Zuletzt aktualisiert am 11. April 2026 von Wolff von Rechenberg
Freiwillig war gestern: Mit der NIS2-Richtlinie (EU 2022/2555) hat die EU Cybersicherheit zur Pflicht und zur Chefsache erklärt. Wer sie ignoriert riskiert drakonische Bußgelder. Und am Ende haftet unter Umständen der Geschäftsführer – persönlich.
Lange Zeit galt Cybersicherheit als lästige Pflichtaufgabe, die man dankbar der IT-Abteilung überließ. Die europäische Richtlinie „Network and Information Security 2“, kurz NIS2, hat das von Grund auf geändert. Sie weitet nicht nur den Kreis der regulierten Unternehmen allein in Deutschland auf rund 30.000 Organisationen aus. Sie nimmt zudem den Chef persönlich in die Verantwortung.
Wen betrifft die NIS2? Wesentliche und wichtige Einrichtungen
Die NIS2 nimmt Unternehmen erst ab einer bestimmten Größe und in bestimmten Sektoren (Branchen) in die Pflicht. Kleinunternehmen bleiben unreguliert. Doch auch sie sollten die Sicherheit ihrer Daten und ihrer IT-Systeme laufend prüfen und stärken.
Wenn etwa sogenannte Ransomware plötzlich wichtige Datensätze verschlüsselt, geht es schnell um das Überleben des Unternehmens. Gehen personenbezogene Daten von Kunden verloren, greift die DSGVO, und die gilt für Unternehmen jeder Größe.
Die NIS2-Richtlinie unterscheidet Unternehmen nach wesentlichen und wichtigen Einrichtungen anhand der folgenden Kriterien:
- Wesentliche Einrichtungen: Große Player (250+ MA / 50 Mio. Euro Umsatz) in Sektoren wie Energie oder Gesundheit. Hier kontrolliert der Staat proaktiv.
- Wichtige Einrichtungen: Mittelständler (50+ Mitarbeitende / 10 Mio. Euro Umsatz) in Branchen wie Chemie, Lebensmittel oder Abfallwirtschaft. Diese Unternehmen zieht der Staat bei Verstößen erst im Nachgang zur Verantwortung.
Das bundesdeutsche „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS2UmsuCG) trat am 6. Dezember 2025 in Kraft. Betroffene Unternehmen mussten sich bis zum 6. März 2026 beim BSI (Bundesamt für Sicherheit in der Informationstechnik) registriert haben.
Tabelle: Wesentliche und wichtige Einrichtungen
| Merkmal | Wesentliche Einrichtungen | Wichtige Einrichtungen |
|---|---|---|
| Größenkriterien | Großunternehmen mit mehr als 249 Mitarbeitern oder einem Jahresumsatz von über 50 Mio. € bzw. einer Bilanzsumme von über 43 Mio. €. | Mittlere Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz/Bilanzsumme von über 10 Mio. €, sofern sie nicht als „wesentlich“ eingestuft sind. |
| Sektoren (Beispiele) | Sektoren mit hoher Kritikalität: Energie, Verkehr, Bankwesen, Gesundheitswesen, Trink- und Abwasser, digitale Infrastruktur, öffentliche Verwaltung und Weltraum. | Sonstige kritische Sektoren: Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Forschung, digitale Dienste (Marktplätze, Suchmaschinen) und das verarbeitende Gewerbe. |
| Aufsicht | Umfassende Aufsicht (ex-ante und ex-post): Die Behörden führen proaktive Kontrollen, Sicherheitsprüfungen und Vor-Ort-Inspektionen durch. | Nachträgliche Aufsicht (nur ex-post): Behörden werden in der Regel nur tätig, wenn Hinweise auf einen mutmaßlichen Verstoß gegen die Richtlinie vorliegen. |
| Höchstbußgelder | Bis zu 10 Mio. € oder 2 % des gesamten weltweiten Jahresumsatzes. | Bis zu 7 Mio. € oder 1,4 % des gesamten weltweiten Jahresumsatzes. |
| Sonderfälle | Bestimmte Anbieter, etwa TLD-Name-Server-Betreiber oder DNS-Dienstleister sind unabhängig von der Größe fast immer „wesentlich“. | Einrichtungen der oben genannten Sektoren, die die Schwellenwerte für mittlere Unternehmen erfüllen, aber nicht den Kriterien für „wesentlich“ entsprechen. |
Kernpflichten: Risikomanagement und Meldewege
Betroffene Unternehmen müssen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen“ (§ 30 Abs. 1 NIS2UmsuCG) ergreifen, um ihre Netz- und Informationssysteme zu schützen. Das bedeutet, sie müssen Maßnahmen einführen, erklären, dokumentieren und überwachen.
