Anfang Juli ist der natürliche Zeitpunkt für den Halbjahres-Blick: Was haben wir im H1-2026 erledigt, was steht im H2 verbindlich an, und wo lohnt es sich, Budget jetzt zu reservieren? Dieser Artikel ist eine pragmatische Bestandsaufnahme aus DATAZONE-Beratungspraxis — kein Trend-Report, sondern eine Liste konkreter Termine und Themen, die in der zweiten Jahreshälfte real beschäftigen werden.
EOL-Termine im Blick
Software- und Hardware-EOLs sind die unbestechlichste Komponente einer IT-Roadmap — die Termine stehen, der Umgang damit ist Planungssache.
Exchange 2019 — schon EOL
Wichtig zu wiederholen: Exchange Server 2019 hat das Mainstream- und Extended-Support-Ende bereits am 14. Oktober 2025 erreicht. Wer noch mit Exchange 2019 on-prem läuft (und das tun in unserer Beratungspraxis erstaunlich viele KMU), läuft seit fast neun Monaten ohne Sicherheitsupdates. Das ist nicht “wir migrieren bei Gelegenheit” — das ist akute Handlung erforderlich.
Optionen, geordnet nach Häufigkeit in unserer Beratungspraxis:
- Migration auf Microsoft 365 — der klassische Microsoft-Pfad. Lizenzkosten kalkulieren, Datensouveränität klären.
- Migration auf Exchange Server SE (Subscription Edition) — bleibt on-prem, aber Subscription-Modell mit laufenden Updates.
- Migration auf alternative Mail-Plattformen wie mailcow, Kopano, Stalwart — Open-Source-Wege mit deutlicher Kostendegression, aber Migrations-Aufwand.
Wer noch nicht gehandelt hat: unser Artikel zur Exchange-Ablösung mit ROI-Berechnung ist der Startpunkt.
Windows Server 2016 — EOL Oktober 2027
Windows Server 2016 (Mainstream und Extended) erreicht am 12. Januar 2027 das Ende des Extended Supports. Wir haben dazu einen eigenen Migrations-Artikel. Das gibt noch etwa 18 Monate — klingt nach viel, ist aber bei laufenden Hardware-Lebenszyklen, App-Migrationen und Proxmox/Hyper-V-Evaluationen eine knappe Frist.
H2-2026 ist der natürliche Zeitpunkt für:
- Bestandsaufnahme: Welche Workloads laufen noch auf 2016?
- Zielplattform-Entscheidung: 2022, 2025 oder Linux/Container?
- Hardware-Refresh-Planung, falls die 2016-Hosts gleichzeitig EOL gehen
- Pilotmigration eines unkritischen Workloads im Q3-2026, Hauptmigration im Q4 oder H1-2027
CentOS Stream 9 — Mai 2027
CentOS Stream 9 erreicht im Mai 2027 das End-of-Builds. Wer noch CentOS Stream 9 als Server-Basis fährt, sollte 2026 die Zielplattform-Entscheidung treffen: RHEL, AlmaLinux, Rocky Linux, Oracle Linux oder Debian/Ubuntu LTS. Migrations-Tools sind verfügbar; relevanter ist die strategische Entscheidung.
Hardware-EOL-Wellen 2026
Auf Hardware-Seite sehen wir in der Beratungspraxis:
- Servergenerationen 2018–2020 kommen ins typische 5-7-Jahre-Refresh-Fenster
- USV-Batterien aus 2019–2020 brauchen 2026 die zweite Batterietausch-Runde
- Switches mit 1-GbE-Backplane werden zunehmend zum Bottleneck — 100 GbE ist das neue 10 GbE bewegt sich vom Rechenzentrum in den KMU
- TrueNAS Mini X (alte Variante) ist EOL, R30/R40 ebenfalls — Hardware-Pläne anpassen
NIS2 — Umsetzungsfristen
NIS2 ist umzusetzen — das deutsche Umsetzungsgesetz NIS2UmsuCG ist Anfang 2026 in Kraft getreten. Die meisten Mittelständler sind jetzt in der konkreten Phase:
- Selbsteinstufung (wesentliche oder wichtige Einrichtung?) sollte bis Mitte 2026 erfolgt sein
- Risk-Management-Prozess dokumentieren und in Betrieb haben
- Vorfallsmeldungs-Prozess (24h Frühwarnung, 72h Meldung, 1 Monat Abschlussbericht) etablieren
- Lieferanten-Sicherheit dokumentieren und in Verträge aufnehmen
- Geschäftsleitungs-Schulung dokumentieren — die persönliche Haftung der Geschäftsführung ist neu
- Erste Audits stehen in einigen Branchen schon im H2-2026 an
Wer im H1 nicht angefangen hat, sollte jetzt die Selbsteinstufung machen und mit der Dokumentation beginnen. Eine vollständige NIS2-Umsetzung in drei Monaten ist nicht realistisch — aber ein dokumentierter Plan mit Meilensteinen ist verteidigbar.
