Die GUTcert berichtet kurz, was diese neuen Regeln für Unternehmen und ihre Kommunikation über nachhaltige Ambitionen, Klimaprojekte und CO₂-Zertifikate bedeuten und wie wir sie bei der gesetzeskonformen Kommunikation unterstützen können.

Was ist die EmpCo-Richtlinie?

Die EmpCo-Richtlinie ist Teil des EU Green Deal und zielt darauf ab, den Verbraucherschutz zu stärken, indem Greenwashing bekämpft und die Qualität von Umweltinformationen verbessert wird. Ihr zentrales Ziel ist es sicherzustellen, dass Unternehmen Umweltaussagen machen, die verlässlich, überprüfbar und klar verständlich sind.

Die Richtlinie gilt für alle Unternehmen, die Produkte oder Dienstleistungen auf dem EU-Markt anbieten – unabhängig von Größe oder Branche.

Deutschland hat die EmpCo-Richtlinie im Februar 2026 in nationales Recht umgesetzt. Ab September 2026 werden die Vorschriften vollständig anwendbar sein. Ab diesem Zeitpunkt können nicht-konforme Aussagen rechtliche Konsequenzen nach sich ziehen, etwa Abmahnungen, Unterlassungsverfügungen und Maßnahmen der Rechtsdurchsetzung nach dem Wettbewerbsrecht.

Wo steht Deutschland in der zeitlichen Umsetzung?

• 28. Februar 2024: Inkrafttreten der EmpCo-Richtlinie in der EU
• September 2025: Referentenentwurf der Bundesregierung zur Umsetzung der EmpCo-Richtlinie in das Gesetz gegen den unlauteren Wettbewerb (UWG)
• Februar 2026: Umsetzung der EmpCo-Richtlinie in deutsches Recht (UWG) (Frist war der 27. März)
• 27. September 2026: Die EmpCo-Regeln treten EU-weit in Kraft und gelten für Unternehmen verbindlich

Was gilt als „Umweltaussage“?

Die Definition der Umweltaussagen umfasst jede kommerzielle Aussage oder Darstellung, die eine positive oder geringere Umweltwirkung eines Produkts, einer Marke oder eines Unternehmens suggeriert.

Erfasst werden nicht nur Begriffe wie „klimaneutral“, sondern auch visuelle Elemente wie Symbole, Farben und Bildsprache sowie Markennamen, Labels und Logos.

Was künftig unzulässig ist – zentrale Änderungen durch die EmpCo

Die EmpCo definiert eine Liste von Praktiken, die stets als unlauter gelten. Dazu zählen insbesondere:

• allgemeine Umweltaussagen wie „nachhaltig“ oder „grün“ ohne klare Erläuterung
• Treibhausgasbezogene „Neutralitäts“-Aussagen auf Produktebene bei Nutzung von Kompensation außerhalb der eigenen Wertschöpfungskette
• Nachhaltigkeitslabels ohne zertifizierte Systeme oder behördliche Prüfung
• Zukunftsaussagen wie „klimaneutral bis 2050“ ohne glaubwürdigen Transformationsplan und unabhängige Kontrolle.

Die EmpCo als Fluch oder Segen?

Die EmpCo erhöht die Anforderungen an Transparenz und Differenzierung in der Kommunikation umweltbezogener Behauptungen. Unternehmen müssen künftig klar darlegen, wie ihre Nachhaltigkeits- und Klimastrategien aufgebaut sind. Auf Treibhausgasebene muss klar zwischen eigenen Emissionsreduktionen und externen Kompensationsprojekten unterschieden werden. Letztere bleiben relevant, müssen aber präziser und nachvollziehbar kommuniziert werden – direkt in der Kommunikation selbst, nicht ausgelagert in Berichte oder externe Quellen.

Für Unternehmen bringt das mehr Anforderungen mit sich, aber auch die Chance, von pauschalen Aussagen zu glaubwürdiger Kommunikation überzugehen.

Wie können Nachhaltigkeitsbemühungen sicher kommuniziert werden?

Als unabhängige und akkreditierte Zertifizierungsstelle unterstützt die GUTcert Unternehmen bei der prüfsicheren Kommunikation ihrer Nachhaltigkeitsleistungen. Im Fokus steht dabei die Prüfung von Nachhaltigkeitslabels und umweltbezogenen Aussagen im Sinne der EmpCo-Richtlinie und deren nationaler Umsetzung im UWG. GUTcert prüft sowohl die inhaltliche Belastbarkeit als auch die methodische Nachvollziehbarkeit von Nachhaltigkeitsaussagen auf Basis der zugrundeliegenden Zertifizierungssysteme von Labels und der unternehmensbezogenen Umweltkommunikation.

