NIS2-Gesetz: Persönliche Haftung für Geschäftsführer tritt in Kraft

Seit Dezember 2025 gilt in Deutschland das verschärfte IT-Sicherheitsrecht. Für Tausende Unternehmen, insbesondere den Mittelstand, bedeutet das: Die Schonfrist ist vorbei. Ab sofort drohen bei Verstößen gegen die NIS2-Vorgaben nicht nur hohe Bußgelder, sondern auch die persönliche Haftung der Geschäftsleitung. Ein strukturierter Fünf-Punkte-Plan zeigt den Weg zur Compliance.

Die neue Haftungsfalle für das Management

Das NIS2-Umsetzungsgesetz konkretisiert eine gefährliche Realität. Bestehende Regelungen zur Geschäftsführerhaftung werden nun unmissverständlich auf das Management von Cyberrisiken angewendet. Ignoranz schützt nicht mehr vor Strafe. Die Unternehmensleitung muss Sicherheitsmaßnahmen persönlich absegnen und deren Umsetzung aktiv überwachen. Die alleinige Delegation an die IT-Abteilung reicht nicht mehr aus.

Von den strengen Pflichten sind schätzungsweise 30.000 Betriebe in Deutschland betroffen. Der Regelungsbereich erfasst 18 kritische Sektoren – von Energie und Gesundheit bis hin zu Maschinenbau und Lebensmittelproduktion. Die Vorgaben greifen in der Regel bereits bei 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro. Die Strafen sind empfindlich: Bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes können fällig werden.

Für viele mittelständische Unternehmen wirkt die Fülle der neuen Pflichten überwältigend. Ein systematischer Ansatz hilft, die Übersicht zu behalten und Haftungsrisiken zu minimieren.

Viele mittelständische Geschäftsführer unterschätzen, wie schnell NIS2-Verstöße zu hohen Bußgeldern und persönlicher Haftung führen. Ein kostenloses E‑Book erklärt die aktuellen Cyber‑Bedrohungen, die verschärften Meldepflichten (inkl. 24‑Stunden‑Frist) und praxisnahe Schutzmaßnahmen, die sich sofort umsetzen lassen – auch wenn Sie keine große IT‑Abteilung haben. Mit klaren Checklisten für Risikoanalyse und Incident‑Response, damit die Geschäftsführung ihre Sorgfaltspflicht nachweisen kann. Gratis Cyber‑Security‑Leitfaden für Geschäftsführer herunterladen

Schritt 1: Betroffenheit klären und registrieren
Der dringendste Schritt ist die Klärung, ob das eigene Unternehmen unter die NIS2-Richtlinie fällt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt hierfür Hilfsmittel bereit. Bei Betroffenheit ist eine umgehende Registrierung im seit Januar aktiven Online-Portal des BSI Pflicht. Für “besonders wichtige Einrichtungen” endet die Frist bereits Anfang März 2026.

Schritt 2: Risiken systematisch analysieren
Die Grundlage aller Maßnahmen ist eine umfassende Risikoanalyse. Unternehmen müssen Bedrohungen für ihre IT-Systeme identifizieren und die potenziellen Auswirkungen von Sicherheitsvorfällen bewerten. Diese Analyse muss die gesamte Infrastruktur und Geschäftsprozesse abdecken und regelmäßig aktualisiert werden.

Schritt 3: Einen Katalog an Schutzmaßnahmen umsetzen
Basierend auf der Analyse sind angemessene technische und organisatorische Maßnahmen (TOMs) umzusetzen. Das Gesetz fordert einen “State-of-the-Art”-Ansatz. Dazu gehören Notfallpläne, Business-Continuity-Konzepte, Lieferkettensicherheit, Mitarbeiterschulungen und technische Vorkehrungen wie Multi-Faktor-Authentifizierung. Die Geschäftsführung muss diesen Katalog ausdrücklich billigen.

Schritt 4: Scharfe Meldepflichten für den Ernstfall etablieren
Die Meldepflichten bei schwerwiegenden Vorfällen wurden massiv verschärft. Eine Erstmeldung ans BSI muss innerhalb von 24 Stunden, eine detaillierte Folgemeldung nach 72 Stunden erfolgen. Ein Abschlussbericht ist nach einem Monat fällig. Nur ein vorab definierter und getesteter interner Prozess kann diese engen Fristen sicherstellen.

Schritt 5: Fortlaufend überwachen und lückenlos dokumentieren
NIS2-Compliance ist kein One-Off-Projekt, sondern ein Dauerzustand. Die Geschäftsleitung muss die Wirksamkeit der Maßnahmen kontinuierlich überwachen. Eine lückenlose Dokumentation aller Entscheidungen und Analysen ist entscheidend. Sie dient im Ernstfall als Nachweis der Sorgfaltspflicht und ist ein zentrales Instrument zur Abwehr persönlicher Haftung.

Ein Paradigmenwechsel für die Unternehmensführung

NIS2 markiert einen fundamentalen Wandel: Cybersicherheit ist keine reine IT-Aufgabe mehr, sondern ein Kernelement der Corporate Governance. Die Regelungen wirken zudem in die Lieferketten hinein. Betroffene Unternehmen müssen auch die Sicherheit ihrer Zulieferer prüfen, wodurch die Anforderungen indirekt an Tausende weitere Betriebe weitergegeben werden.

Diese Entwicklung ist Teil eines europäischen Trends. Ergänzt wird sie durch den Cyber Resilience Act (CRA) für hardwarenahe Produkte und Pläne zur Stärkung der EU-Cybersicherheitsagentur ENISA. Nach der Implementierungsphase rückt die Kontrolle in den Fokus. Das BSI wird die Einhaltung prüfen. Ein formaler Nachweis über die umgesetzten Sicherheitsmaßnahmen muss bis spätestens Dezember 2027 vorliegen können.

Übrigens: Müssen Sie bis Dezember 2027 einen formalen Nachweis über umgesetzte Sicherheitsmaßnahmen erbringen? Dieses kostenfreie E‑Book liefert praxiserprobte Vorlagen für lückenlose Dokumentation, Audit‑taugliche Nachweise und eine Checkliste zur fortlaufenden Überwachung, mit der Geschäftsführungen ihre Sorgfaltspflicht belegbar machen. Ideal für Mittelstand und IT‑Verantwortliche, die NIS2‑Compliance systematisch und prüfungssicher umsetzen wollen. Jetzt Dokumentations‑ und Audit‑Checklisten herunterladen

Unternehmen tun gut daran, die Pflichten nicht nur als Belastung zu sehen. Sie bieten die Chance, die eigene Widerstandsfähigkeit gegen Cyberangriffe deutlich zu stärken – und sich so einen entscheidenden Wettbewerbsvorteil zu sichern.