CER-Richtlinie — kommt jetzt
Die CER-Richtlinie (Critical Entities Resilience) ist die physische Resilience-Komponente neben der Cyber-fokussierten NIS2. Das deutsche CER-Umsetzungsgesetz ist Stand Juli 2026 im Gesetzgebungsverfahren, mit Inkrafttreten ist im Lauf von H2-2026 zu rechnen.
Wir haben dazu einen eigenen Artikel — kurz zusammengefasst: Wer in einem der elf CER-Sektoren tätig ist (Energie, Verkehr, Bankwesen, Finanzmarkt, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum, Lebensmittel) und nicht ganz klein ist, sollte mit einer Einstufung als kritische Einrichtung rechnen.
H2-2026-Vorbereitung:
- Sektorale Selbsteinschätzung
- All-Hazards-Risk-Assessment (nicht nur Cyber)
- Resilience-Plan dokumentieren
- Notstrom-, Wasser- und Lieferketten-Resilience prüfen
TrueNAS 26 GA — Q3 oder Q4 2026
TrueNAS 26 Halfmoon ist Stand Juli 2026 in Beta 2 (17. Juni 2026). Mit der typischen iX-Kadenz erwarten wir den GA-Release im Spätsommer oder Frühherbst, Enterprise-Variante einige Wochen später.
Für H2-2026 bedeutet das:
- Neue Installationen in den ersten Wochen H2 mit TrueNAS 25.10 Goldeye starten, In-Place-Update auf 26 später
- Bestehende Enterprise-Installationen auf 26 Enterprise warten, kein Beta-Druck
- Hardware-Refresh-Bestellungen zeitlich auf das GA-Fenster ausrichten — der Konfigurator passt sich an, sobald iX die finale Spec freigibt
Proxmox VE 9.x Roadmap
Proxmox VE 9.0 ist seit 2025 in Produktion. Für H2-2026 erwarten wir:
- Proxmox VE 9.2 oder 9.3 als Wartungs-Release
- Proxmox Backup Server 4.1 oder höher (Stand H1-2026 ist 4.0/4.1 freigegeben)
- Live-Migration- und Cluster-Features werden in jeder Minor-Release inkrementell besser
Wer noch auf Proxmox VE 7.x oder 8.x ist, sollte die Migration auf 9.x in H2-2026 planen — die 8.x-Linie ist im erweiterten Support, aber 9.x bekommt die neuen Features.
IT-Budget 2027 — jetzt planen
Eine ehrlich-strategische Realität: Budgets für 2027 werden in vielen KMU im Q3-2026 festgezurrt. Wer im Q4 noch große Posten reinverhandeln muss, hat schlechte Karten.
Themen, die für die 2027er-Budget-Planung jetzt evaluierbar sein müssen:
- Hardware-Refresh für die 2018–2020er-Servergeneration
- Lizenz-Wellen: VMware-vSphere-Verlängerung oder Migration auf Proxmox; Microsoft 365 vs. on-prem; Exchange SE oder Alternative
- Backup-Infrastruktur: brauchen wir mehr Kapazität, ein zweites Offsite-Ziel, Immutable-Layer?
- NIS2/CER-Compliance: Wie viel externe Beratung, wie viel interne Schulung?
- Cyberversicherung: Prämien steigen weiter, Anforderungen an Sicherheitsniveau auch
- Cloud vs. on-prem-Bewertung — siehe Cloud-Repatriation
Sommer-Patch-Wellen
Patch-Tuesdays im Juli und August sind historisch oft groß — die Kombination aus “Reststack vor Sommerpause” und “schnellfließenden CVE-Fixes” produziert große Update-Pakete. Erwartet:
- Microsoft-Patch-Tuesdays Juli/August: typischerweise 50–100 CVEs
- Linux-Kernel-LTS-Updates mit gesammelten Security-Fixes
- OPNsense-Sommerrelease (typischerweise Juli mit OPNsense 26.7 oder vergleichbar)
- Browser-Updates mit Zero-Day-Fixes
Patch-Strategie für H2-2026: nicht freezen, aber priorisieren. Sicherheitspatches mit hoher CVSS rein, Feature-Patches verzögern. Wer Patch-Management an einen Dienstleister abgegeben hat, kann sich auf strategische Themen konzentrieren.
