NIS-2-Serie · Teil 1 · Haftung
NIS-2 (Teil 1): Wenn die Geschäftsführung persönlich haftet
Cybersicherheit ist nicht länger eine Frage der IT-Abteilung. Mit NIS-2 wird sie gesetzlich zur Chefsache — mit persönlicher Haftung.
Es ist einer der größten Eingriffe der EU in die Cybersicherheit der Wirtschaft seit der DSGVO — und kaum ein Mittelständler hat ihn auf dem Schirm. NIS-2 erweitert den Kreis der betroffenen Unternehmen von rund 6.000 auf rund 29.500 und verankert erstmals klar: Verantwortlich ist die Geschäftsleitung. Persönlich.
Was NIS-2 ist — und warum es jetzt drängt
NIS-2 ist eine Richtlinie der Europäischen Union zur Netz- und Informationssicherheit — die Antwort des EU-Gesetzgebers auf die stark gestiegene Bedrohung durch Cyberangriffe, bereits im Januar 2023 in Kraft getreten. Deutschland hat sie mit dem NIS-2-Umsetzungsgesetz (NIS2UmsuCG) umgesetzt: Der Bundestag beschloss es im November 2025, seit dem 6. Dezember 2025 ist es in Kraft — ohne Übergangsfrist. Kernstück ist eine Änderung des BSI-Gesetzes. Wer betroffen ist, steht damit bereits in der Pflicht: Die erste Registrierungsfrist beim BSI ist im März 2026 schon abgelaufen.
Wer betroffen ist: aus 6.000 werden rund 29.500
Der Anwendungsbereich wächst massiv. Drei Gruppen geraten neu oder verschärft in die Pflicht:
🏭 Betreiber kritischer Anlagen
Die klassischen KRITIS-Sektoren — Energie, Transport, Finanzwesen, Gesundheit. Sie kennen ihre Pflichten meist schon.
🏢 Große Unternehmen
Einrichtungsarten der neuen Anlage 1, u. a. digitale Infrastruktur, Rechenzentren und Cloud-Anbieter.
⚙️ Mittlere Unternehmen
KMU bestimmter Einrichtungsarten — darunter Maschinen- und Fahrzeugbau. Das Rückgrat der deutschen Wirtschaft.
„Bei den knapp 30.000 wird es nicht bleiben. Über die Lieferkette kommen die Anforderungen per Fragebogen auch bei Unternehmen an, die sich bislang gar nicht betroffen fühlten.“
— Torben Bues, Informationssicherheits-Auditor
Genau hier liegt der unterschätzte Hebel: Betroffene Unternehmen müssen die Sicherheit ihrer Lieferkette vertraglich absichern. Wer als Zulieferer die ausgefüllten Sicherheits-Fragebögen nicht liefern kann, fällt als Geschäftspartner aus. NIS-2 wirkt damit weit über den gesetzlichen Anwendungsbereich hinaus — und wird für gut aufgestellte Unternehmen zum Wettbewerbsvorteil.
Die Pflichten: Risikomanagement, Registrierung, Meldung
Herzstück sind geeignete und verhältnismäßige Risikomanagement-Maßnahmen. Das Gesetz gibt dafür einen Katalog von Mindeststandards vor, der in jedem Fall umzusetzen ist:
✓ Risikoanalysen und Sicherheitskonzepte
✓ Bewältigung von Sicherheitsvorfällen (Incident Response)
✓ Aufrechterhaltung des Betriebs — Backup-Management, Notfall- und Krisenmanagement
✓ Schulung und Sicherheit des Personals
✓ Sicherheit in der Lieferkette — klare vertragliche Abreden mit Dienstleistern
Hinzu kommen zwei formale Pflichten mit knappen Fristen: Betroffene Unternehmen müssen sich binnen drei Monaten bei der zuständigen Behörde registrieren — und niemand schreibt sie dazu an. Die Prüfung der eigenen Betroffenheit ist Bringschuld. Und im Ernstfall greift eine Meldepflicht: Die Erstmeldung eines erheblichen Sicherheitsvorfalls ist spätestens nach 24 Stunden abzusetzen.
Bußgelder bis 10 Mio. € — und die persönliche Haftung
Der Bußgeldrahmen orientiert sich künftig an der DSGVO: bis zu 10 Mio. Euro oder 2 % des weltweiten Vorjahresumsatzes. Behörden erhalten erweiterte Aufsichtsrechte — Vorkontrollen, Audits und regelmäßige Sicherheitsüberprüfungen. Entscheidend ist aber ein zweiter Punkt: NIS-2 verankert den Grundsatz „Cybersicherheit ist Chefsache“ erstmals konkret im Gesetz.