Ziel ist es sicherzustellen, dass die Aussagen der Unternehmen nicht nur regulatorisch zulässig sind, sondern auch transparent, nachvollziehbar und für Verbraucher eindeutig verständlich dargestellt werden. Als unabhängige dritte Partei schafft GUTcert damit eine belastbare Grundlage, auf der Unternehmen ihre Umwelt- und Klimakommunikation gesetzeskonform gestalten und glaubwürdig am Markt positionieren können.

Daneben wird es praxisnahe Beiträge zu KI-Anwendungen im Energiemanagement, Erfahrungsberichte zur Umsetzung der ISO 50001 im Kliniksektor und interaktive Paneldiskussionen rund um Verschlankung und Bürokratieabbau in EnMS-Unternehmen, wirksame Managementsysteme und den Weg vom Energiemanagement zur Klimastrategie geben.

Mit neuen Impulsen, konkreten Umsetzungshilfen und dem Austausch mit Expertinnen und Experten bietet das Exzellenznetzwerk auch in diesem Jahr wieder eine Plattform für aktuelle Themen und fachliche Gespräche.

Die GUTcert freut sich, dieses Jahr die Veranstaltung als Hybrid-Veranstaltung anbieten zu können. Gerne werden Teilnehmende online oder persönlich in Berlin empfangen. Die Präsenzteilnehmer werden außerdem herzlich zum Get-together am Vorabend eingeladen, bei dem das hundertjährige Bestehen von AFNOR gefeiert wird.

Informationen und Programm: Veranstaltungsseite

• Termin: Freitag, 25.09.2026 ab 09:00 Uhr
• Ort: Hotel Aquino, Hannoversche Str. 5B, 10115 Berlin
• Get-together am Vorabend: Donnerstag, 24.09.2026 ab 17 Uhr in der AMANO East Side Rooftop-Bar.
• Anmeldung: online / Präsenz. Achtung: Aufgrund einer parallelen Messe in Berlin und dem Berlin-Marathon 2026 sind Hotelzimmer schnell ausgebucht.

Die GUTcert gestaltet diesen Dialog aktiv mit: Mit ihrem Beitritt bringt sie ihre Praxiserfahrung aus zahlreichen ISMS-Audits in die Allianz ein. Das Ziel ist es, Cyber-Resilienz nachhaltig zu stärken und den GUTcert-Kunden Zertifizierungen zu garantieren, die auf den neuesten Erkenntnissen der Gefahrenabwehr basieren. In diesen branchenübergreifenden Austausch möchte die GUTcert beim ACS-Partnerbeitrag am 17. Juni 2026 gehen.

Das eintägige Netzwerk Informationssicherheit in Berlin bringt Fachkundige, Unternehmen und Verantwortliche für Informationssicherheit zusammen, um aktuelle Bedrohungen, regulatorische Entwicklungen und Best Practices rund um ISMS zu erörtern. Im Fokus steht, wie sich Organisationen auf die steigenden Anforderungen vorbereiten können.

Die Konferenz richtet sich insbesondere an

• Unternehmen im Kontext der NIS-2-Richtlinie,
• KRITIS-relevante Organisationen (IT-Sicherheitskatalog) und
• nach ISO 27001 zertifizierte Unternehmen.

Die GUTcert freut sich auf den gemeinsamen Austausch im Rahmen der Veranstaltung.

Zur Anmeldung

Der Carbon Border Adjustment Mechanism (CBAM) ist zum 01.01.26 in die Regelphase eingetreten. Als Teil des Pakets „Fit for 55“ soll er als Ergänzung zum Europäischen Emissionshandel Wettbewerbsnachteile aufgrund des Wegfalls kostenloser Zuteilung für Unternehmen in Europa ausgleichen. Während viele Rechtsakte noch nicht in Kraft sind, sind die Rahmenlinien schon sehr klar gesetzt.

Wer ist vom CBAM betroffen?

