NIS-2 für Ge­schäfts­füh­rer: Pflich­ten, Haftung und Um­set­zung im Un­ter­neh­men

Wer ist vom NIS-2-Umsetzungsgesetz betroffen? 

Aufgrund der verzögerten Umsetzung der NIS2-Richtlinie in ein nationales NIS2UmsuCG werden keine Übergangsfristen für die Umsetzung der technischen und organisatorischen Risikomanagementmaßnahmen nach § 30 Abs. 2 BSIG n.F. eingeräumt. Vor diesem Hintergrund ist die Geschäftsleitung gehalten, sich kurzfristig einen fundierten Überblick zu verschaffen, um die erforderlichen Schritte zur Umsetzung der NIS2-Vorgaben einzuleiten. 

Betroffen vom NIS2UmsuCG sind „besonders wichtige“ und „wichtige“ Einrichtungen. Maßgeblich sind Sektor- oder Branchenzuordnung, die Anzahl der Mitarbeitenden und der Umsatz. Bei Betroffenheit muss sich die betroffene Einrichtung binnen drei Monaten nach Inkrafttreten oder erstmaliger Betroffenheit verpflichtend registrieren.  Für viele betroffene Einrichtungen ergab sich daraus eine Frist bis zum 6. März 2026, ausgehend vom Inkrafttreten des NIS2UmsuCG am 6. Dezember 2025.

Die Registrierung nach § 33 BSIG n.F. erfolgt elektronisch über das BSI-Portal, das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gemeinsam bereitgestellt wird. Die erforderlichen Angaben sind dort fristgerecht online zu übermitteln. 

Das NIS2UmsuCG hat als sogenanntes Artikelgesetz zahlreiche bestehende Gesetze, allen voran das „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)“ novelliert. Neben den klassischen KRITIS-Betreibern fallen nun im Sinne des § 28 BSIG n.F. sowie der in Anlage 1 und 2 zum BSIG n.F. definierten Sektoren Unternehmen aus nahezu allen versorgungskritischen Branchen unter das Gesetz. 

• Besonders wichtige Einrichtungen: Energie, Transport und Verkehr, Finanzwesen, Gesundheitswesen, Wasser und Abwasser, Digitale Infrastruktur und Weltraum. Sonderregeln gelten unter anderem für TK-Anbieter, DNS-Dienste, Vertrauensdiensteanbieter und Betreiber kritischer Anlagen. 
• Wichtige Einrichtungen: Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Herstellung und Handel mit chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, verarbeitendes Gewerbe und Herstellung von Waren, Anbieter digitaler Dienste und Forschung 

Maßgeblich ist dabei gemäß § 28 BSIG n.F. die sogenannte Size-Cap-Regel-Regel: Einrichtungen in den genannten Sektoren gelten grundsätzlich dann als von NIS2 erfasst, wenn sie mindestens die Größenkriterien eines mittleren Unternehmens erreichen:  

• Besonders wichtige Einrichtungen: über 250 Mitarbeiter oder über 50 Mio. Euro Jahresumsatz und Jahresbilanzsumme über 43 Mio. Euro. 
• Wichtige Einrichtungen: über 50 Mitarbeiter oder über 10 Mio. Euro Umsatz und über 10 Mio. Euro Jahresbilanzsumme 

Für bestimmte, in § 28 BSIG n.F. ausdrücklich benannte Einrichtungen besteht eine größenunabhängige Erfassung, sodass diese unabhängig von der Unternehmensgröße in den Anwendungsbereich fallen. 

Wichtig für Entscheider und die Geschäftsführerhaftung: Auch wenn Ihr Unternehmen die Schwellenwerte nicht erreicht, können Sie über Lieferkettenanforderungen, die betroffene Einrichtungen als Ihre Kunden zukünftig an Ihre Informationssicherheit stellen werden, mittelbar betroffen sein und müssen Sicherheitsmaßnahmen nachweisen. 

NIS-2 für Geschäftsführer: Das sind die To-dos 

• Betroffenheitsprüfung durchführen -> Prüfung auf der Website des BSI 
• Registrierung nach § 33 fristgerecht vornehmen (innerhalb von drei Monaten) 
• Interne Verantwortlichkeiten regeln und zuweisen 

Warum ist NIS-2 Chefsache? 

... und keine Aufgabe der IT-Abteilung

§ 38 BSIG weist die Verantwortung für Umsetzung und Überwachung der Cybersicherheitsmaßnahmen ausdrücklich der Geschäftsleitung zu. 