„Die Risikomanagement-Maßnahmen waren immer schon Aufgabe der Geschäftsleitung. Neu ist, dass dies jetzt gesetzlich verankert ist — und die Haftung eine deutlich größere Rolle spielt.“
— Isabel Bulender, Fachanwältin für IT-Recht, KSB Intax
Business Judgement Rule: Haftung ja — aber mit Spielraum
Die gute Nachricht: NIS-2 überlagert die bestehende gesellschafts- und zivilrechtliche Haftung nicht. Es bleibt bei den bekannten Standards — und damit bei der Business Judgement Rule. Wer eine Entscheidung auf Basis angemessener Information und zum Wohl des Unternehmens trifft, handelt haftungsfrei, auch wenn sie sich im Nachhinein als falsch erweist.
Eine Ausnahme ist allerdings entscheidend: Die Mindeststandards sind nicht verhandelbar. Beim „Ob“ der Umsetzung schrumpft der Ermessensspielraum auf null. Frei ist die Geschäftsführung erst wieder beim „Wie“ — also wie passgenau und in welchem Umfang sie die Standards etabliert. Dort gilt wieder das Abwägen von Chancen und Risiken.
Delegieren ja — aber richtig
Niemand muss sich als Geschäftsführer um jede technische Einstellung selbst kümmern. Delegation ist möglich und sogar wesentlicher Teil haftungsfreien Handelns — horizontal an Mit-Geschäftsführer wie vertikal an Fachverantwortliche. Zwei Grenzen bleiben aber bestehen:
01 Auswahlverschulden vermeiden — Die beauftragte Person muss fachlich und organisatorisch geeignet sein. Wer die IT-Sicherheit an die HR-Leitung gibt, hat schon bei der Auswahl gefehlt.
02 Überwachungspflicht erfüllen — „Laufen lassen“ gilt nicht. Es bleibt eine Residualverantwortung: Reporting einfordern, Grundkenntnis aufbauen, nachjustieren, wenn etwas nicht passt.
Neu: Die Geschäftsführung muss sich selbst schulen
Ein Detail, das in der Praxis oft übersehen wird: NIS-2 verpflichtet nicht nur das Personal zur Schulung, sondern die Geschäftsleitung selbst. Wer überwachen soll, muss das Thema verstehen. Die Gesetzesbegründung konkretisiert das: Schulungen mindestens alle drei Jahre, mit Inhalten und Umfang, zu denen das BSI eine Handreichung veröffentlicht hat. Ein 30-Minuten-Webinar nebenbei genügt nicht — gefragt ist etwa ein halber Tag, und im Haftungsfall ist die Teilnahme nachzuweisen.
In Zusammenarbeit mit
KSB Intax · Recht trifft Informationssicherheit
Die rechtliche Einordnung in diesem Beitrag entstand gemeinsam mit der Kanzlei KSB Intax (Hannover, Celle, Lüneburg) — einem Team aus Rechtsanwälten, Wirtschaftsprüfern, Steuerberatern und Notaren. Fachanwältin für IT-Recht Isabel Bulender und Dr. Björn Bogner begleiten Unternehmen bei Haftungs-, Vertrags- und Compliance-Fragen rund um NIS-2. Recht und Informationssicherheit aus einer Hand — genau die Kombination, die NIS-2 verlangt.
Zur Kanzlei →Weiterführende Informationen
NIS-2 und das BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Aufsichts- und Meldebehörde für NIS-2 und stellt Orientierung zu Betroffenheit, Pflichten und Meldewegen bereit.
Zum BSI-Artikel →Kostenloser Selbsttest
NIS-2-Betroffenheits-Check (PDF)
Prüfen Sie in vier Schritten selbst, ob und in welchem Umfang NIS-2 Ihr Unternehmen erfasst — mit Auswertungsmatrix, Pflichtenüberblick und den wichtigsten Fristen auf einen Blick.
Betroffenheits-Check herunterladen (PDF) ↓Das ganze Gespräch ansehen
Video laden
Mit dem Laden bauen Sie eine Verbindung zu YouTube (Google, USA) auf; dabei werden Daten übertragen. Erst nach Ihrem Klick wird das Video geladen.
Weiterlesen: Sie wissen, dass Sie betroffen sind — aber nicht, wo Sie anfangen sollen? Unser zweiter Teil liefert den pragmatischen Fahrplan zur Umsetzung: NIS-2 umsetzen (Teil 2) — der Fahrplan für den Mittelstand.
Sind Sie von NIS-2 betroffen?
Die Prüfung der eigenen Betroffenheit ist Ihre Bringschuld — und der erste Schritt. In einem kurzen Gespräch ordnen wir Ihre Situation ein und zeigen, was als Nächstes zu tun ist.