Cristie News

Digitaler Omnibus EU – Harmonisierung von NIS2, DSGVO und Cyber Resilience Act

Digitaler Omnibus: Was die EU-Regulierungsreform für NIS2, DSGVO und Cyber Resilience Act bedeutet

Das Omnibus-Paket EU hat die Digitalregulierung neu aufgestellt – zumindest dem Anspruch nach. Die EU-Kommission will mit dem Digitalen Omnibus den gewachsenen Flickenteppich aus NIS2, DSGVO, DORA und Cyber Resilience Act zusammenführen. Für IT-Verantwortliche ist das keine abstrakte Gesetzgebungsfrage: Es geht um Meldewege, Fristen, Haftungsrisiken und die Frage, welche Compliance-Strukturen heute noch Bestand haben – und welche bereits gelten.

Inhaltsverzeichnis

Ausgangslage: Regulierung mit Systemfehler

In den vergangenen Jahren hat die Europäische Union ein umfangreiches digitales Regulierungsgefüge geschaffen. Mit DSGVO, AI Act, Data Act, Data Governance Act, NIS2, DORA, ePrivacy und weiteren Rechtsakten verfolgt der Gesetzgeber ambitionierte Ziele. In der Praxis zeigt sich jedoch ein strukturelles Problem: Viele dieser Regelwerke sind inhaltlich eng miteinander verzahnt, verwenden aber unterschiedliche Begriffe, Schwellenwerte, Fristen und Verfahrenslogiken. → Zur rechtlichen Einordnung

Das Ergebnis ist ein Compliance-Alltag, der in vielen Unternehmen mehr mit Koordination als mit tatsächlicher Sicherheitsarbeit beschäftigt ist. Wer nach einem Sicherheitsvorfall sowohl NIS2 als auch DSGVO und im Finanzumfeld zusätzlich DORA bedienen muss, steht vor parallelen Meldepflichten mit unterschiedlichen Fristen, unterschiedlichen Behörden und teils widersprüchlichen Anforderungen. Für Unternehmen führt das zu parallelen Pflichten, mehrfachen Risikoanalysen, doppelten Meldewegen und erheblicher Rechtsunsicherheit an den Schnittstellen – insbesondere dort, wo Datenschutz, KI, Datennutzung und IT-Sicherheit zusammentreffen.

Was das Omnibus Paket EU konkret vorschlägt

Der Digitale Omnibus und der Digitale Omnibus AI, die die EU-Kommission im November 2025 vorgelegt hat, setzen genau hier an. Das Paket ist kein Deregulierungsvorhaben. Es will bestehende Pflichten praktikabler gestalten, ohne inhaltliche Schutzstandards zu senken – zumindest dem Anspruch nach.

Zentrale Meldestelle für Sicherheitsvorfälle

Der weitreichendste operative Eingriff betrifft die Incident-Meldung. Das Omnibus-Paket sieht eine Vereinheitlichung der bislang getrennten Meldepflichten bei Cybersicherheitsvorfällen vor. Meldungen nach NIS2, DSGVO und DORA sollen künftig über eine zentrale europäische Meldestelle erfolgen. Diese soll von der Europäischen Agentur für Cybersicherheit ENISA betrieben werden und auf der bereits vorgesehenen Meldeplattform des Cyber Resilience Acts basieren. Damit sollen widersprüchliche Vorgaben und unklare Zuständigkeiten vermieden werden.

Das Prinzip dahinter: Einmal melden, mehrfach teilen. Ein Unternehmen könnte so eine Meldung abgeben, die gleichzeitig den Anforderungen von DSGVO, NIS2 und dem Digital Operational Resilience Act genügt. Für IT-Teams, die heute mit mehreren Parallelverfahren und Behördenkontakten jonglieren, wäre das ein spürbarer Fortschritt – sofern die technische Umsetzung durch ENISA tatsächlich funktioniert.