Und noch etwas: Die NIS2 versteht Cybersicherheit als fortlaufenden Prozess. Einmal eingerichtet und dann vergessen? Das verträgt sich nicht mit der NIS. Sie fordert von den betroffenen Unternehmen Maßnahmen, die dem „Stand der Technik“ entsprechen, und der schreitet ständig voran.
Die NIS2 fordert Maßnahmen auf
- technischer Ebene,
- operativer Ebene und
- Management-Ebene.
Man nennt diese Maßnahmen TOMs.
1. Technische Schutzmaßnahmen
Die technischen Schutzmaßnahmen stehen für die „Mauern und Schlösser“ der digitalen Infrastruktur eines Unternehmens. Dazu zählen:
- Identitäts- und Zugriffssicherungen: Implementierung einer physischen oder App-basierten Multi-Faktor-Authentifizierung (MFA) für jeden Zugang von außen (VPN, E-Mail, Cloud).
- Segmentierung der Netzwerke: Trennung von Produktionsnetzen (OT) und Büronetzen (IT), damit sich Ransomware nicht ungehindert im gesamten Unternehmen ausbreiten kann.
- Verschlüsselung: Durchgängige Verschlüsselung von Daten im Ruhezustand (Data at Rest) und bei der Übertragung (Data in Transit), insbesondere auf mobilen Endgeräten.
- Patch-Management: Automatisierte Prozesse, um Sicherheitslücken in Software innerhalb von kürzester Zeit (oft innerhalb von 24–48 Stunden nach Bekanntwerden) zu schließen.
2. Operative Maßnahmen (Prozesse)
Zu den operativen Maßnahmen zählen:
- Incident Response Plan: Dieser Notfallplan legt fest: Wer alarmiert wen, wenn nachts um 03:00 Uhr die Server verschlüsselt werden? Die NIS2 lässt Unternehmen nur 24 Stunden Zeit für eine Frühwarnung.
- Backup-Strategie (3-2-1-Regel): Mindestens drei Kopien der Daten, auf zwei verschiedenen Medien, davon eine offline (Air-Gapped). Denn Ransomware könnte versuchen, die Backups zu löschen.
- Business Continuity Management (BCM): Darunter fallen etwa Notfallpläne, mit deren Hilfe Mitarbeitende den Betrieb auch ohne IT (z. B. mit Papierlisten oder analogen Telefonen) für eine Übergangszeit aufrechterhalten werden kann.
3. Organisatorische Maßnahmen (Management)
Wenn sie die Vorgaben der NIS2 erfüllen wollen, müssen Unternehmen Cybersicherheit in ihrer Unternehmenskultur verankern. Das geschieht beispielsweise über folgende Maßnahmen:
- Supply Chain Risk Management: Wenn ein Unternehmen die Anforderungen von NIS2 erfüllen müssen, dann gilt das auch seine wichtigsten Zulieferer. Unternehmen also auch die Cybersicherheit dieser Zulieferer im Blick behalten. Sie müssen sich vertraglich zusichern lassen, dass auch diese Partner Mindeststandards einhalten.
- Security Awareness Trainings: Regelmäßige, messbare Schulungen der Mitarbeiter (z. B. durch simulierte Phishing-Mails). Denn der Faktor Mensch bleibt das Einfallstor Nummer eins.
- Management-Schulungen: Die Geschäftsführung muss an Fortbildungen zu Cyber-Risiken teilnehmen. Die NIS2 schreibt das vor. Die Chefetage soll fundierte Entscheidungen über Budgetfreigaben zur Cybersicherheit treffen zu können.
Meldepflichten: Das Frühwarnsystem der NIS2
Die NIS2 verpflichtet Unternehmen zu einem Frühwarnsystem mit strengen Meldepflichten. Schnelle Meldungen über Sicherheitsvorfälle sollen verhindern, dass sich ein lokaler Cyberangriff auf andere Unternehmen übergreift und so einen Flächenbrand verursacht.
Wichtig: Wer nicht registriert ist, kann im Ernstfall nicht fristgerecht melden und riskiert schon dadurch ein Bußgeld.