Mit der NIS2-Richtlinie vollzieht sich ein klarer Paradigmenwechsel: Cybersicherheit ist als Bestandteil der Führungsverantwortung der Geschäftsleitung rechtlich verankert, und ihre Letztverantwortung für Sicherheitsmaßnahmen ist nicht mehr delegierbar. § 38 BSIG konkretisiert diese Verantwortung in drei Ebenen: 

• Umsetzungsverantwortung (§ 38 Abs. 1) 
  Die Geschäftsleitung muss die Risikomanagementmaßnahmen nach § 30 umsetzen und ihre Umsetzung überwachen. 
• Binnenhaftung (§ 38 Abs. 2) 
  Persönliche Haftung der Geschäftsleitung bei schuldhafter Verletzung ihrer NIS-2-Pflichten. 
• Schulungspflicht (§ 38 Abs. 3) 
  Regelmäßige Teilnahme an Schulungen zur Erkennung und Bewertung von Risiken und zur Kenntniserlangung und Auswirkungsbeurteilung von Risikomanagementpraktiken im Bereich der Informationssicherheit. Ein entsprechender Schulungsnachweis ist intern aufzubewahren und auf Verlangen den zuständigen Behörden bzw. „unabhängigen Stellen“ (gemäß § 61 Abs. 1/§ 62 BSIG n.F.) vorzulegen. 

Das heißt: Informationssicherheit ist als integraler Bestandteil kritischer und wertschöpfender Geschäftsprozesse im Unternehmen auszugestalten und unterliegt der unmittelbaren Verantwortung und Steuerung der obersten Leitung.

Verantwortungsträger müssen das verstehen, um ihre Aufgabe aktiv gestalten zu können. Unwissen schützt hier nicht vor Haftung. 

Wer ist im Sinne des NIS2UmsuCG „Geschäftsleitung“?  

Laut § 2 Nr. 13 BSIG n.F. ist die Geschäftsleitung „eine natürliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen Einrichtung oder wichtigen Einrichtung berufen ist“. In der Praxis betrifft dies Geschäftsführer und CEOs, Vorstände (CFO, COO, CIO, CSO) sowie geschäftsführende oder persönlich haftende Gesellschafter. In der aktuellen Diskussion zu § 2 Nr. 13 BSIG n.F. wird hervorgehoben, dass die organschaftliche Leitungsfunktion entscheidend ist, also Organpersonen wie zum Beispiel Prokuristen als „Geschäftsleitung“ eingeordnet werden, wenn sie nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte berufen sind. 

NIS2 für Geschäftsführer

Welche Vorgaben für Cybersicherheit sind zu beachten? 

Betroffene Unternehmen müssen gemäß § 30 Abs. 1 BSIG n.F. geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen implementieren – basierend auf einem systematischen Cyber-Risikomanagement. 

Für die NIS-2-Geschäftsführerhaftung bedeutet das: Risiken müssen nicht nur technisch adressiert, sondern strukturiert identifiziert, bewertet, priorisiert und dokumentiert werden. 

§ 30 BSIG verpflichtet zu einem ganzheitlichen Ansatz bezogen auf das gesamte Unternehmen. Ziel ist die Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die eine Organisation für die Erbringung ihrer Dienste nutzt. Maßgeblich ist der „Stand der Technik“ unter Berücksichtigung internationaler Normen, das sind im Sinne der EU-Regulatorik die Normen ISO 27001 und ISO 27002. 

Kernanforderungen in § 30 Abs. 2 BSIG n.F. sind unter anderem: 

• Risikomanagementprozess (Analyse, Bewertung, Behandlung, Dokumentation)
• Incident Management
• Business Continuity & Notfallplanung
• Backup- und Wiederherstellungsstrategien
• Verschlüsselung und Multi-Faktor-Authentifizierung
• Lieferkettensicherheit
• Schulungen und Awareness
• Wirksamkeitskontrollen und Audits 

Haftung Geschäftsführer: Das sind die To-dos 

• Risikoexposition des Unternehmens bewerten lassen – unter Berücksichtigung der Umfeldbedingungen im Kontext der Geschäftsziele, kritischen Dienste/Prozesse, rechtlichen Anforderungen und Stakeholder Erwartungen 
• Budgets und Ressourcen verbindlich bereitstellen 
• Wirksamkeit der Risikomanagementmaßnahmen regelmäßig überprüfen, zum Beispiel durch Etablierung einer Reporting-Struktur 
• Risikomanagementpläne mit Behandlungsmaßnahmen und Risikoakzeptanz persönlich genehmigen 

NIS2 und Meldepflichten - was gilt jetzt für Unternehmen? 

§ 32 BSIG n.F. sieht ein dreistufiges Meldeverfahren vor. Nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall muss die betroffene Organisation an die gemeinsame Meldestelle von BSI und BBK melden, und zwar innerhalb von 

• 24 Stunden: Erstmeldung
• 72 Stunden: Update mit Erstbewertung, Schweregrad und Auswirkungen
• spätestens nach 1 Monat: Abschlussbericht oder Fortschrittsmeldung, sofern noch andauernd 

Die Einhaltung dieser Fristen erfordert etablierte Prozesse und kein Ad-hoc-Handeln. Nach § 35 BSIG n.F. kann das BSI zudem anordnen, dass betroffene Kunden informiert werden müssen. 

To-dos für die Geschäftsleitung 

• Incident-Response-Strukturen und Krisenpläne prüfen 
• Meldewege und Entscheidungsbefugnisse verbindlich festlegen 
• Kommunikationsstrategie gegenüber Kunden und Partnern vorbereiten 

NIS2 Geschäftsführerhaftung: Welche Bußgelder und Risiken bestehen konkret? 

Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (§ 65 BSIG). Zusätzlich droht persönliche Haftung der Geschäftsführung bei Pflichtverletzung. 

Wer das NIS2 nicht richtig, vollständig und rechtzeitig umsetzt, handelt ordnungswidrig und muss mit folgenden Bußgeldern rechnen:

• Besonders wichtige Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes
• Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des weltweiten Umsatzes 

Für Geschäftsleitungen besonders relevant ist die persönliche Haftung. Diese kann beispielsweise greifen bei: 

• fehlendem dokumentierten Risikomanagement (§ 30 Abs. 1 BSIG n.F.) 
• unterlassenen, nicht nachgewiesenen Schulungsverpflichtungen (§ 38 Abs. 3 BSIG n.F.) 
• Ignorieren offengelegter Schwachstellen (§ 30 Abs. 2, Pkt. 5 BSIG n.F.) 
• fehlender Überwachung zu ergreifende Risikomanagementmaßnahmen (§ 30 Abs. 1 BSIG n.F.) 

Wichtig: Ein Cybersicherheitsvorfall allein begründet noch keine Haftung. Entscheidend ist, ob die Geschäftsleitung ihre Organisations- und Überwachungspflichten vor, während und nach dem Vorfall ordnungsgemäß wahrgenommen hat. 

Wie kann ISO 27001 bei der Umsetzung der NIS-2-Anforderungen helfen? 

Ein Informationssicherheits-Managementsystem (ISMS) nach der internationalen Norm ISO 27001 deckt einen Großteil der Anforderungen aus § 30 BSIG n.F. prozessorientiert ab. Die Norm wird vom Gesetzgeber als Umsetzungshilfe explizit empfohlen. 

Für die Geschäftsleitung bietet ein wirksames Informationssicherheitsmanagement vor allem eines: ein belastbares Steuerungsinstrument. Die abstrakte Pflicht zur Cybersicherheit wird in klare Prozesse, Zuständigkeiten und Entscheidungsmechanismen übersetzt. 

Kernprinzip ist das Risikomanagement: Risiken werden strukturiert identifiziert, bewertet und behandelt – nicht punktuell, sondern für die gesamte Organisation. Die Geschäftsleitung ...

• legt Sicherheitsziele fest, 
• genehmigt Risikobehandlungsmaßnahmen und Risikoakzeptanz, 
• stellt Ressourcen dafür bereit und 
• überprüft regelmäßig deren wirksame Umsetzung. 

Jede Entscheidung, jeder Prozessschritt und jede Maßnahme ist dabei zu dokumentieren und lässt sich so im Ernstfall gegenüber Behörden nachweisen. 

Mit den Sicherheitsmaßnahmen im Anhang A bietet die Norm ISO 27001 zudem einen praxisorientierten Werkzeugkasten zur Umsetzung der in § 30 Abs. 2 BSIG n.F. geforderten Maßnahmen. 

Wichtig: Eine Zertifizierung nach ISO 27001 ist nicht vorgeschrieben und auch kein rechtlich belastbarer Compliance-Nachweis. Sie schafft jedoch grundlegende valide Governance-Strukturen und ein starkes Vertrauenssignal gegenüber Behörden, Kunden und Partnern. 

Ein Managementsystem nach ISO 27001 unterstützt die Geschäftsleitung durch 

• systematisches Risikomanagement 
• fortlaufende Verbesserungen (PDCA-Zyklus, Plan-Do-Check-Act) 
• Incident-Response-Strukturen 
• Dokumentationspflichten und Nachweisführung 
• Managementbewertungen 
• Umsetzungshilfe durch konkrete Sicherheitsmaßnahmen im Anhang A 

Bei der DQS in guten Händen

Unsere Zertifizierungsaudits liefern Ihnen Klarheit. Der ganzheitliche, neutrale Blick von außen auf Menschen, Prozesse, Systeme und Ergeb­nisse zeigt, wie wirksam Ihr Managementsystem ist, wie es umgesetzt und beherrscht wird. Wir legen Wert darauf, dass Sie unser Audit nicht als Prüfung, sondern als Bereicherung für Ihr Managementsystem wahrnehmen.

Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden. Wir fra­gen gezielt nach dem „Warum“, weil wir verstehen wollen, aus welchen Motiven heraus Sie einen bestimmten Weg der Umset­zung gewählt haben. Wir richten den Blick auf Verbesserungs­potenzial und regen zum Perspektivenwechsel an. So erkennen Sie Handlungsoptionen, mit denen Sie Ihr Managementsystem fortlaufend verbessern können.

Die DQS übt alle Zertifizierungen kompetent, objektiv, neutral und unparteilich aus. Als Nachweis führen die nationalen Akkreditierungsstellen jährlich zahlreiche Akkreditierungsaudits und Witnessaudits in allen Geschäftsstellen weltweit durch. Mehr dazu erfahren Sie in unserer Auditphilosophie.

Vertrauen und Expertise

Unsere Beiträge und Whitepapers werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an den Autor haben, senden Sie uns gerne eine E-Mail: [email protected].

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.