Verlängerte Meldefrist für DSGVO-Datenpannen

Eine direkte Änderung betrifft die bekannte 72-Stunden-Frist der DSGVO. Statt wie bisher innerhalb von 72 Stunden sollen Unternehmen künftig 96 Stunden Zeit haben, um eine Panne zu bewerten und zu melden. Diese zusätzlichen 24 Stunden sollen für interne Ermittlungen genutzt werden. Für kritische Infrastrukturen unter der NIS2-Richtlinie gilt jedoch weiterhin die strikte 24-Stunden-Frist. → Was die Änderung der Meldefristen konkret bedeutet

Gleichzeitig plant die Kommission eine Verschiebung hin zu einer risikobasierten Meldepflicht: Unternehmen sollen künftig nur noch Hochrisiko-Vorfälle melden müssen. Das klingt entlastend, erhöht jedoch intern den Bedarf an präzisen Risikobewertungsverfahren, die zuverlässig zwischen meldepflichtigen und nicht meldepflichtigen Vorfällen unterscheiden können.

NIS2-Anpassungen im Paket

Gezielte Änderungen der NIS2-Richtlinie zielen darauf ab, die Rechtsklarheit zu erhöhen, indem die Zuständigkeitsvorschriften vereinfacht, die Erhebung von Daten über Ransomware-Angriffe gestrafft und die Beaufsichtigung grenzüberschreitender Einrichtungen durch die verstärkte Koordinierungsrolle der ENISA erleichtert wird. → Zum Richtlinienvorschlag der EU-Kommission

NIS2-Umsetzungsgesetz aktueller Stand: Was in Deutschland bereits gilt

Während das Omnibus Paket noch durch das EU-Trilog-Verfahren läuft, ist das NIS2-Umsetzungsgesetz in Deutschland bereits geltendes Recht – und der Zeitdruck ist real.

Am 13. November 2025 verabschiedete der Bundestag das NIS2-Umsetzungsgesetz. Am 20. November 2025 bestätigte der Bundesrat das Gesetz. Am 6. Dezember 2025 trat es mit Verkündung im Bundesgesetzblatt in Kraft – ohne Übergangsfrist. Am 6. Januar 2026 wurde das BSI-Portal freigeschaltet und die dreimonatige Registrierungsfrist begann. → Zur offiziellen BSI-Pressemitteilung

Die Registrierungsfrist beim BSI endete am 6. März 2026. Bis März 2026 hatten sich nur rund 11.500 Unternehmen beim BSI registriert. Bei geschätzten 29.500 betroffenen Einrichtungen bedeutet das: Ein erheblicher Teil der NIS2-pflichtigen Unternehmen hat die Frist versäumt. Eine nachträgliche Registrierung ist weiterhin möglich und dringend ratsam – das Nichtregistriert-Sein ist nach aktuellem Recht ein eigenständiger Bußgeldtatbestand.

Die Zwischenbilanz nach sechs Monaten fällt gemischt aus: Während viele Unternehmen erste Maßnahmen angestoßen haben, bestehen weiterhin erhebliche Unsicherheiten bei der Betroffenheitsprüfung sowie der praktischen Umsetzung der gesetzlichen Anforderungen. Besonders Konzernstrukturen und Zurechnungsfragen führen zu Fehleinschätzungen über die eigene Betroffenheit. 

Die NIS2-Umsetzung Deutschland ist damit kein abgeschlossenes Projekt, sondern ein laufendes Vorhaben mit wachsendem Durchsetzungsdruck. Ab Juli 2026 müssen bis zu 40.000 Unternehmen die verschärften Regeln vollständig erfüllen. → Zur Übersicht NIS2-Umsetzung Deutschland

Auswirkungen auf Backup-, Recovery- und Resilience-Strategien

Die regulatorische Verdichtung durch das NIS2-Umsetzungsgesetz und das Omnibus-Paket EU hat direkte Konsequenzen für die operative IT-Sicherheitsarchitektur – insbesondere für Incident Response, Datensicherung und Wiederherstellbarkeit.