Der Anwendungsbereich des CBAM umfasst Einführer von Aluminium, Eisen und Stahlerzeugnissen, Zement, Dünger, Strom und Wasserstoff in die EU. Einführer sind dazu verpflichtet, die CO₂-Mengen, die bei der Herstellung ihres Produkts entstanden sind, zu berichten und dafür Berechtigungen (Zertifikate) zu erwerben. Verantwortlich sind die importierende Gesellschaft oder deren indirekte Zollvertretung.

Seit dem Eintritt der Regelphase des CBAM zum 01.01.26 ist die Einfuhr von Gütern, die unter CBAM fallen, nur noch zugelassenen Anmeldern erlaubt. Aktuell gibt es noch eine Übergangsfrist, bei der ein Antrag zur Zulassung noch ausreichend ist, sofern dieser bis zum 31.03.26 eingereicht wurde. Die Zulassung erfolgt über die DEHSt.

Im Oktober hatte die EU-Kom eine Vereinfachung beschlossen. Sämtliche Pflichten des CBAM (Zulassung, Berichterstattung, Verifizierung) greifen erst ab einer kumulierten Menge von 50t CBAM-Produkte. (Ausgenommen Strom und Wasserstoff). Dieser Schwellenwert gilt für Einführer von Waren, nicht für indirekte Zollvertreter. Eine Aufteilung der Waren mit Mengen unter 50t über mehrere Zollvertreter führt daher nicht zu einer Umgehung der CBAM-Pflichten für den Einführer.  Sollte die 50t Grenze überschritten werden, werden die Verpflichten im Folgejahr aktiv.

Die Verantwortlichkeiten für müssen privatrechtlich zwischen dem indirekten Zollvertreter und dem Einführer geklärt werden.

Berichts- und Abgabepflicht

Bis zum 30.09 des Folgejahrs nach der Einfuhr müssen die CO₂-Mengen in der CBAM-Erklärung berichtet werden. Die Berechnung der CO₂-Mengen erfolgt über die Methoden der CBAM-Richtlinie. Hierzu können die von der EU-Kom veröffentlichten Standardwerte genutzt werden oder tatsächliche Werte verwendet werden. Bei der Verwendung tatsächlicher Werte müssen die CBAM-Erklärungen von einer akkreditierten Prüfstelle verifiziert werden.

Um tatsächliche Werte nutzen zu können, müssen Lieferanten und Anlagen nachvollziehbare und belegbare Daten liefern. Anlagen können hierfür eine Registrierung im CBAM-Register vornehmen. Dafür müssen Anlagen im Ausland ebenfalls verifiziert werden. Hierfür ist eine Begehung der Anlage durch einen Prüfer notwendig. Der Abstand zwischen Begehungen darf maximal drei Jahre betragen.

Für die in der CBAM-Erklärung angegebenen Berichte sind Zertifikat zu erwerben und bei der DEHSt einzureichen. Der Preis orientiert sich am Preis der Zertifikate für den EU-ETS 1.

Wichtig: Zertifikate können erst im Jahr 2027 rückwirkend erworben werden. Dafür sind im Jahr 2026 bereits Rückstellungen zu bilden.

Ab 2027 sind zudem Berechnungen für die notwendigen Zertifikate anzustellen, da 50 % der CO₂-Mengen, der pro Quartal eingeführten Waren gedeckt sein müssen.

Der BSI-Lagebericht zeigt: Informationssicherheit wird zur strategischen Aufgabe

Die Bedeutung dieses Themas nimmt seit Jahren deutlich zu. Der BSI-Lagebericht zur IT-Sicherheit in Deutschland 2025 zeigt, dass die Bedrohungslage weiterhin hoch ist. Cyberangriffe, Schadsoftware und neu entdeckte Sicherheitslücken stellen Organisationen zunehmend vor große Herausforderungen (siehe Bilder).

Besonders betroffen sind dabei nicht nur große Konzerne oder Betreiber kritischer Infrastrukturen. Auch kleine und mittlere Unternehmen geraten verstärkt ins Visier von Angreifern – oft, weil Sicherheitsstrukturen noch nicht systematisch aufgebaut sind. Informationssicherheit ist daher längst keine rein technische Aufgabe mehr. Sie betrifft Prozesse, Verantwortlichkeiten und Kompetenzen im gesamten Unternehmen.

Wachsende regulatorische Anforderungen

Neben der steigenden Bedrohungslage wächst auch der regulatorische Druck. Neue europäische und nationale Vorgaben verlangen von vielen Organisationen ein strukturiertes Management von Informationssicherheit und digitalen Risiken.

