Rund 30.000 Unternehmen. Mehr als zwei Milliarden Euro einmalige Umsetzungskosten. Und erstmals klar geregelte Pflichten für Vorstände und Geschäftsführer. Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz hat Deutschland Ende 2025 die europäische Cybersicherheitsrichtlinie umgesetzt. Übergangsfristen gibt es nicht – die Pflichten greifen unmittelbar.
Mehr als sechsmal so viele Unternehmen wie bisher fallen damit unter verbindliche IT-Sicherheitsanforderungen in insgesamt 18 regulierten Wirtschaftssektoren: von Energie und Gesundheit über Lebensmittelproduktion und Maschinenbau bis zu Managed Service Providern.
Die entscheidende Botschaft für Entscheider: Cybersicherheit ist nicht länger allein eine Aufgabe der IT-Abteilung. Die europäische NIS2-Richtlinie verpflichtet ausdrücklich die Unternehmensleitung, Risikomanagement und Sicherheitsmaßnahmen zu genehmigen sowie deren Umsetzung zu überwachen. Damit wird eine Verantwortung konkretisiert, die sich gesellschaftsrechtlich bereits aus der allgemeinen Organisationspflicht von Vorständen und Geschäftsführern ergibt. Wer sie vernachlässigt, haftet persönlich gegenüber dem Unternehmen, im Zweifel ohne D&O-Schutz.
Parallel entsteht auf europäischer Ebene ein breiteres Regulierungssystem. Neben NIS2 treten der Digital Operational Resilience Act (DORA) für den Finanzsektor sowie der Cyber Resilience Act (CRA) für Hersteller digitaler Produkte in Kraft. Zusammen mit weiteren Initiativen wie dem beschlossenen KRITIS-Dachgesetz entsteht eine neue Phase europäischer Cyberregulierung, die für Führungskräfte eine neue Qualität von Verantwortung schafft.
WER FÄLLT ÜBERHAUPT UNTER DAS GESETZ?
NIS2 unterscheidet zwei Kategorien regulierter Organisationen: „besonders wichtige“ und „wichtige“ Einrichtungen. Maßgeblich sind dabei Größe und Sektorzugehörigkeit. Besonders wichtige Einrichtungen sind in der Regel größere Unternehmen in kritischen Bereichen wie Energie, Gesundheit, Transport oder digitaler Infrastruktur. Wichtige Einrichtungen beginnen häufig bereits ab rund 50 Beschäftigten oder zehn Millionen Euro Jahresumsatz, etwa im Maschinenbau, in der Lebensmittelproduktion, der Chemieindustrie oder der Abfallwirtschaft. Unabhängig von ihrer Größe können Betreiber kritischer Infrastrukturen ebenfalls unter die strengere Kategorie fallen.
Gerade in Konzernstrukturen ist die Einordnung komplex. IT-Dienstleister innerhalb von Unternehmensgruppen, Holdings oder Managed Service Provider können eigenständig reguliert sein. Auch wer formal unter den Schwellenwerten liegt, spürt NIS2 indirekt. Denn regulierte Unternehmen müssen Sicherheitsnachweise von ihren Zulieferern und Dienstleistern einfordern. NIS2-Compliance wird damit zum Auftragskriterium.
Unternehmensleitungen müssen daher zunächst klären, ob und in welcher Kategorie das eigene Unternehmen fällt — in Konzernen jede Gesellschaft einzeln. Zudem bestehen Registrierungsund Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI), deren Missachtung mit empfindlichen Bußgeldern geahndet werden kann.
DAS ENDE DER DELEGATION
Die NIS2-Richtlinie verpflichtet die Leitungsebene ausdrücklich, die wesentlichen Maßnahmen des Cyber-Risikomanagements zu billigen und deren Umsetzung persönlich zu überwachen. Dazu gehören unter anderem Sicherheitsstrategien, Verfahren zur Behandlung von Sicherheitsvorfällen sowie Konzepte zur Aufrechterhaltung des Geschäftsbetriebs im Krisenfall.
Zudem müssen Mitglieder der Geschäftsleitung regelmäßige Schulungen wahrnehmen. Ziel ist es, dass strategische Entscheidungen zur Cybersicherheit nicht ausschließlich auf technischer Ebene getroffen werden. Rechtlich knüpft diese Pflicht an bestehende gesellschaftsrechtliche Grundsätze an. Vorstände und Geschäftsführer haften bei Pflichtverletzungen grundsätzlich gegenüber ihrer Gesellschaft, wenn sie ihre Organisations- und Überwachungspflichten verletzen.
Für Unternehmen selbst können Verstöße gegen zentrale Pflichten mit erheblichen Bußgeldern geahndet werden – in schweren Fällen mit bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. D&O-Versicherungen können bei fahrlässigen Pflichtverletzungen greifen, nicht jedoch bei Vorsatz und nicht bei Bußgeldern. Die Deckung sollte also dringend auf Cyber-Risiken geprüft werden.
DIESE ZENTRALEN MASSNAHMEN SIND JETZT PFLICHT
NIS2 verlangt ein strukturiertes Risikomanagement für Cybersicherheit. Zu den zentralen Elementen gehören unter anderem Risikoanalysen, Sicherheitsrichtlinien, Verfahren zum Umgang mit Sicherheitsvorfällen, Notfall- und Wiederherstellungspläne, Maßnahmen zur Absicherung der Lieferkette sowie technische Schutzmechanismen wie Zugangskontrollen und Multi-Faktor-Authentifizierung. Auch regelmäßige Schulungen für Beschäftigte gehören dazu, da menschliche Fehler weiterhin zu den häufigsten Ursachen von Sicherheitsvorfällen zählen.
Viele Unternehmen orientieren sich bei der Umsetzung an etablierten Standards wie einem Informationssicherheits-Managementsystem nach ISO/IEC 27001. Wer regulatorische Anforderungen aus NIS2, DORA und dem Cyber Resilience Act frühzeitig gemeinsam betrachtet, kann Doppelstrukturen vermeiden und Compliance-Aufwand reduzieren.
24 STUNDEN ZEIT – NICHT MEHR
NIS2 schreibt ein dreistufiges Meldepflichtregime vor: erste Frühwarnmeldung an das BSI binnen 24 Stunden nach Bekanntwerden eines erheblichen Vorfalls. Nach 72 Stunden folgt ein Zwischenbericht mit erster Bewertung. Innerhalb eines Monats ist ein Abschlussbericht fällig.
Diese Fristen sind nur einzuhalten, wenn Krisenstab, Kommunikationswege und Zuständigkeiten bereits im Vorfeld definiert und Meldeprozesse zum BSI geübt wurden. Eine verspätete oder unterlassene Meldung ist ein eigenständiger Bußgeldtatbestand und kann mit bis zu zwei Millionen Euro geahndet werden.
NEUE REALITÄT FÜR DAS MANAGEMENT
NIS2 ist kein IT-Projekt, das man beauftragen und abhaken kann. Es ist eine Frage der unternehmerischen Sorgfaltspflicht. Und die ersten Durchsetzungsfälle werden Maßstäbe setzen – für Bußgeldhöhen und für die persönliche Haftung von Führungskräften. Wer jetzt strukturiert vorgeht, schützt nicht nur das Unternehmen – sondern auch sich selbst.