Incident Response als Compliance-Anforderung: Die 24-Stunden-Meldepflicht für kritische Infrastrukturen ist kein bürokratischer Akt. Sie setzt voraus, dass ein Unternehmen innerhalb weniger Stunden nach einem Vorfall qualifizierte Aussagen über Art, Ausmaß und betroffene Systeme treffen kann. Das ist ohne dokumentierte Prozesse, automatisiertes Monitoring und vorbereitete Eskalationspfade faktisch nicht leistbar.

Recovery-Fähigkeit als Compliance-Nachweis: Risikomanagement nach NIS2 schließt die nachgewiesene Wiederherstellbarkeit von Systemen und Daten explizit ein. Backups, die nie auf Funktionsfähigkeit getestet werden, erfüllen diese Anforderung nicht. Regelmäßige Recovery-Tests sind damit nicht länger eine Best Practice, sondern eine prüfbare Pflicht nach § 30 BSIG.

Resilience gegen Ransomware: 80 Prozent aller gemeldeten Ransomware-Angriffe 2025 trafen KMU. Die NIS2-Anpassungen im Omnibus-Paket sehen zudem eine strukturiertere Erhebung von Ransomware-Vorfällen vor – was den Meldedruck bei Angriffen weiter erhöht. Wer im Angriffsfall keine saubere, unabhängige Backup-Infrastruktur vorweisen kann, wird regulatorisch und operativ gleich doppelt getroffen. → Wo sich Cyber Resilience Act und NIS2 überschneiden

Experteneinschätzung

Das Digitale Omnibus-Paket der EU adressiert ein echtes Problem: die regulatorische Fragmentierung. Aus der Perspektive erfahrener IT-Sicherheitsarchitekten enthält der Vorschlag jedoch eine unterschätzte Falle. Die geplante Vereinfachung über eine zentrale Meldestelle und risikobasierte Meldepflichten verlagert Komplexität – sie eliminiert sie nicht. Unternehmen müssen intern präzisere Klassifizierungssysteme für Vorfälle aufbauen, um zuverlässig zu entscheiden, wann eine Meldung erforderlich ist und wann nicht.

Die verlängerte Meldefrist für DSGVO-Datenpannen entlastet moderat – aber nur Organisationen, die bereits strukturierte Incident-Response-Prozesse besitzen. Wer diese Prozesse noch nicht hat, gewinnt durch 24 Stunden mehr wenig.

Der entscheidende blinde Fleck vieler Unternehmen: Der Vorschlag für den Digital Omnibus geht in die entscheidende Phase der Verhandlungen zwischen Kommission, Parlament und Rat. Der finale Gesetzestext könnte im Trilog-Verfahren 2026 noch erheblich verändert werden. Das NIS2-Umsetzungsgesetz hingegen gilt bereits. Wer auf das Omnibus-Paket wartet, bevor er handelt, riskiert, bereits bestehende und durchsetzbare Pflichten zu versäumen.

Handlungsempfehlungen

NIS2-Umsetzung Deutschland ernst nehmen – jetzt, nicht nach dem Omnibus. 

Das Gesetz gilt. Betroffene Unternehmen sollten ihren Registrierungsstatus beim BSI klären und den Stand ihres Risikomanagementsystems gegen die zehn Maßnahmenbereiche des § 30 BSIG prüfen.

Incident-Response-Prozesse operationalisieren und testen. 

Eine schriftliche Notfallprozedur genügt nicht. Der Prozess muss regelmäßig geprobt sein und alle Eskalationswege bis zur Geschäftsführung einschließen – denn bei NIS2 haftet die Leitungsebene persönlich und diese Haftung ist nicht delegierbar.

Backup-Infrastruktur auf Nachweisfähigkeit ausrichten. 

Recovery-Tests sollten dokumentiert, nachvollziehbar und regelmäßig durchgeführt werden. Nur dann lässt sich im Auditfall belegen, dass Systeme tatsächlich wiederherstellbar sind.

Risikobewertungsverfahren für Vorfälle aufbauen. 

