeit bedeutet, haben wir im Folgenden mit konkreten Aufgaben (❶), Tipps und Hilfsmaterialien (💡) zusammengestellt.
Gesetzliche Vorgaben: Dein Fahrplan für 2026
Thema 1
1 | NIS-2: Du bist der Lotse durch die neuen Pflichten
Die NIS 2-Richtlinie ist da – und sie betrifft Dich direkt. Der Geltungsbereich ist größer, die Verantwortung der Geschäftsführung ist gewachsen, und die Fristen laufen. Was bedeutet das für Dich?
Diese Aufgaben sollten auf Deiner ToDo-Liste stehen:
❶ Betroffenheit klären: Ist Dein Unternehmen neu im Fokus? Prüfe die Sektoren und Schwellwerte im NIS2-Umsetzungsgesetz.
❷ Geschäftsführung ins Boot holen: Erkläre ihnen, warum §38 BSIG jetzt Ihre Verantwortung ist – und wie Du sie unterstützt.
❸ Registrierung nicht auf die lange Bank schieben: Bis zum 6. März 2026 muss Dein Unternehmen im BSI-Portal registriert sein. Auf dieser Seite haben wir Dir das Wichtigste zur Registrierung & Meldepflicht zusammengefasst.
💡 Tipp: Das Elster-Unternehmenszertifikat (MUK) braucht Zeit – beantrage es jetzt unter mein-unternehmenskonto.de.
❹ Meldeprozesse aufbauen: Bei IT-Störungen muss die Meldung schnell und korrekt erfolgen.
❺ Frage an Dich: Gibt es bereits einen klaren Eskalationsweg – oder brauchst Du Unterstützung von Deinen Kolleg*innen, um ihn zu etablieren?
❻ Projekt starten, bevor es brennt: Drei Jahre bis zur ersten Nachweispflicht klingen lang, aber wenn ISMS oder BCM fehlen, wird es eng.
Dein Vorteil: Du kannst jetzt Ressourcen sichern und Schritt für Schritt vorgehen.
NIS-2 ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Nutze die Angebote des BSI und OpenKRITIS, um auf dem Laufenden zu bleiben.
Wenn Du Unterstützung suchst, ist vielleicht unser kostenfreier Praxiskurs „Getting NIS-2 Done!“ das Richtige für Dich.
Thema 2
2 | Cyber Resilience Act (CRA): Sicherheit von der Entwicklung bis zum Betrieb
Ab 2026 wird der CRA greifbar – und Du musst sicherstellen, dass Deine Organisation vorbereitet ist. Ob Hersteller oder Anwender: Digitale Produkte müssen sicher sein – über ihren gesamten Lebenszyklus.
Dokumentation, Patch-Management und Meldepflichten werden zur Pflicht.
Deine Aufgabe:
❶ Für Hersteller: Kläre, ob Deine Produkte betroffen sind, und starte die Vorbereitung für die Konformitätsbewertung.
❷ Für Anwender: Neue Schwachstellenquellen und Lieferantenanforderungen kommen auf Dich zu.
Wie automatisiert ist Euer Patch-Management? Sind die Lieferantenverträge auf dem neuesten Stand?
💡Tipp: Die BSI-Seite zum CRA gibt Dir eine klare Orientierung.
Thema 3
3 | EU AI Act: KI-Sicherheit ist Deine Verantwortung
KI ist kein Zukunftsthema mehr – sie ist da. Und mit dem EU AI Act kommen klare Regeln für Hochrisiko-KI-Systeme.
Was musst du tun? Das sind Deine Aufgaben:
❶ Betroffenheit prüfen: Nutzt Dein Unternehmen KI-Systeme, die als „Hochrisiko“ eingestuft sind? Ab 2. August 2026 gelten neue Pflichten für Hersteller und Betreiber.
❷ Risikomanagement etablieren: Von der Datenqualität bis zur menschlichen Aufsicht – Du musst sicherstellen, dass alle Anforderungen erfüllt werden.
❸ Transparenz schaffen: Nutzer müssen wissen, wenn sie mit KI interagieren.
Kläre, wie Dein Unternehmen die Transparenzpflicht (Art. 50 KI-VO) umsetzt.
💡Hilfreich: Der Betroffenheits-Check gibt Dir Klarheit.
Thema 4
4 | KRITIS-Dachgesetz: Physische und digitale Sicherheit Hand in Hand
Die EU-CER-Direktive zielt auf den Schutz kritischer Infrastrukturen – und Du bist gefragt, um physische und digitale Resilienz zu verbinden.
Deine Aufgaben:
❶ Risikomanagement ausbauen: Krisenmanagement, BCM und Personalsicherheit werden noch wichtiger.
❷ Schnittstellen nutzen: Arbeite eng mit den Verantwortlichen für physische Sicherheit zusammen, um Prozesse zu harmonisieren.
💡Info: Am 29. Januar 2026 hat der Bundestag das neue Gesetz zum Schutz kritischer Infrastrukturen beschlossen.