Die wichtigsten Regelwerken (unter anderem):

• NIS-2-Richtlinie zur Stärkung der Cybersicherheit in Europa, wurde im Dezember in deutsches Recht überführt
• EU AI Act mit Anforderungen an den sicheren Einsatz von KI-Systemen
• Digital Operational Resilience Act (kurz DORA) zur digitalen Resilienz im Finanzsektor
• Critical Entities Resilience Directive (CER) für Betreiber kritischer Infrastrukturen, am 16.03. mit dem KRITIS-Dachgesetz in nationales Recht umgesetzt
• Cyber Resilience Act (CRA), legt ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte fest, die auf dem EU-Markt erhältlich sind

Diese Regelwerke fordern unter anderem Risikomanagement, klare Verantwortlichkeiten, Sicherheitsmaßnahmen und Meldepflichten bei Vorfällen. Für viele Unternehmen bedeutet das: Informationssicherheit muss systematisch organisiert und dokumentiert werden.

Wissen & Kompetenz aufbauen und Informationssicherheit praktisch umsetzen

Der Aufbau eines wirksamen Informationssicherheitsmanagements (z. B. nach ISO 27001) erfordert neben technischen Lösungen vor allem Know-how im Unternehmen. Verantwortliche müssen Anforderungen verstehen, Risiken bewerten und geeignete Maßnahmen umsetzen können.

Die Seminare der GUTcert Akademie vermitteln praxisnahes Wissen zu aktuellen Anforderungen und unterstützen Unternehmen dabei, Informationssicherheit strukturiert aufzubauen, im Bereich Informationssicherheit mit folgenden Seminaren:

• Informationssicherheitsbeauftragter/-auditor (gn) nach ISO/IEC 27001 (GUTcert)
• Cybersicherheits-Check
• NIS-2-Schulung für Führungskräfte
• Cloudsicherheit & Datenschutz: ISO/IEC 27017/18 in der Praxis
• EU AI Act: Anforderungen verstehen und praxisnah umsetzen
• Webinar: Remote-Audits erfolgreich durchführen
• ISO/IEC 27001 – Auditorenschulung gemäß IT-Sicherheitskatalog der Bundesnetzagentur
• Fortbildungsveranstaltung & Erfahrungsaustausch für ITSK-Auditoren
• Netzwerk Informationssicherheit

Über die GUTcert Seminare zur Informationssicherheit können gezielt Kompetenzen für neue Anforderungen und Risiken aufgebaut werden.

Woher kommt die Unterscheidung?

Managementsystemnormen unterscheiden zwischen drei wichtigen Ebenen:

1. Anwendungsbereich der Norm: beschreibt, für welche Organisationen und Zwecke die Norm grundsätzlich vorgesehen ist und legt grundsätzlich den Gegenstand und die beabsichtigten Ergebnisse der Anwendung durch die Organisation fest
2. Anwendungsbereich des Managementsystems: legt fest, in welchen Bereichen der Organisation die Regelungen aus dem Managementsystem tatsächlich angewendet werden. Dies muss als dokumentierte Information festgehalten werden und umfasst Festlegungen zu
   • Tätigkeiten bzw. Prozessen
   • Produkten bzw. Dienstleistungen
   • Standorten
3. Geltungsbereich der Zertifizierung: zeigt, welche der genannten Tätigkeiten/Prozesse, Produkte/Dienstleistungen und Standorte im Audit bewertet und auf dem Zertifikat ausgewiesen werden sollen.

Diese Systematik sorgt dafür, dass Organisationen, Auditoren und Zertifizierungsstellen eine einheitliche Grundlage für die Umsetzung, Bewertung und Zertifizierung haben.

Der Anwendungsbereich des QMS nach ISO 9001

Die zentrale Anforderung findet sich in Kapitel 4.3 der Norm: Festlegen des Anwendungsbereichs des QMS. Organisationen müssen darin die Grenzen ihres QMS sowie die Anwendbarkeit der Normanforderungen festlegen und bestimmen, welche Produkte und Dienstleistungen durch das System abgedeckt sind.

Dabei sind insbesondere drei Aspekte zu berücksichtigen:

1. interne und externe Themen der Organisation
2. Anforderungen interessierter Parteien
3. Art der Produkte und Dienstleistungen

Der Anwendungsbereich beschreibt damit die tatsächliche Reichweite des QMS. Er umfasst beispielsweise relevante Standorte, Organisationseinheiten und Prozesse. Wichtig ist, dass der Anwendungsbereich klar formuliert, nachvollziehbar und als dokumentierte Information verfügbar ist.

