NIS-2 macht Cybersicherheit zur Chefsache: Persönliche Haftung für Geschäftsleitungen geplant

Mit dem Referentenentwurf für das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) verpflichtet das Bundesinnenministerium Unternehmen künftig zu deutlich mehr Verantwortung. Wer kritische Dienstleistungen oder digitale Infrastrukturen betreibt, muss umfassende IT-Sicherheitsmaßnahmen nach BSI-Standards umsetzen – unter ausdrücklicher Verantwortung der Geschäftsleitung. Persönliche Haftung bei Pflichtverstößen ist vorgesehen. Über 30.000 Organisationen in Deutschland werden betroffen sein. Für sie wird Cybersicherheit zur Führungsaufgabe mit konkretem Regressrisiko.

Was bedeutet der Entwurf für Unternehmen?

Die NIS-2-Richtlinie ist Teil der europäischen Strategie zur Erhöhung der Cybersicherheit. Deutschland setzt sie mit dem NIS2UmsuCG um – und betont dabei besonders die Verantwortung auf Führungsebene. Die Pflichten treffen nicht nur kritische Infrastrukturen im klassischen Sinn, sondern auch große Unternehmen mit wirtschaftlicher oder gesellschaftlicher Relevanz – darunter Gesundheitsdienstleister, Logistikunternehmen, Energieversorger, Finanzdienstleister und zunehmend auch IT-Dienstleister in Konzernstrukturen.

Unternehmen, die unter den Anwendungsbereich fallen, müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren, ein aktuelles Sicherheitskonzept vorlegen und erhebliche IT-Sicherheitsvorfälle innerhalb von 24 Stunden melden.

Geschäftsleitung in der rechtlichen Verantwortung

Der zentrale Unterschied zu bisherigen Vorgaben: Die gesetzliche Verantwortung liegt ausdrücklich bei der Geschäftsleitung. Diese muss dafür sorgen, dass Prozesse, Technik und Sicherheitsvorkehrungen den gesetzlichen Standards entsprechen. Eine bloße Delegation an die IT-Abteilung genügt nicht. Versäumnisse, etwa bei der Umsetzung technischer Maßnahmen oder der Einrichtung interner Meldeprozesse, können zivil- oder ordnungsrechtliche Konsequenzen nach sich ziehen – bis hin zur persönlichen Haftung.

Dieser Paradigmenwechsel verlangt von Geschäftsführungen und Vorständen ein neues Verständnis von IT-Sicherheit: Sie wird zur unternehmerischen Kernaufgabe und Teil der eigenen Compliance-Verantwortung.

Auslegungsspielräume und offene Punkte

Trotz klarer Zielrichtung bleiben bestimmte Punkte des Entwurfs bislang unklar. So wird die operative Rolle eines „CISO Bund“ zwar angesprochen, aber nicht konkretisiert. Dabei wäre eine zentrale Stelle zur Koordination und Unterstützung für viele Unternehmen hilfreich. Auch die Anforderungen an konzerninterne IT-Dienstleister oder internationale Strukturen werfen praktische Fragen auf. Es bleibt abzuwarten, wie eng die Behörden bei der späteren Umsetzung prüfen und wie viel Spielraum sie bei der Risikobewertung gewähren.

So bereiten sich Unternehmen jetzt vor

Wer künftig unter die NIS-2-Regelungen fällt, sollte frühzeitig aktiv werden. Dazu gehört eine strukturierte Analyse der eigenen IT-Landschaft, eine klare Definition von Verantwortlichkeiten sowie die Implementierung eines dokumentierten IT-Sicherheitsmanagementsystems. Besonders wichtig: Die Geschäftsleitung muss in alle Prozesse aktiv eingebunden sein – etwa durch regelmäßige Berichte, Risikoanalysen und Strategiebeschlüsse. Auch bestehende Verträge mit IT-Dienstleistern sollten überprüft werden, um sicherzustellen, dass alle relevanten Anforderungen abgedeckt sind.

Fazit: Die NIS-2-Umsetzung bringt Pflichten, aber auch Chancen

Cybersicherheit ist längst keine technische Detailfrage mehr. Mit dem NIS2UmsuCG wird sie zur verbindlichen Führungsaufgabe. Wer rechtzeitig reagiert, kann nicht nur Bußgelder und Haftungsrisiken vermeiden, sondern auch Vertrauen aufbauen – bei Kunden, Geschäftspartnern und Aufsichtsbehörden. Unternehmen, die Cybersicherheit strategisch angehen, sichern ihre Zukunftsfähigkeit und steigern ihre Resilienz gegenüber digitalen Bedrohungen.

Sie möchten prüfen, ob Ihr Unternehmen unter die NIS-2-Regelung fällt? Oder benötigen Unterstützung bei der rechtssicheren Umsetzung?

Kontaktieren Sie uns – wir beraten Sie praxisnah, individuell und lösungsorientiert. Buchen Sie jetzt Ihr Erstgespräch