NIS2 – Neue Cybersicherheitspflichten für Unternehmen und Führungskräfte

Die digitale Sicherheit rückt in Europa stärker denn je in den Fokus. Mit der NIS2-Richtlinie (Network and Information Security 2) gelten seit kurzem deutlich verschärfte Anforderungen an die IT-Sicherheit vieler Unternehmen. Deutschland hat NIS2 zum 6. Dezember 2025 ohne Übergangsfrist in nationales Recht überführt. Was bedeutet das für Unternehmen und insbesondere für die Geschäftsleitung? In diesem Beitrag erhalten Geschäftsführer*innen, Vorstände und andere Top-Entscheider einen verständlichen Überblick: Was ist NIS2, wen betrifft es und welche neuen Pflichten ergeben sich daraus?

Was ist NIS2?
NIS2 ist eine EU-Richtlinie, die ein einheitlich hohes Niveau an Cybersicherheit in der Wirtschaft und öffentlichen Verwaltung sicherstellen soll. Sie wurde 2022 auf EU-Ebene verabschiedet und löst die ältere NIS1-Richtlinie ab. Erstmals werden branchenübergreifend klare Mindeststandards für die Informationssicherheit festgelegt – von technischen Schutzmaßnahmen bis hin zu organisatorischen Prozessen. Ziel ist es, Europa besser gegen die wachsende Bedrohung durch Cyberangriffe, Datendiebstahl und Sabotage zu wappnen. Die Richtlinie adressiert insbesondere Unternehmen, deren Ausfall die kritische Versorgung oder die öffentliche Sicherheit beeinträchtigen könnte, weitet aber den Kreis der Verpflichteten weit über die klassischen Kritische-Infrastruktur-Betreiber hinaus aus.

Wen betrifft die NIS2-Richtlinie?
Während bislang in Deutschland nur rund 2.000–3.000 Betreiber kritischer Infrastrukturen (z.B. große Energieversorger, Telekommunikation, Gesundheitswesen) reguliert waren, erfasst NIS2 nun schätzungsweise 30.000 Unternehmendirekt. Der Geltungsbereich wurde erheblich erweitert. Betroffen sind neben kritischen Sektoren (Anlage 1 des Gesetzes, z.B. Energie, Gesundheit, Finanzwesen, Digital-Infrastruktur, Transport, Trinkwasser) auch zahlreiche weitere wichtige Sektoren (Anlage 2, z.B. Post- und Kurierdienste, Abfallwirtschaft, Lebensmittelerzeugung, Hersteller in bestimmten Industriezweigen, Forschungsstellen und mehr).

Größenschwellen: Entscheidend ist neben der Branche auch die Unternehmensgröße. Als „besonders wichtige Einrichtung“ (im EU-Jargon „wesentliche Einrichtung“) gilt, wer in einen Anlage 1-Sektor fällt und über 250 Beschäftigte oder mehr als 50 Mio. € Jahresumsatz und 43 Mio. € Bilanzsumme hat. „Wichtige Einrichtungen“ (EU: „wichtige Einrichtung“) sind etwas kleiner: bereits ab 50 Mitarbeiter*innen oder 10 Mio. € Umsatz/Bilanzsumme in den genannten Branchen greift NIS2. Damit sind nicht nur Großkonzerne betroffen, sondern auch viele Mittelständler. Geschätzt summiert sich der indirekte Effekt auf bis zu 150.000 weitere Firmen, wenn man Lieferanten und Dienstleister in der Wertschöpfungskette mit einbezieht – denn viele Auftraggeber werden von ihren Partnern NIS2-konformes Sicherheitsniveau verlangen.

Seit wann gilt NIS2 in Deutschland?
Das deutsche NIS2-Umsetzungsgesetz („Gesetz zur Umsetzung der NIS-2-Richtlinie…“) wurde am 5. Dezember 2025 im Bundesgesetzblatt verkündet und ist am 6. Dezember 2025 in Kraft getreten. Wichtig für die Praxis: Es gibt keine allgemeine Übergangsfrist. Die Pflichten gelten sofort. Unternehmen können sich also nicht mehr darauf berufen, man warte noch auf klare Regeln – diese liegen nun vor und sind verbindlich. Sofortiger Handlungsbedarf ist geboten, um die Anforderungen zeitnah zu erfüllen und Sanktionen zu vermeiden.

Erst registrieren, dann sichern:
Ein zentrales neues Element ist die Registrierungspflicht beim BSI (Bundesamt für Sicherheit in der Informationstechnik). Jedes betroffene Unternehmen muss sich beim BSI in einem zentralen Portal anmelden. Dies erfolgt zweistufig: Zuerst legt man über „Mein Unternehmenskonto“ (mit BundID/ELSTER-Zertifikat) seine Unternehmensdaten an, anschließend – voraussichtlich ab Anfang Januar 2026 (das BSI-Portal soll um den 6.1. herum freigeschaltet werden) – erfolgt die eigentliche Registrierung im NIS2-Unternehmensportal. Für „besonders wichtige Einrichtungen“ gilt eine Frist von 3 Monaten (also ca. bis Anfang März 2026), „wichtige Einrichtungen“ sollen sich unverzüglich registrieren (praktisch: möglichst schnell nach Portalstart). Wer dieser Meldepflicht nicht nachkommt, begeht bereits einen Gesetzesverstoß.

