Praxisguide

Unwissenheit schützt nicht – Cybersicherheit wird Chefsache

13. April 2026 /

Brüssel/Berlin. Die Frist ist verstrichen – für viele Unternehmen beginnt das Risiko jetzt. Bis zum 6. März 2026 hatte sich nur gut ein Drittel der rund 30.000 betroffenen Unternehmen beim BSI (Bundesamt für Sicherheit in der Informationstechnik) registriert. Der Grund hierfür ist häufig derselbe: Man hält sich schlicht nicht für betroffen. Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG), seit Dezember 2025 geltendes Recht, markiert eine Zäsur – Cybersicherheit wird zur Führungsaufgabe. Wer die Anforderungen ignoriert, gefährdet nicht nur die Firma, sondern auch das private Vermögen.

Code, Systeme, Verantwortung: NIS-2 verändert, wer im Ernstfall haftet. Foto: Jakub Zerdzicki / unsplash
Code, Systeme, Verantwortung: NIS-2 verändert, wer im Ernstfall haftet. Foto: Jakub Zerdzicki / unsplash
Der Domino-Effekt – Selbstprüfung statt Selbstberuhigung

„Wir sind zu klein“ oder „Das trifft nur kritische Infrastrukturen“ – das sind die beiden meistgehörten Sätze, wenn Unternehmer auf NIS-2 angesprochen werden. Beide können zutreffen. Dennoch kann die Pflicht greifen. Denn die EU-Regelung denkt nicht allein in Unternehmensgrößen, sondern auch in Lieferketten. Wer als Dienstleister oder Zulieferer für ein reguliertes Unternehmen tätig ist, gerät unabhängig von eigener Größe und Umsatz in die Nachweispflicht – nicht durch das Gesetz direkt, sondern durch den Auftraggeber. Vendor-Ratings großer Konzerne schließen NIS-2-Konformität bereits ein. Wer dort nicht liefern kann, fliegt raus. Damit wird IT-Sicherheit zu einer harten Bedingung für die Marktfähigkeit.

Die formale Grundregel ist klar: 18 definierte Sektoren – von Energie über Logistik bis Lebensmittel –, mindestens 50 Mitarbeiter oder 10 Millionen Euro Jahresumsatz. Das Gesetz macht Cybersicherheit zur persönlichen Aufgabe der Chefetage, die Risikomanagementmaßnahmen billigen und überwachen muss. Wer die bereits verstrichene Meldefrist beim BSI ignoriert hat, befindet sich nun unter aktiver Aufsicht. In dieser Phase bleibt säumigen Entscheidern oft nur noch der Weg einer proaktiven Nachregistrierung, um im Ernstfall den Vorwurf grober Fahrlässigkeit oder Vorsätzlichkeit zu entkräften.

Brüssel hat entschieden – Berlin setzt um: NIS-2 setzt neue Maßstäbe für Cybersicherheit. Foto: Guillaume Perigois / unsplash
Brüssel hat entschieden – Berlin setzt um: NIS-2 setzt neue Maßstäbe für Cybersicherheit. Foto: Guillaume Perigois / unsplash
Bußgeld oder Bonus – Verantwortung nicht mehr delegierbar

Was viele Führungsetagen noch nicht realisiert haben: NIS-2 adressiert nicht das Unternehmen als abstraktes Konstrukt, sondern die Person hinter dem Schreibtisch. Geschäftsführer haften persönlich – nicht das IT-Team, nicht der externe Dienstleister. Bei grober Fahrlässigkeit greift die Durchgriffshaftung: bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, dazu interne Regressansprüche. Wer Maßnahmen nicht persönlich billigt und deren Umsetzung überwacht, haftet im Ernstfall mit dem Privatvermögen. Das Gesetz zieht damit eine Parallele zur Arbeitssicherheit: Wer nachweislich nicht gehandelt hat, kann sich nicht hinter der juristischen Person der GmbH verstecken. Das Paradoxon dabei ist bemerkenswert – IT-Budgets werden in vielen Unternehmen gedeckelt, während das persönliche Haftungsrisiko des Vorstands spürbar wächst. Damit bleibt Cybersicherheit keine operative IT-Aufgabe mehr.

Was das konkret bedeutet: Schulungspflicht für die Geschäftsführung, dokumentiertes Risikomanagement nach zehn gesetzlichen Mindestanforderungen, ein funktionierender Meldeprozess für Sicherheitsvorfälle mit Fristen von 24 Stunden, 72 Stunden oder einem Monat. Ein Konzept auf dem Papier schützt nicht, sondern nur die belastbare Nachweisbarkeit im Prüfungsfall. Die Umsetzung verlangt strukturierte Prozesse, die weit über technische Einzelmaßnahmen hinausgehen.

NIS-2 im Alltag: Zwischen Planung, Umsetzung und Nachweisbarkeit. Foto: Eden Constantino / unsplash
NIS-2 im Alltag: Zwischen Planung, Umsetzung und Nachweisbarkeit. Foto: Eden Constantino / unsplash
Gap-Analyse – Compliance beginnt mit Klarheit

Die Registrierungsfrist ist abgelaufen – die Pflicht nicht. Viele Unternehmen haben die Tragweite der neuen Anforderungen noch nicht vollständig erfasst. Informationstechnik-Registrierung, belastbare Risikomanagementprozesse und funktionierende Meldewege sind keine optionalen Maßnahmen mehr, sondern bilden den operativen Kern der Regulierung. NIS-2 verlangt keine Perfektion zum Stichtag, aber nachweisbare Umsetzung im Prüfungsfall. Wer keine dokumentierte Gap-Analyse vorlegen kann – also den Abgleich zwischen Ist-Zustand und gesetzlichen Mindestanforderungen – oder Schulungsnachweise ignoriert, haftet im Ernstfall mit seinem Privatvermögen.

Fünf entscheidende Handlungsschritte:

  • Nachregistrierung (BSI-Portal, ELSTER-Zertifikat)
  • Quick Wins (sofortige Schutzwirkung: MFA, Backup, Passwortrichtlinien)
  • Reaktionsfähigkeit (24-Stunden-Meldefrist bei Sicherheitsvorfällen an das BSI)
  • Lieferkette (Sicherheitsstandards der Zulieferer, vertragliche Verankerung)
  • Geschäftsführung (Schulungsnachweis, Umsetzungsplan, Dokumentation)

Kurz gesagt: NIS-2 macht Cybersicherheit zur persönlichen Managementaufgabe. Was wirklich neu ist: gesetzliche Verbindlichkeit für einen deutlich größeren Unternehmenskreis, persönliche Haftung der Geschäftsführung sowie die explizite Pflicht, Wirksamkeit nachzuweisen und zu dokumentieren. Wer bisher nach dem Prinzip „haben wir irgendwie geregelt“ gearbeitet hat, stößt hier an eine harte Grenze. Ist Ihr Unternehmen bereits NIS-2-konform – oder steht die Geschäftsführung noch in der Haftungsfalle?

Gap-Analyse: Der Blick auf den tatsächlichen Umsetzungsstand und bestehende Lücken. Tabelle: Jana Kwiatkowski

www.bsi.bund.de

Das könnte dich ebenfalls interessieren

Recht kompakt – Juristische Fragen verständlich erklärt

13. Januar 2026

BFSG-Countdown: Barrierefreiheit wird gesetzlich verbindlich

1. November 2025
Symbolbild: Kreislauf statt Wegwerf – digitale Identität für Produkte, KI-generiert, © Christian Breier

Kreislaufwirtschaft per Chip – EU-Regulierung mit Sprengkraft

22. Februar 2026