Im Anhang A.5 der ISO 9001:2015 wird auf die mögliche Nichtanwendbarkeit einzelner Normanforderungen hingewiesen. Wenn bestimmte Anforderungen aufgrund der Tätigkeiten einer Organisation nicht zutreffen, müssen sie nicht umgesetzt werden. Dies ist jedoch zu begründen und darf weder die Fähigkeit der Organisation beeinträchtigen, konforme Produkte und Dienstleistungen bereitzustellen, noch die Kundenzufriedenheit oder die Einhaltung relevanter gesetzlicher und behördlicher Anforderungen negativ beeinflussen.

Der Geltungsbereich der Zertifizierung

Der Geltungsbereich der Zertifizierung zeigt, welche Tätigkeiten, Produkte und Dienstleistungen durch die Zertifizierungsstelle bestätigt wurden. Er wird im Audit bewertet und auf dem Zertifikat dokumentiert. Er muss sowohl für die gesamte Organisation als auch für die einzelnen Standorte klar definiert und zugeordnet werden, damit externe Parteien nachvollziehen können, wofür die Organisation zertifiziert ist. Natürlich darf der Geltungsbereich nicht die Grenzen des Anwendungsbereichs des Managementsystems überschreiten.

Ausgelagerte Prozesse dürfen nicht als Teil des Geltungsbereiches aufgeführt werden, da sie außerhalb der direkten Verantwortung der Organisation liegen. Das daraus resultierende Produkt oder die Dienstleistung kann jedoch weiterhin Bestandteil des Zertifizierungsumfangs sein. Für Kunden, Partner oder Behörden ist der Geltungsbereich der Zertifizierung der sichtbare Teil des Managementsystems.

Den Geltungsbereich der Zertifizierung darf jede Organisation selbst wählen. In den meisten Fällen umfasst er – wie der Anwendungsbereich des Managementsystems – die ganze Organisation. Aber es sind auch Situationen denkbar, in denen eine Organisation nicht all ihre Tätigkeiten oder Standorte in die Zertifizierung einbeziehen möchte. Bei einem Ausschluss sind neben rechtlichen Aspekten (z. B., wenn eine Zertifizierung gesetzlich oder behördlich gefordert wird) dabei vor allem inhaltliche Aspekte zu beachten. So ist es nicht möglich, Tätigkeiten oder Standorte auszuschließen, ohne die die zertifizierten Tätigkeiten nicht anforderungsgerecht erbracht werden können.

Relevanz für andere Managementsysteme

Die Unterscheidung zwischen Anwendungsbereich und Geltungsbereich ist nicht auf die ISO 9001 beschränkt. Auch Normen wie ISO 14001, ISO/IEC 2700, ISO 45001 oder ISO 50001 folgen derselben Struktur. Grundlage dafür ist die Harmonized Structure (HS) der ISO-Managementsystemnormen, die zentrale Anforderungen vereinheitlicht und damit auch die Integration mehrerer Managementsysteme erleichtert (Wechselservice der GUTcert).

Fazit

Der Unterschied zwischen Anwendungsbereich und Geltungsbereich ist mehr als eine sprachliche Feinheit. Er macht deutlich,

• wofür eine Norm vorgesehen ist
• wie die Organisation sie im Managementsystems anwendet
• welche Tätigkeiten, Produkte und Dienstleistungen und Standorte zertifiziert werden

Ein klar definierter Anwendungsbereich ist die Grundlage für ein transparentes und wirksames QMS. Ein präziser formulierter Geltungsbereich der Zertifizierung sorgt dafür, dass Kunden, Auditoren und andere interessierte Parteien nachvollziehen können, wofür eine Organisation zertifiziert ist. Weitere Informationen und praktische Beispiele für die Anwendung finden Sie im GUTcert Leitfaden ISO 9001 für KMU, Teil 4.

Die Möglichkeiten von KI sind aufregend, haben aber auch ihre Schattenseiten. Neben Berichten über neue Features häufen sich Meldungen zu Datenlecks und Cyberangriffen, die durch Schwachstellen in KI‑Systemen ermöglicht wurden.