Welche Pflichten schreibt NIS2 vor?
Nach der Registrierung hört die Arbeit keineswegs auf – sie fängt erst an. NIS2 verpflichtet Unternehmen zu einem systematischen IT-Risikomanagement und umfassenden Sicherheitsmaßnahmen. Konkret müssen betroffene Organisationen „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ ergreifen, um Risiken für Netz- und Informationssysteme zu beherrschen. Das klingt abstrakt, ist im Gesetz aber weiter präzisiert: § 30 BSIG (im novellierten BSI-Gesetz) nennt zehn Themenbereiche, die abgedeckt sein müssen. Dazu zählen unter anderem:

• Risikoanalysen und Sicherheitskonzepte: Unternehmen müssen regelmäßige Risikoanalysen durchführen und darauf basierende Sicherheitsstrategien und -richtlinien vorweisen können.

• Incident Response (Vorfallsmanagement): Verfahren zur Erkennung, Meldung und Behandlung von Sicherheitsvorfällen müssen etabliert sein. Im Ernstfall muss klar sein, wer was tut, um Schäden einzudämmen.

• Business Continuity und Backups: Konzepte für Notfallbetrieb und Wiederherstellung (etwa Daten-Backups, Notfallpläne) sind verpflichtend, um den Geschäftsablauf bei Cyberattacken oder IT-Pannen aufrechtzuerhalten.

• Lieferkettensicherheit: Unternehmen müssen auf die Sicherheit von Dienstleistern und Zulieferern achten. Das beinhaltet z.B. vertragliche Sicherheitsanforderungen an IT-Dienstleister oder Software-Lieferanten (Stichwort:Security by Design in zugekaufter Software).

• Sichere Entwicklung und Wartung: Bei eigenen IT-Systemen und Produkten ist “Security by Design und by Default” gefordert. Auch müssen Unternehmen Schwachstellen-Management betreiben – also bekannte Sicherheitslücken zeitnah schließen und entsprechende Updates einspielen.

• Überprüfung der Wirksamkeit: Es reicht nicht, Sicherheitsmaßnahmen einmal einzuführen – deren Wirksamkeit ist regelmäßig zu evaluieren. Das kann durch interne Audits, Penetrationstests oder Zertifizierungen geschehen.

• Cyberhygiene und Schulung: NIS2 betont die Sicherheitskultur im Unternehmen. Dazu gehört einerseits Cyberhygiene – also grundlegende Maßnahmen wie regelmäßige Software-Updates, Patch-Management, Zugriffskontrollen – und andererseits Pflichtschulungen: Mitarbeitende (insbesondere mit kritischen Aufgaben) sind regelmäßig in IT-Sicherheit zu schulen.

• Kryptografie und Zugangsschutz: Einsatz angemessener Kryptographie (Verschlüsselung) zum Schutz von Daten sowie strenge Zugangskontrollen (z.B. Multi-Faktor-Authentifizierung für sensible Systeme) sind vorgeschrieben. Auch das physische Sicherheitsniveau (Schutz vor Einbruch, Serverraum-Zutritt etc.) soll adressiert werden.

• Asset-Management: Unternehmen müssen wissen, welche IT-Assets (Geräte, Systeme, Software) sie besitzen und schützen müssen, und sicherstellen, dass Personal mit sensiblen Positionen zuverlässig ist (Personalsicherheit).

• Sichere Kommunikation: Auch die kommunikativen Prozesse sollen sicher gestaltet sein – von geschützten Kanälen für interne Kommunikation bis zur Krisenkommunikation im Ernstfall.

Diese Liste zeigt: NIS2 verlangt ein ganzheitliches Sicherheitskonzept. Technische IT-Sicherheit (wie Firewalls, Antivirus etc.) reicht alleine nicht – es geht ebenso um Prozesse, Menschen und Governance. Für viele Mittelständler bedeutet das einen erheblichen Nachholbedarf, da derartige systematische Ansätze bisher oft nur in Großunternehmen oder stark regulierten Branchen üblich waren.

Verantwortung der Geschäftsleitung:
Bemerkenswert und neu ist, dass NIS2 die Pflicht zur Cybersicherheit explizit zur Chefsache erklärt. Wörtlich schreibt das Gesetz vor, dass die Geschäftsleitung verantwortlich ist für die Umsetzung und Überwachung der vorgeschriebenen Maßnahmen. Das bedeutet: Vorstände, Geschäftsführer*innen und sogar Verwaltungsräte im öffentlichen Sektor können sich nicht mehr darauf berufen, IT-Sicherheit an die IT-Abteilung „delegiert“ zu haben. Die oberste Führungsebene muss sich persönlich vergewissern, dass angemessene Sicherheitsvorkehrungen existieren und funktionieren. Dazu gehört auch, regelmäßig Berichte einzuholen, Ressourcen bereitzustellen und gegebenenfalls priorisierend einzugreifen.

