Seit Januar 2026 gilt das novellierte Sicherheitsüberprüfungsgesetz (SÜG) – und obwohl es nur drei neue Paragrafen sind, entfalten sie enorme Wirkung. Unternehmen müssen sicherheitsempfindliche Stellen melden, dürfen Personal erst nach behördlicher Freigabe einsetzen und riskieren Bußgelder bis zu 50.000 Euro, wenn sie Fristen oder Meldepflichten versäumen.
Sicherheitsüberprüfung – Neue Pflichten für Transport und Logistik
Im Podcast beschreiben Tabea und Christian, wie tief diese Änderungen in die Organisation eingreifen. Rollen müssen neu definiert, Berechtigungen überprüft und alte Zugänge konsequent gelöscht werden. Viele Unternehmen merken erst jetzt, wie viel Wildwuchs sich über die Jahre angesammelt hat. Bernhard Jäger bringt es im Gespräch auf den Punkt: „Das SÜG zwingt Unternehmen dazu, endlich sauber zu dokumentieren, wer wirklich Zugriff auf sicherheitsrelevante Informationen hat. Das ist kein Bürokratie‑Akt, sondern eine Frage der Betriebssicherheit.“ Er warnt außerdem vor einer häufig unterschätzten Hürde: „Die Bearbeitungszeiten von drei bis sechs Monaten sind realistisch – und sie können länger werden, wenn internationale Mitarbeitende beteiligt sind. Wer Personal umplant, ohne das einzukalkulieren, steuert direkt in Verzögerungen.“
Interne Kontrolle statt Bauchgefühl
Die Podcast‑Folge zeigt deutlich, dass das SÜG nicht nur Personen, sondern ganze Strukturen betrifft. Unternehmen müssen nachweisen, dass sie ein funktionierendes internes Kontrollsystem haben. Wer prüft Unterlagen? Wer kommuniziert mit Behörden? Wer dokumentiert Abteilungswechsel? Jäger bestätigt diese Einschätzung: „Viele Firmen unterschätzen, wie wichtig ein klar definierter Verantwortlicher ist. Ohne feste Zuständigkeiten verliert man im SÜG‑Prozess sofort den Überblick.“
KRITIS Dachgesetz: Resilienz wird Pflicht – und zwar schnell
Seit März 2026 gilt zudem das KRITIS‑Dachgesetz, das die europäische CER‑Richtlinie umsetzt. Es betrifft rund 1.700 Anlagen in zehn Sektoren – von Energie über Verkehr bis zur Abfallwirtschaft. Die Frist ist knapp: Bis 17. Juni 2026 müssen Risikoanalysen, Resilienzpläne und Meldewege stehen. Im Podcast wird klar: Die größte Herausforderung ist die fehlende Konkretisierung. Viele Details sind noch offen, aber Unternehmen müssen trotzdem handeln.
Bernhard Jäger sieht darin ein strukturelles Problem: „Das Gesetz verlangt Resilienz, aber liefert noch nicht alle Werkzeuge. Unternehmen müssen jetzt mit gesundem Menschenverstand starten – und dürfen nicht auf perfekte Vorgaben warten.“ Es fehlt nämlich noch an Branchenstandards, die von Fachverbänden, Expertenkreisen du spezialisierten Dienstleistern stamm werden, allerdings sind sie in etlichen Teilbereichen noch nicht ausgearbeitet, was die Situation für die Unternehmen zusätzlich erschwert.
NIS2 und KRITIS: Zwei Welten, ein Risiko
Während NIS2 die Cyberseite abdeckt, kümmert sich das KRITIS‑Dachgesetz um die physische Resilienz. In der Praxis lassen sich beide Bereiche jedoch kaum voneinander trennen. Die Podcast‑Folge macht deutlich, dass Unternehmen künftig integrierte Sicherheitskonzepte benötigen, die IT und operative Bereiche zusammenführen. Unterschiedliche Fristen, Behörden und Nachweispflichten erhöhen die Komplexität, aber sie ändern nichts daran, dass beide Regelwerke ineinandergreifen und gemeinsam gedacht werden müssen. 2026 wird damit zu einem Jahr des Umbruchs. Die neuen gesetzlichen Vorgaben sind eng miteinander verwoben und verändern den Alltag in Unternehmen spürbar. Risikoanalysen, Verantwortlichkeiten und Dokumentation rücken stärker in den Fokus, und viele Organisationen müssen ihre Strukturen neu ordnen, um den Anforderungen gerecht zu werden.