Durch die Komplexität, die rasante Entwicklung und das geringe Verständnis von KI fällt es Unternehmen oft schwer, die potenziellen Risiken von KI-Systemen zu erkennen und zu bewältigen.

Diese Risiken lassen sich grob in drei Kategorien einteilen: Datenschutzverletzungen, Übermäßiges Vertrauen, und verwundbare KI-Anwendungen.

Datenschutzverletzungen durch KI-Nutzung

Die gängigsten KI‑Systeme, von ChatGPT und Gemini bis zu Perplexity und Claude, sind nicht in der EU ansässig. Viele haben ihren Sitz in den USA, die nicht gerade für strenge Datenschutzgesetze bekannt sind. So hat z.B. das EU‑Parlament aus Datenschutzbedenken die eingebauten KI‑Funktionen in den Dienstgeräten der Abgeordneten deaktiviert. Obwohl es datensparsame und DSGVO‑konforme Alternativen gibt, ist das Datenschutzproblem bei KI ähnlich wie bei der Cloud: Solange Unternehmen ihre eigene KI nicht betreiben, müssen sie der IT‑Sicherheit und den Datenschutzversprechungen der KI‑Anbieter vertrauen.

Übermäßiges Vertrauen und Coding-Agents

KI-Systeme sind längst nicht mehr nur als Chatbots verfügbar. Der aktuelle Trend geht in Richtung „agentic“-Systeme, also autonomer KI-Agenten, die mit wenig oder ganz ohne menschliche Intervention verschiedene Aufgaben übernehmen. Solche Agenten finden sich inzwischen in nahezu allen Bereichen, auch in sicherheitskritischen Feldern wie die Softwareentwicklung, der Angriffserkennung und der Netzwerksicherheit.

Besonders im Trend sind KI‑Coding‑Tools: Laut einem Bericht von Google nutzen über 90 % der Developer KI bei der Softwareentwicklung. Aus Sicht der Sicherheit ist das besorgniserregend – Untersuchungen zeigen, dass rund 45 % der mit KI entwickelten Applikationen Sicherheitslücken aufweisen. Das bedeutet nicht, dass KI in der Softwareentwicklung oder in anderen kritischen Bereichen grundsätzlich vermieden werden sollte, für die sichere Softwareentwicklung braucht es jedoch weiterhin menschliche Kontrolle und unabhängige Validierung.

Verwundbare KI-Anwendungen

Neben den „traditionellen“ Schwachstellen in KI‑entwickelter Software können auch die KI‑Systeme selbst Sicherheitslücken aufweisen. Laut dem „TrendAI State of AI Security Report“ wurden allein im Jahr 2025 über 2000 KI‑bezogene Sicherheitslücken gemeldet. Nicht nur die Quantität stieg, auch der Schweregrad der Schwachstellen nahm zu. Durch Sicherheitslücken in KI-Anwendungen konnten in der Vergangenheit nicht nur Nutzerdaten gestohlen werden, häufig dienten sie als Einfallstor, um das Unternehmen an sich anzugreifen.

Die Daten zeichnen ein klares Bild: Wenn Organisationen KI‑Anwendungen ausrollen, muss die IT‑Sicherheit die Basis jedes Projekts sein.

Registrierungsstatus: Frist abgelaufen, viele Unternehmen noch unregistriert

Die Frist zur NIS-2 Registrierung ist am 6. März 2026, also 3 Monate nach Inkrafttreten, verstrichen – doch die Resonanz bleibt überschaubar: Nur etwa 11.500 Unternehmen und Einrichtungen hatten sich bis zum Stichtag registriert. Damit sind deutlich weniger registriert als die rund 30.000, die gemäß BSI von NIS-2 betroffen sind.

Laut aktuellen Berichten stockt die Umsetzung der Richtlinie, weil viele Unternehmen den Aufwand unterschätzen oder schlicht nicht wissen, dass sie betroffen sind. Die Registrierung selbst erfordert unter anderem die Einrichtung eines digitalen Zugangs, wofür ein ELSTER-Organisationszertifikat benötigt wird, und die Bereitstellung technischer Informationen wie z. B. den öffentlichen IP-Adressraum.

Warum Handeln jetzt wichtig ist

Die Registrierung ist nicht nur eine Formalie: Sie ist Voraussetzung dafür, Sicherheitsvorfälle rechtskonform zu melden und weitere NIS-2-Pflichten zu erfüllen. Ohne Registrierung drohen Bußgelder und weitere rechtliche Risiken – etwa, wenn ein Unternehmen nicht fristgerecht innerhalb von 24 Stunden Meldepflichten bei Vorfällen reagieren kann.