Der Omnibus-Trend zur risikobasierten Meldepflicht erfordert klare interne Kriterien, nach denen Sicherheitsvorfälle klassifiziert werden. Wer diese Methodik nicht entwickelt, wird auch von der Vereinfachung nicht profitieren.

Abhängigkeiten von einzelnen Cloud-Anbietern überprüfen. 

Single-Provider-Strategien ohne alternatives Backup stellen ein regulatorisches und operatives Risiko dar – NIS2 adressiert Resilienz explizit als Anforderung, nicht als Option.

Fazit

Das Omnibus-Paket EU ist kein Rückzug aus der Regulierung, sondern eine Neuorganisation. Das verändert die Compliance-Aufgaben in Unternehmen kaum – sie bleiben umfangreich und haftungsrelevant. Was sich perspektivisch ändert, sind Meldewege und einige Fristen. Was unverändert bleibt, ist die Notwendigkeit robuster Backup-, Recovery- und Resilience-Strukturen als technisches Fundament aller regulatorischen Anforderungen. Wer den NIS2-Umsetzungsgesetz aktuellen Stand kennt und bereits handelt, wird durch künftige regulatorische Anpassungen deutlich weniger erschüttert als jene, die Compliance primär als Dokumentationsaufgabe verstehen.

FAQ digitaler omnibus

Was ist das Omnibus Paket EU?

Das Omnibus-Paket EU ist ein Gesetzgebungsvorhaben der EU-Kommission vom November 2025, das bestehende Digitalgesetze wie DSGVO, NIS2, DORA und den AI Act harmonisieren soll. Ziel ist nicht der Abbau von Schutzstandards, sondern die Reduktion paralleler Pflichten, widersprüchlicher Fristen und doppelter Meldewege. Der Vorschlag befindet sich im Trilog-Verfahren.

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Deutschland in Kraft – ohne Übergangsfrist. Die Registrierungsfrist beim BSI endete am 6. März 2026. Ab Juli 2026 müssen bis zu 40.000 Unternehmen in 18 Sektoren die vollständigen Anforderungen erfüllen. Eine nachträgliche BSI-Registrierung ist weiterhin möglich und ratsam.

Für kritische Infrastrukturen bleibt die 24-Stunden-Meldepflicht nach NIS2 bestehen. Der Omnibus plant jedoch eine zentrale ENISA-Meldestelle, über die Meldungen nach NIS2, DSGVO und DORA gebündelt erfolgen sollen – nach dem Prinzip „einmal melden, mehrfach teilen“. Der finale Gesetzestext steht noch aus.

Geplant ist eine Verlängerung von 72 auf 96 Stunden bei Datenpannen mit hohem Risiko. Gleichzeitig soll eine risikobasierte Meldepflicht eingeführt werden, die nicht jeden Vorfall, sondern nur Hochrisiko-Ereignisse erfasst. Das erfordert intern klare Vorfalls-Klassifizierungsverfahren.

NIS2 verpflichtet Unternehmen zu nachweisbarem Risikomanagement, das explizit die Wiederherstellbarkeit von Systemen und Daten einschließt. Nicht getestete Backups erfüllen diese Anforderung nicht. Recovery-Tests müssen dokumentiert und regelmäßig durchgeführt werden – und sind damit prüfbar.

Das Paket befindet sich im Trilog-Verfahren. Mit einer vollständigen Umsetzung ist frühestens 2027 zu rechnen. Für die meisten NIS2-Pflichten gilt: Sie gelten bereits jetzt. Abwarten ist keine Compliance-Strategie.

Jetzt handeln – wir sind Ihr Partner für digitale Souveränität

Welche Anforderungen aus dem NIS2-Umsetzungsgesetz für Ihre Infrastruktur konkret relevant sind – und wie sich Backup-, Recovery- und Resilience-Strukturen darauf ausrichten lassen – lässt sich am besten in einem fachlichen Gespräch klären. Sprechen Sie uns an.

