NIS2-Gesetz: Deutsche Unternehmen vor der Haftungsfalle

Für zehntausende deutsche Firmen tickt die Uhr: Ab dem 6. März müssen sie sich beim BSI registrieren – sonst drohen massive Strafen und persönliche Haftung für Geschäftsführer.

Das neue NIS2-Umsetzungsgesetz stellt den deutschen Mittelstand vor eine seiner größten digitalen Herausforderungen. Es überführt die europäische Cybersicherheitsrichtlinie in nationales Recht und weitet den Kreis der regulierten Unternehmen drastisch aus. Bisher waren etwa 4.500 Betriebe betroffen, künftig werden es schätzungsweise 30.000 sein. Die erste harte Frist endet bereits am 6. März 2026. Bis dahin müssen sich alle betroffenen Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert haben. Experten warnen: Viele Firmen unterschätzen die neuen Pflichten noch immer.

Der größte Irrtum vieler Geschäftsführer: Sie glauben, nicht unter die Regulierung zu fallen. Doch während das alte Gesetz primär Betreiber kritischer Infrastrukturen (KRITIS) im Blick hatte, erfasst NIS2 nun fast die gesamte Wirtschaft. Betroffen sind alle mittleren und großen Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in 18 Sektoren.

Neu im Fokus sind sogenannte „wichtige Einrichtungen“. Das trifft den deutschen Mittelstand besonders hart. Dazu zählen nun:
* Post- und Kurierdienste
* Maschinenbau und Fahrzeughersteller inklusive Zulieferer
* Hersteller chemischer Stoffe und Datenverarbeitungsgeräte
* Unternehmen der Lebensmittelproduktion und -verarbeitung
* Anbieter digitaler Dienste wie Online-Marktplätze

Die genaue Einordnung ist komplex. Eine umgehende Prüfung der eigenen Betroffenheit ist daher der erste, unerlässliche Schritt.

Passend zum Thema Cybersicherheit: Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind und welche Konsequenzen das unter NIS2 haben kann. Der kostenlose E‑Book-Report „Cyber Security Awareness Trends“ liefert praxisnahe Prioritäten, eine Checkliste für die Lieferkettensicherung und sofort umsetzbare Maßnahmen für Geschäftsführer und IT‑Verantwortliche, um Haftungsrisiken zu reduzieren. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

Cyber-Sicherheit wird zur Chefsache mit persönlicher Haftung

Die umfassenden Anforderungen gehen weit über grundlegende IT-Maßnahmen hinaus. Im Zentrum steht ein proaktives Risikomanagement, das von der Geschäftsleitung verantwortet werden muss. Die bloße Delegation an die IT-Abteilung reicht nicht mehr aus.

Zu den zentralen Pflichten gehören:
1. Die Registrierung bis zum 6. März über das neue BSI-Portal.
2. Umfassende Risikomanagementmaßnahmen, die dokumentiert und nachweisbar sein müssen. Dazu zählen Sicherheit der Lieferkette, Verschlüsselung und regelmäßige Mitarbeiterschulungen.
3. Strikte Meldepflichten bei Sicherheitsvorfällen – oft innerhalb von 24 Stunden.

Die einschneidendste Änderung: Geschäftsführer und Vorstände haften nun persönlich für Versäumnisse. Bei Verstößen gegen die Sorgfaltspflichten können sie direkt zur Rechenschaft gezogen werden. Dieses Risiko zwingt die Führungsebene, sich aktiv mit dem Thema auseinanderzusetzen und die nötigen Budgets freizugeben.

Der Kaskadeneffekt: Auch Nicht-Betroffene spüren den Druck

Selbst Unternehmen, die nicht direkt unter das Gesetz fallen, werden die Auswirkungen zu spüren bekommen. NIS2 verpflichtet die regulierten Firmen explizit zur Sicherung ihrer Lieferketten.

In der Praxis bedeutet das: Große Kunden werden von ihren Zulieferern und Dienstleistern Nachweise über IT-Sicherheitsstandards verlangen. Wer keine adäquaten Maßnahmen – etwa eine Zertifizierung nach ISO 27001 – vorweisen kann, riskiert, wichtige Aufträge zu verlieren. Das Gesetz erzeugt so einen Kaskadeneffekt, der den Sicherheitsstandard in der gesamten Wirtschaft anheben soll.

Teure Investition mit langfristigem Nutzen

Die Verschärfung der Gesetze ist eine direkte Reaktion auf die drastisch gestiegene Bedrohungslage. Staatlich unterstützte Cyberangriffe auf Unternehmen und Lieferketten haben in den letzten Jahren massiv zugenommen und verursachen Milliardenschäden.

Für den Mittelstand ist die Umsetzung zunächst kostspielig. Experten schätzen die initialen Investitionen für NIS2-konforme Strukturen auf 200.000 bis 350.000 Euro, plus laufende Jahreskosten. Langfristig kann sich diese Investition jedoch auszahlen. Ein nachweislich hohes Sicherheitsniveau schafft Vertrauen bei Kunden und macht Unternehmen resilienter gegen existenzbedrohende Angriffe.

Was jetzt zu tun ist: Fünf Schritte zur Compliance

Angesichts der nahenden Frist ist unmittelbares Handeln gefordert. Unternehmen sollten umgehend folgende Schritte einleiten:

1. Betroffenheit prüfen: Analysieren Sie detailliert, ob Ihr Unternehmen nach Sektor und Größe reguliert wird.
2. Beim BSI registrieren: Bei Betroffenheit ist die Registrierung über das BSI-Portal vor dem 6. März zwingend.
3. Gap-Analyse durchführen: Identifizieren Sie die Lücke zwischen aktuellen Maßnahmen und gesetzlichen Anforderungen.
4. Ressourcen planen: Stellen Sie finanzielle und personelle Mittel für die Umsetzung bereit.
5. Externe Expertise einholen: Ziehen Sie Berater hinzu, um Haftungsrisiken für die Geschäftsleitung zu minimieren.

Die Schonfrist ist vorbei. Die Umsetzung von NIS2 ist keine Aufgabe, die aufgeschoben werden kann. Sie ist eine strategische Notwendigkeit, um die eigene Wettbewerbsfähigkeit im digitalen Zeitalter zu sichern.

PS: Die Praxis zeigt, dass konkrete Handlungspläne helfen, Fristen einzuhalten und Haftungsrisiken zu minimieren. Das kostenlose E‑Book „Cyber Security Awareness Trends“ enthält eine sofort einsetzbare Prioritäten‑Matrix, eine Lieferketten-Checkliste und Empfehlungen für die interne Verantwortungsstruktur — ideal für Geschäftsführer, die jetzt schnell Compliance‑sichere Entscheidungen treffen müssen. Jetzt kostenlosen Cyber‑Security‑Aktionsplan sichern