Um sicherzustellen, dass dies gelingt, fordert NIS2 von jedem Mitglied der Geschäftsleitung zudem eine Schulungspflicht in IT-Sicherheit. Diese Weiterbildung muss regelmäßig erfolgen. Ein gesetzliches Minimum von mindestens 4 Stunden alle 3 Jahre wurde diskutiert; das BSI empfiehlt in einer Handreichung sogar jährliche Schulungen, da das Thema sehr komplex und dynamisch ist. In der Schulung sollen Führungskräfte lernen, Risiken zu erkennen und bewerten zu können, die Grundprinzipien des Informationssicherheits-Managements zu verstehen sowie die Auswirkungen von Cyber-Risiken auf ihr Unternehmen einschätzen zu können. Anders gesagt: Ein Geschäftsführer muss kein IT-Experte werden, aber er soll informierte Entscheidungen treffen können und die Sprache der IT-Sicherheit sprechen lernen.

Meldepflicht für Sicherheitsvorfälle:
Eine weitere Kernpflicht unter NIS2 ist die Verpflichtung, schwerwiegende IT-Sicherheitsvorfälle an die Behörden zu melden. Unternehmen müssen künftig bei Cyberangriffen nicht nur ihre eigenen Schadenbegrenzungsmaßnahmen ergreifen, sondern auch sehr schnell das BSI informieren. Die Fristen sind knapp: innerhalb von 24 Stunden nach Kenntnis muss eine erste Alarmierung erfolgen (eine Kurzmeldung mit ersten Einschätzungen, z.B. ob ein krimineller Hintergrund vermutet wird und ob andere Staaten betroffen sein könnten). Binnen 72 Stunden ist dann ein ausführlicherer Bericht nachzureichen, der den Vorfall mit Schweregrad und ersten Erkenntnissen beschreibt. Spätestens einen Monat nach der ersten Meldung ist zudem ein Abschlussbericht fällig, der Ursachen und ergriffene Gegenmaßnahmen detailliert darlegt. Diese gestaffelten Meldepflichten dienen dazu, dass die Behörden frühzeitig gewarnt werden und ggf. andere Betroffene informieren oder Unterstützung leisten können. Wichtig: Auch die Dienstempfänger müssen unter Umständen informiert werden – sprich, wenn z.B. ein IT-Dienstleister gehackt wird, muss er auch seine Kunden warnen. Für die Geschäftsleitung bedeutet dies: Ein Notfallkommunikationsplan muss parat sein, und es darf keinesfalls versucht werden, einen größeren Vorfall zu vertuschen – das wäre illegal und würde die eigene Haftungssituation nur verschlimmern.

Warum das alles?
Für viele Unternehmen mögen diese Anforderungen einschüchternd wirken. Man darf aber nicht vergessen, warum der Gesetzgeber sie einführt. Die Anzahl und Professionalität der Cyberangriffe ist in den letzten Jahren explodiert. Fälle von Industriespionage, Ransomware-Attacken auf Mittelständler oder IT-Ausfälle mit millionenschweren Schäden sind an der Tagesordnung. Die Vernetzung der Wirtschaft führt dazu, dass ein schwaches Glied in der Lieferkette katastrophale Auswirkungen haben kann. Hier setzt NIS2 an: Ein einheitliches, hohes Sicherheitsniveau soll sicherstellen, dass nicht einzelne Nachzügler die Stabilität des Gesamtsystems gefährden. Gerade in Deutschland mit seiner stark vernetzten Industrie ist dies essenziell.

Zudem hat Europa mit NIS2 einen Rahmen geschaffen, der Vertrauen im digitalen Binnenmarkt stärken soll. Wenn überall vergleichbare Standards gelten, können Unternehmen grenzüberschreitend besser zusammenarbeiten, ohne befürchten zu müssen, der Partner agiere nach laxeren Regeln. Ein positiver Nebeneffekt: Durch die neuen Regeln können Unternehmen Sicherheitslücken schneller erkennen und schließen, Ausfallzeiten reduzieren und insgesamt resilienter werden. Sicherheit ist damit nicht nur Pflicht, sondern auch ein Wettbewerbsvorteil und ein Schutz der eigenen Existenz.

Fazit:
Die NIS2-Richtlinie markiert einen Paradigmenwechsel in der IT-Sicherheit: Weg von freiwilligen Best Practices hin zu verbindlichen Mindeststandards für breite Teile der Wirtschaft. Geschäftsführer*innen und Vorstände müssen sich jetzt intensiv mit der Cybersicherheit ihres Unternehmens befassen – denn Unwissen oder Ignorieren schützt vor Strafe nicht. Fachanwalt Axel Pöppel, Experte für Managerhaftung, bringt es auf den Punkt: „IT-Sicherheit ist endgültig Chefsache. Wer die NIS2-Pflichten auf die leichte Schulter nimmt, handelt fahrlässig – und riskiert nicht nur hohe Bußgelder, sondern auch persönlich zur Verantwortung gezogen zu werden.“ In den folgenden Beiträgen beleuchten wir daher näher, welche Haftungsrisiken bestehen und wie sich Unternehmen konkret aufstellen können, um NIS2-Compliance zu erreichen.