CMT26 - Registrierung
Cristie Mopped Tour 2026

Unser Angebot richtet sich ausschließlich an Geschäftskunden. Bitte verwenden Sie eine Unternehmens-E-Mail-Adresse für Ihre Anfrage (z. B. keine @gmail.com-, @gmx.de- oder @web.de-Adressen).

Cristie Data - Einsparungen-VMware-Lizenzkosten (Lösungsübersicht (PDF))

Cristie Data - Stellenbewerbung

Cristie Data - Stellenbewerbung

Metadata Management Webinar 18.11.2025 - Registrierung

Unser Angebot richtet sich ausschließlich an Geschäftskunden. Bitte verwenden Sie eine Unternehmens-E-Mail-Adresse für Ihre Anfrage (z. B. keine @gmail.com-, @gmx.de- oder @web.de-Adressen).

Metadata Management Webinar 17.09.2025 - Registrierung

Unser Angebot richtet sich ausschließlich an Geschäftskunden. Bitte verwenden Sie eine Unternehmens-E-Mail-Adresse für Ihre Anfrage (z. B. keine @gmail.com-, @gmx.de- oder @web.de-Adressen).

CMT25 - Registrierung
Cristie Mopped Tour 2025

Unser Angebot richtet sich ausschließlich an Geschäftskunden. Bitte verwenden Sie eine Unternehmens-E-Mail-Adresse für Ihre Anfrage (z. B. keine @gmail.com-, @gmx.de- oder @web.de-Adressen).

Ich interessiere mich für die Notfallunterstützung von Cristie & Arctic Wolf!

Ihr it-sa 2024 Ticket
Fordern Sie kostenlos Tickets an. Gern auch mehrere über das Kommentarfeld.






Teilnahme nach Verfügbarkeit.

CMT24 - Registrierung
Cristie Mopped Tour 2024






Teilnahme nach Verfügbarkeit.

Schauen Sie sich das DORA Video an

Schauen Sie sich das Spectra Tape Video an

Schauen Sie sich das NIS2 Directive Video an

Save the Data - Event Registrierung






Teilnahme nach Verfügbarkeit.

Arctic Wolf - Security Breakfast





Teilnahme nach Verfügbarkeit.

Arctic Wolf - Security Breakfast Event





Participation subject to availability.

eBook: Transform Your Business with Mature Data Management

Understanding LTO-9 Tape Technology – Whitepaper

Understanding LTO-9 Tape Technology – Whitepaper

Kontaktinfo

Nordring 53-55, 63843 Niedernberg, Deutschland

Unser Angebot richtet sich ausschließlich an Geschäftskunden. Bitte verwenden Sie eine Unternehmens-E-Mail-Adresse für Ihre Anfrage (z. B. keine @gmail.com-, @gmx.de- oder @web.de-Adressen).

Monatliches Angebot für Cloud-Schutz anfordern

Wählen Sie mehrere aus, indem Sie beim Auswählen die Taste strg oder cmd drücken.

*Sie können die Anzahl der zugewiesenen Lizenzen in Microsoft 365 ermitteln, indem Sie zur Seite Microsoft 365 Admin center > Billing > Licenses navigieren.

** Die folgenden Abonnements werden von Cristie Cloud Backup für Google Workspace nicht berechnet:
Google Voice Starter (SKU ID: 1010330003)
Google Voice Standard (SKU ID: 1010330004)
Google Voice Premier (SKU ID: 1010330002)

Auf dem Weg zur intelligenten Welt – Whitepaper

Da neue Technologien wie 5G, IoT, Cloud Computing und Big Data in der digitalen Transformation eingesetzt werden, bewegt sich die IT-Architektur von Unternehmen in Richtung eines hybriden Frameworks aus „traditioneller IT + privater Cloud + öffentlicher Cloud + Edge“.

Striding Towards the Intelligent World – White Paper

As new technologies, such as 5G, IoT, cloud computing, and big data, are being applied in digital transformation, enterprise IT architecture is moving towards a hybrid framework of „traditional IT + private cloud + public cloud + edge“. This report provides an in-depth outlook on the development of the data storage industry.

Zero Trust Data Security for Dummies