NIS-2 Self Assessment: Klarheit über Status und Maßnahmen

Damit Ihr Unternehmen nicht im Dunkeln tappt, bietet die GUTcert Akademie in Zusammenarbeit mit der einfachISO GmbH ein NIS-2-Self Assessment an. Wenn Sie bereits geprüft haben, dass Sie unter NIS-2 fallen, hilft Ihnen dieses Assessment, Ihren aktuellen Reifegrad der Umsetzung zu ermitteln, Lücken in Prozessen und Dokumentation zu identifizieren und priorisierte Maßnahmen abzuleiten.

Hinweis: Das NIS‑2 Self Assessment dient nur zur Orientierung. Es ersetzt keine rechtliche Beratung. Die Verantwortung für gesetzliche Pflichten, Registrierung und Meldungen liegt weiterhin beim Unternehmen.

Das NIS-2 Self Assessment zum Download.

Speziell für Geschäftsführungen wichtiger und besonders wichtiger Einrichtungen: Schulung nach § 38 BSI-G

Für die Leitungsebene betroffener Einrichtungen ist es entscheidend, die gesetzlichen Pflichten und Haftungsrisiken zu kennen. Die NIS-2-Schulung für Geschäftsführungen der GUTcert Akademie vermittelt kompakt, was auf die Geschäftsführung zukommt, welche Verantwortlichkeiten zu beachten sind und wie Sie Ihre Organisation rechtskonform aufstellen. Außerdem kommen Sie der Schulungspflicht gemäß § 38 BSI-Gesetz nach.

Durch gezielte Fallbeispiele, praxisnahe Umsetzungshinweise und eine verständliche Vermittlung der relevanten Paragraphen werden Entscheider befähigt, ihr Unternehmen sicher und rechtskonform zu steuern.

• Jetzt handeln: Registrierungsstatus prüfen, Self Assessment starten und Schulung für Geschäftsführung buchen – bevor Risiken und Bußgelder Realität werden.
• Nächster Termin der Schulung ist der 14.04.2026.

Die Aktualisierung der ISO 14001 wurde aus mehreren Gründen angestoßen:

• Neue Entwicklungen in globalen und wirtschaftlichen Rahmenbedingungen
• Interne Anpassungen innerhalb der ISO
• Der Wunsch nach besser integrierbaren Systemen aufgrund steigender Nutzerzahlen – Einführung der HLS und Harmonisierung bestehender Standards
• Kontextanalyse und Risikobetrachtung als Antwort auf zunehmende wirtschaftliche Volatilität
• Höhere Anforderungen an die aktive Rolle des Top-Managements

Die Kernziele der ISO 14001 bleiben unverändert, z. B.:

• Schutz der Umwelt durch verhindern oder Minderung nachteiliger Umweltauswirkungen
• Mindern der möglichen nachteiligen Auswirkungen von Umweltzuständen auf die Organisation
• Verbessern der Umweltleistung
• Unterstützung beim Einhalten der bindenden Verpflichtungen

Unterm Strich bleibt: die Änderungen sind eine Evolution, keine Revolution.

Am 14.04.2026 von 10:00–11:00 Uhr findet ein Webinar zum Thema statt: „Revision der ISO 14001 – Folgen für die praktische Umsetzung“.

Überblick:

• Wichtigste Änderungen im Vergleich zur aktuellen DIN EN ISO 14001:2015
• Harmonisierter Aufbau (HS) gemäß ISO-Vorgaben
• Neue Anforderungen rund um Nachhaltigkeit und Klimawandel
• Konkretisierte Vorgaben zum Umgang mit Risiken und Chancen
• Praktische Umsetzung im eigenen UMS
• Nächste Schritte bis zur Umsetzung -> wie funktioniert die Transition und wann könnten Sie Ihr Zertifikat nach der neuen Norm in den Händen halten?

Wie in früheren Veranstaltungen kann die Teilnahme als Nachweis zur Requalifizierung/Weiterbildung genutzt werden.

Weitere Schulungen zur ISO 14001 sind wie gewohnt im Programm der GUTcert Akademie zu finden:

Umweltmanagement ISO 14001: Alle Kurse | Akademie – GUTcert.