1. Was muss gemeldet werden? Der erhebliche Vorfall
Unternehmen müssen nicht bei jeder Spam-Mail sofort Alarm schlagen. Die Meldepflicht der NIS2 greift nur bei erheblichen Sicherheitsvorfällen. Ein Vorfall gilt als erheblich, wenn er:
- Schwerwiegende Betriebsstörungen verursacht oder verursachen kann (z. B. Stillstand der Produktion).
- Erhebliche finanzielle Verluste für das Unternehmen nach sich zieht.
- Erhebliche materielle oder immaterielle Schäden bei Dritten (Kunden, Partnern) verursacht.
2. Wann muss gemeldet werden? Der 3-Stufen-Meldeplan
§ 32 Abs. 1 NIS2UmsuCG verpflichtet Unternehmen zur Meldung eines erheblichen Sicherheitsvorfalls innerhalb von 24 Stunden. Eine weitere Meldung mit einer ersten Bewertung des Vorfalls müssen Unternehmen spätestens nach 72 erstatten.
Die NIS2 gibt einen 3-Stufen-Meldeplan vor:
| Stufe | Frist (nach Kenntnis) | Inhalt der Meldung |
|---|---|---|
| 1. Frühwarnung | Innerhalb von 24 Stunden | Erste Einschätzung: Was ist passiert? Besteht der Verdacht auf eine rechtswidrige Tat? Gibt es grenzüberschreitende Auswirkungen? |
| 2. Vorfallsmeldung | Innerhalb von 72 Stunden | Aktualisierung der Frühwarnung: Bewertung des Schweregrads, Auswirkungen des Vorfalls sowie erste technische Merkmale (Indicators of Compromise). |
| 3. Abschlussbericht | Innerhalb von 1 Monat | Detaillierte Analyse: Ursachenforschung (Root Cause), getroffene Abhilfemaßnahmen und abschließende Bewertung der Auswirkungen. |
3. Wo wird gemeldet?
In Deutschland ist die zentrale Anlaufstelle das BSI. Die Meldung erfolgt über das offizielle BSI-Meldeportal.
4. Fehler bei Meldepflichten
- Wichtig: „Kenntniserlangung“ bedeutet nicht, dass der Geschäftsführer persönlich davon wissen muss. Sobald ein fachkundiger Mitarbeiter (z. B. der IT-Admin) den Vorfall als erheblich identifiziert, läuft die 24-Stunden-Uhr.
- Ein Fehler, den viele machen: Teams könnten versuchen, das Problem erst intern zu lösen, um „keine Pferde scheu zu machen“. Bei NIS2 ist das gefährlich. Die verpflichtende Erstmeldung nach 24 Stunden dient dazu, das BSI zu informieren, bevor alle Details feststehen. Wer sich mit der Erstmeldung Zeit nimmt, bis die Analyse fertig ist, überschreitet fast immer die Frist.
Haftung und Sanktionen: Cybersicherheit ist Chefsache
Ein wesentlicher Aspekt von NIS2 ist die persönliche Verantwortung der Geschäftsführung. Die Geschäftsleitung muss die Risikomanagementmaßnahmen nicht nur billigen, sondern auch deren Umsetzung überwachen (§ 38 NIS2UmsuCG). Zudem muss auch die Geschäftsführung regelmäßig an Cybersicherheits-Schulungen teilnehmen.
Wenn Geschäftsleitungen diese Pflichten vernachlässigen, und kommt es dadurch zu einem Schadensfall, kann die Geschäftsleitung persönlich (!) dafür verantwortlich gemacht werden. Hier gelten vergleichbare Regeln wie etwa für Steuerhinterziehung und Sozialversicherungsbetrug oder für Insolvenzverschleppung.
Über die Schadenshaftung hinaus drohen drastische Bußgelder, wenn das Unternehmen etwa einen Schadensfall zu spät meldet oder seine Schutzmaßnahmen nicht aktuell gehalten hat. die Bußgelder entsprechen in ihrer Höhe durchaus denen der DSGVO:
- Für wesentliche Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
- Für wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes.
Zusammenfassung und Fazit
Die NIS2 verlangt von uns eine neue Sicht auf Cybersicherheit. Die Sicherheit von Daten und IT-Systemen dürfen wir nicht länger als technisches Problem begreifen, sondern als strategische Managementaufgabe.
Der Schritt zur Umsetzung der NIS2 beginnt mit einer Selbsteinschätzung. Unternehmen sollten sofort damit beginnen, denn die Richtlinie wartet nicht. Im Grunde ist die Registrierungspflicht für betroffene Unternehmen schon am 6. März 2026 abgelaufen.
Schreibe einen Kommentar