Thema 5
5 | BSI Grundschutz++: Dein Weg zu mehr Effizienz
Der IT-Grundschutz wird zum Grundschutz++ – und das ist eine Chance für Dich! Bis 2029 wird die Dokumentation maschinenlesbar, modularer und besser mit der ISO 27001 harmonisiert.
Deine Aufgaben:
❶ Früh umsteigen: Die Umstellung ist komplex, aber sie spart langfristig Zeit und Aufwand.
❷ Lücken schließen: Der klassische IT-Grundschutz wird nicht mehr weiterentwickelt. Neue Bedrohungen (z. B. durch KI) aktiv angehen.
💡Tipp: Einen ersten Überblick erhältst Du auf Github – leider nicht gut für Menschen lesbar.
Strategische Themen: Wo Du 2026 den Unterschied machst
Thema 6
6 | KI-gestützte Bedrohungen: Mitarbeitende sind die erste Verteidigungslinie
KI verändert nicht nur unsere Arbeit, sondern auch die Angriffsmethoden. Phishing, Deepfakes und automatisierte Angriffe werden immer ausgefeilter.
Deine Aufgaben:
❶ Schutzmechanismen anpassen: Zero-Trust, Endpoint-Detection und KI-basierte Intrusion-Detection-Systeme sind keine Option mehr, sondern eine Notwendigkeit.
❷ Budget sichern: Sprich mit Deiner Geschäftsführung über die Risiken – und die Investitionen, die nötig sind, um ihnen zu begegnen.
💡Dein Pluspunkt: Du kannst zeigen, wie Sicherheit Wettbewerbsvorteile schafft.
Thema 7
7 | Digitale Souveränität: Europa als sicherer Hafen
Die Abhängigkeit von globalen Lieferketten und Cloud-Diensten wird zum Risiko. Deine Chance: Du kannst Dein Unternehmen unabhängiger und widerstandsfähiger machen.
Deine Aufgaben:
❶ Beschaffung überdenken: Bevorzuge europäische Anbieter und reduziere Abhängigkeiten.
❷ Eigene Kompetenzen stärken: Investitionen in die eigene Wissensbasis im Betrieb der Cloud und Sicherheitslösungen zahlen sich aus – für Compliance und Betriebskontinuität.
Thema 8
8 | Lieferketten-Sicherheit: Schwachstellen erkennen, bevor es zu spät ist
28 % der Unternehmen waren 2025 von Angriffen auf Zulieferer betroffen. Quelle: bitkom e.V | IT-Sicherheit: Angreifer nehmen Zulieferer ins Visier
Deine Aufgabe:
Risiken in der Lieferkette minimieren.
❶ Lieferanten bewerten: Sicherheitsklauseln in Verträgen, regelmäßige Audits und Penetrationstests sind Pflicht.
❷ Resilienz aufbauen: Redundanzen und Incident-Response-Pläne mit Partnern machen den Unterschied.
Thema 9
9 | Resilience und Incident Readiness: Vorbereitet sein, wenn es zählt
Ausfälle und Angriffe sind keine Frage des „Ob“, sondern des „Wann“.
Dein Ziel: Dein Unternehmen muss schnell handlungsfähig bleiben.
Deine Aufgaben:
❶ Prozesse etablieren: Incident-Response-Pläne, Kommunikationsstrategien und Recovery-Fähigkeiten müssen sitzen.
❷ Üben, üben, üben: Table-Top-Exercises bringen Sicherheit in die Praxis.
💡Hilfreich: Die TU-Braunschweig bietet das Planspiel <Cyber Guard> an, dass Dir Euch spielerisch im Krisenmanagement, Informationssicherheit und Notfallmanagement untersützt.
Fazit: 2026 ist Dein Jahr
Die Aufgaben sind groß, aber Du hast die Tools, das Wissen und die Position, um sie zu meistern. Nutze die Chance, Dich als strategischen Partner für Dein Unternehmen zu positionieren – nicht nur als „Sicherheitsbeauftragten“, sondern als Gestalter von Vertrauen, Compliance und Innovation.
Deine nächsten Schritte:
✅ Betroffenheit prüfen: NIS 2, CRA, AI Act – was gilt für Dich?
✅ Geschäftsführung einbinden: Sicherheit ist Chefsache – zeige, warum.
✅ Projekte starten: Registrierung, GAP-Analyse, Incident-Response-Pläne.
✅ Netzwerken: Tausche Dich mit anderen ISBs aus.
Bernd Hampe
ISMS-Praktiker
Bernd ist OT-Verantwortlicher in einem KRITIS Unternehmen, Informationssicherheitsbeauftragter, Risikoverantwortlicher, Administrator und Anwender. Durch diese vielen Rollen konnte er das ISMS in vielen Facetten erleben. Seine Erfahrungen teilt er gern – in Gesprächen und in der ISMS-Softwareentwicklung.
