Vielleicht hast du es letztes Jahr gelesen: 2026 werde das Jahr, in dem die Bürokratie den Mittelstand endgültig begräbt. NIS2, CSRD, E-Rechnung, Lieferkettengesetz, Mindestlohn. Alles auf einmal.
Jetzt ist Mitte 2026, und die ehrliche Bilanz sieht anders aus. Die Welle ist kleiner geworden. Ein Teil der angekündigten Pflichten wurde entschärft oder gestrichen, bevor er dich je erreicht hat. Was übrig bleibt, ist überschaubar. Aber es trifft mit voller Wucht genau die Unternehmen, die ein bestimmtes Problem haben. Dazu gleich mehr. Erst die Fakten.
Wo du aufatmen kannst
Die CSRD, die Nachhaltigkeitsberichtspflicht, war lange das Schreckgespenst für den Mittelstand. Seit Februar 2026 ist klar: Die EU hat die Schwellen drastisch angehoben. Berichten müssen nur noch Unternehmen mit mehr als 1.000 Mitarbeitern und mehr als 450 Millionen Euro Umsatz. Wenn du diesen Artikel liest, bist du damit höchstwahrscheinlich raus. Etwa 80 Prozent der ursprünglich betroffenen Unternehmen sind es. Was bleiben kann: Große Kunden fragen weiter nach Nachhaltigkeitsdaten, dafür gibt es jetzt einen freiwilligen, schlanken Standard. Das ist lästig, aber kein Pflichtprogramm mehr.
Ähnlich beim Lieferkettengesetz. Die Berichtspflicht entfällt, die Behörde prüft schon seit Herbst 2025 keine Berichte mehr. Die Sorgfaltspflichten selbst gelten weiter, sanktioniert werden aber nur noch schwere Verstöße. Auch hier: Entwarnung für die meisten.
Wer dir heute noch CSRD-Beratungspakete oder Lieferketten-Audits als Pflichtthema verkaufen will, arbeitet mit dem Stand von gestern. Das darfst du freundlich hinterfragen.
Was wirklich bleibt: NIS2
Anders sieht es bei der Cybersicherheit aus. Das deutsche NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft. Es betrifft rund 29.500 Unternehmen in 18 Sektoren, und zwar nicht nur Konzerne: Je nach Branche reichen 50 Mitarbeiter oder 10 Millionen Euro Umsatz. Betroffene Unternehmen mussten sich bis März 2026 beim BSI registrieren.
Die bemerkenswerte Zahl: Bis zum Fristende hatten sich nur etwa 11.500 registriert. Gut ein Drittel. Die übrigen sind nicht böswillig. Die meisten wissen schlicht nicht, ob sie betroffen sind, oder es fühlt sich niemand zuständig. Falls das bei dir offen ist: Die Betroffenheitsprüfung ist der erste Schritt, eine verspätete Registrierung ist möglich und besser als keine.
Inhaltlich verlangt NIS2 nichts Exotisches. Risikomanagement, Zugriffsrechte, Backups, Notfallpläne, Meldewege bei Vorfällen. Das ist solides IT-Handwerk. Ich habe über 20 Jahre in der IT gearbeitet, einen großen Teil davon als Fachbereichsleiter in der Softwareentwicklung. Was ich in dieser Zeit gelernt habe: An Dokumenten scheitert so etwas selten. Es scheitert daran, dass niemand benannt ist, der es lebt.
Was wirklich bleibt: die E-Rechnung
Der zweite Punkt mit Frist. Empfangen können musst du E-Rechnungen schon seit Anfang 2025. Spannend wird der Versand: 2026 ist das letzte volle Übergangsjahr. Ab Januar 2027 müssen Unternehmen mit mehr als 800.000 Euro Vorjahresumsatz ihre B2B-Rechnungen als echte E-Rechnung stellen, ab 2028 alle. Und ein PDF per Mail zählt nicht. Gemeint sind strukturierte Formate wie XRechnung oder ZUGFeRD.
Wenn dein Rechnungsprozess heute aus Word-Vorlage, PDF und Mail besteht, ist das kein Drama. Aber es ist ein Projekt mit Deadline, und die Deadline steht. Wer das im Herbst 2026 anfängt, macht es im Krisenmodus.
Dazu kommt der Posten ohne Projektcharakter: Der Mindestlohn liegt seit Januar bei 13,90 Euro, ab 2027 bei 14,60 Euro. Für personalintensive Betriebe ist das keine Compliance-Frage, sondern eine Kalkulationsfrage. Sie gehört in die Preisplanung für 2027, nicht in den Ordner mit den Vorschriften.
Das eigentliche Muster
Nimm die NIS2-Zahl noch einmal: Zwei Drittel der Betroffenen haben eine gesetzliche Frist verstreichen lassen. Nicht aus Trotz. Sondern weil in vielen Unternehmen niemand den Hut aufhat, wenn ein Thema quer zu allen Abteilungen liegt. Der Chef ist dann Geschäftsführung, Personalabteilung, Datenschutz und IT-Verantwortung in einer Person. Jede neue Vorschrift landet automatisch auf seinem Tisch, weil sie auf keinem anderen landen kann.
Genau das ist der Unterschied zwischen Unternehmen, die Regulierung verwalten, und Unternehmen, die sie erleiden. Die einen haben klare Verantwortlichkeiten und Abläufe, die auch ohne Zuruf über den Flur funktionieren. Dort wird NIS2 ein Projekt mit Namen, Termin und Budget. Die anderen rennen von Frist zu Frist, und jede neue Vorschrift wird zum Ausnahmezustand.
Die Pointe daran: Die Struktur, die dich compliancefähig macht, ist dieselbe, die dir die Einarbeitung neuer Leute erleichtert, die Übergabe von Verantwortung möglich macht und dein Unternehmen unabhängiger von dir macht. Regulierung ist nur der unsympathischste Anlass, sie endlich zu bauen.
Der ehrliche erste Schritt
Bevor du irgendetwas beauftragst: Finde heraus, wo dein Unternehmen strukturell steht. Welche Bereiche hängen komplett an dir? Wo gibt es benannte Verantwortliche, wo nur Gewohnheit? Dafür ist der Unternehmer System-Check gemacht. Zehn Bereiche, dreizehn Fragen, ungefähr drei Minuten. Das Ergebnis zeigt dir, welcher Bereich als erstes kippt, wenn die nächste Frist kommt.