DSGVO-Stand-der-Technik — turnusgemäße Bewertung
“Stand der Technik” ist kein Zustand, sondern eine bewegliche Linie. Was 2023 Stand der Technik war, ist 2026 nicht mehr automatisch ausreichend. Konkret für H2-2026:
- Passwort-Politik: Sind Passkeys oder MFA überall, wo es sinnvoll ist?
- Verschlüsselung at rest: Sind kritische Datasets verschlüsselt, mit Key-Management?
- Logging & Monitoring: Wer hat wann was getan — auditierbar?
- Backup-Resilience: Immutable-Layer aktiv? Test-Restore dokumentiert?
- Lieferanten-Bewertung: Sind die Sub-Auftragsverarbeiter aktuell?
Die jährliche DSGVO-Stand-der-Technik-Bewertung ist ein Routine-Punkt, der oft hinter Compliance-Pflichten verschwindet — aber bei Vorfällen ist es genau diese Dokumentation, die die Aufsichtsbehörde sehen will.
Checkliste H2-2026
Eine 12-Punkte-Checkliste zum Mitnehmen:
- Exchange-2019-Migrationsplan aktualisiert oder umgesetzt
- Windows-Server-2016-Bestandsaufnahme abgeschlossen, Migrationsplan dokumentiert
- CentOS-Stream-9-Zielplattform-Entscheidung getroffen
- NIS2-Selbsteinstufung erledigt und dokumentiert
- NIS2-Vorfallsmeldungs-Prozess geübt (mindestens Tabletop)
- CER-Sektoreneinschätzung gemacht (wenn relevant)
- TrueNAS-Upgrade-Pfad auf 26 mit Hardware-Refresh abgestimmt
- Proxmox-9.x-Migrationsplan für ältere Hosts
- IT-Budget 2027 — Hardware, Lizenzen, Compliance, Cyberversicherung
- Backup-Test im letzten Quartal aktuell und erfolgreich
- DSGVO-Stand-der-Technik-Bewertung aktuell
- Patch-Tuesday-Routine für H2 definiert
DATAZONE-Empfehlung
H2-2026 wird kein ruhiges Halbjahr — die Kombination aus Compliance-Wellen, EOL-Terminen und realer Hardware-Refresh-Last sorgt für viele parallele Themen. Wer jetzt eine sortierte H2-Roadmap baut, kommt entspannter durch.
Drei pragmatische Prioritäten, die wir aus Beratungspraxis empfehlen:
- Exchange-2019-Risiko schließen — wer noch nicht migriert hat, hat akute Handlung zu erledigen
- NIS2-Dokumentation auf Stand bringen — Audits kommen, die Dokumentation muss verteidigbar sein
- Hardware-Refresh + TrueNAS-26-GA-Fenster koordinieren — Bestellungen jetzt timen, damit beides zusammenpasst
Wir bei DATAZONE bieten H2-Strategie-Workshops an — ein Tag intern, Bestandsaufnahme, Priorisierung, dokumentierter Plan. Wer das Halbjahr ohne Notbremsen durchziehen will, profitiert davon mehr als von einem weiteren Tool.
Quellen und weiterführende Artikel
- NIS2 Pflichten für den Mittelstand
- CER-Richtlinie Resilience für den Mittelstand
- Windows Server 2016 End of Life Migration
- Microsoft Exchange ablösen — ROI für KMU
- TrueNAS 26 Beta 2 Status
- Cloud-Repatriation für KMU
- Immutable Backups gegen Ransomware
Wer das H2-Strategie-Gespräch vorbereiten will: gerne Termin vereinbaren — wir bringen die Checkliste mit.
Weitere Artikel
TrueNAS HA: Wann lohnt sich der Dual-Controller?
Hochverfügbarkeit per Dual-Controller ist bei TrueNAS nicht trivial — weder im Preis noch im Konzept. Wann sich HA wirklich lohnt, was es nicht löst und wann zwei Single-Controller-Systeme die bessere Wahl sind.
Cyberversicherung 2026: Was Versicherer von KMU fordern
Versicherer verlangen 2026 immer detailliertere Mindeststandards — MFA überall, dokumentiertes Patch-Management, EDR, Immutable-Backups, Schulungen, Incident-Response-Plan, Segmentierung. Was im Fragebogen vor Abschluss steht und worauf im Schadensfall geprüft wird.
Backup-Verschlüsselung: Schlüsselverwaltung richtig
Verschlüsselte Backups sind nutzlos, wenn die Schlüsselverwaltung nicht stimmt. Symmetrisch vs. asymmetrisch, Tresor-Optionen, Rotation, Recovery-Szenarien und die Tool-Praxis bei PBS, Restic und TrueNAS.