Business
NIS-2 in der Praxis: Was Geschäftsleitungen jetzt konkret tun müssen
NIS-2 in der Praxis: Was Geschäftsleitungen jetzt konkret tun müssen
Last updated:
8 min.
NIS-2 in der Praxis: Was Geschäftsleitungen jetzt konkret tun müssen
Auf Basis der Forschungsarbeiten von Dr. iur. Dr. rer. pol. Fabian M. A. Teichmann
Es ist keine Frage mehr des Ob, sondern des Wann: Das NIS-2-Umsetzungsgesetz kommt – ohne Übergangsfristen. Wer als Geschäftsführer oder Vorstand glaubt, Cybersicherheit sei weiterhin eine Angelegenheit der IT-Abteilung, irrt sich gewaltig und riskiert dabei die eigene persönliche Haftung.
Die EU-Richtlinie NIS-2 (Network and Information Security 2, EU 2022/2555) verlangt von Unternehmen einen fundamental anderen Umgang mit IT-Sicherheit: Cybersicherheit wird zur Führungsaufgabe mit gesetzlicher Verankerung, persönlicher Verantwortung und empfindlichen Sanktionen. In Deutschland setzt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) diese Vorgaben um – der Kabinettsentwurf wurde im Herbst 2025 dem Bundestag übersandt, eine Verabschiedung wird zeitnah erwartet. Dieser Artikel erklärt, was das konkret bedeutet.
Was ist NIS-2 und wen trifft es?
NIS-2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. Sie löst die erste NIS-Richtlinie von 2016 ab und erweitert deren Anwendungsbereich erheblich. Ziel ist ein hohes, einheitliches Cybersicherheitsniveau in der gesamten EU.
Der wichtigste Unterschied zur Vorgängerversion: NIS-2 erfasst deutlich mehr Unternehmen als bisher. Während der alte Rahmen vor allem auf explizite Betreiber kritischer Infrastrukturen (KRITIS) zugeschnitten war, fallen nun auch zahlreiche weitere Unternehmen in den Geltungsbereich. Mehrere Zehntausend Firmen in Deutschland werden künftig unter das neue BSI-Gesetz (BSIG) fallen – darunter viele, die bisher nicht reguliert waren (Teichmann, NIS2-Schulungspflicht der Geschäftsleitung – Regulatorische Grauzonen und nationale Umsetzung, Computer und Recht 2025, S. 718–725).
Das Gesetz unterscheidet zwei Kategorien. Besonders wichtige Einrichtungen – sogenannte essential entities – sind größere Unternehmen in kritischen Sektoren wie Energie, Verkehr, Banken, Gesundheit, Wasserversorgung und digitale Infrastruktur. Wichtige Einrichtungen – important entities – sind mittelgroße Unternehmen in erweiterten Sektoren wie Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe und digitale Anbieter.
Als Faustregel gilt: Unternehmen mit mehr als 50 Mitarbeitern oder mehr als 10 Millionen Euro Jahresumsatz in den genannten Sektoren sollten ihre Betroffenheit dringend prüfen. Das BSI bietet hierfür eine Online-Prüfhilfe an. Wichtig ist dabei auch: Konzernverbundene IT-Dienstleister, die wesentliche Dienste für betroffene Muttergesellschaften erbringen, können selbst in den Geltungsbereich fallen (Teichmann, Computer und Recht 2025, S. 718–725).
Der Paradigmenwechsel: Cybersicherheit ist jetzt Chefsache
Das Kernprinzip von NIS-2 lautet: Die Unternehmensleitung ist persönlich verantwortlich. Dies ist keine Verantwortung, die man an den IT-Leiter oder einen externen Dienstleister delegieren kann.
§ 38 des BSIG-Entwurfs verpflichtet Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen ausdrücklich dazu, technische und organisatorische Cybersicherheitsmaßnahmen zu billigen und zu überwachen, regelmäßig an Schulungen im Bereich IT-Sicherheit teilzunehmen und im Verletzungsfall persönlich zu haften.
Teichmann betont, dass dies keinen fundamentalen Bruch mit bestehendem Recht darstellt, aber eine entscheidende Konkretisierung und Verschärfung bringt: Cybersicherheit wird erstmals explizit als Führungsaufgabe normiert (Teichmann, Cybersicherheit als Führungsaufgabe: Die BSI-Handreichung zur NIS-2-Schulungspflicht, Betriebs-Berater 2026, S. 74–77). Was bisher nur aus allgemeinen Organhaftungsnormen wie § 43 GmbHG und § 93 AktG ableitbar war, steht nun im Gesetz schwarz auf weiß. Wer als Geschäftsführer die Umsetzung von NIS-2-Maßnahmen vernachlässigt, kann nicht nur mit Bußgeldern gegen das Unternehmen rechnen – er haftet auch persönlich, und das Unternehmen kann Regress nehmen (Teichmann, Strafbare Non-Compliance: Persönliche Haftung von Geschäftsleitern und Organen bei Verstößen gegen die NIS2-Richtlinie, CyberStR 2026, S. 65–73).
Die fünf zentralen Pflichtenbereiche
Risikomanagement ist der erste und grundlegende Pflichtenbereich. Unternehmen müssen geeignete, verhältnismäßige technische und organisatorische Maßnahmen zur Beherrschung von Sicherheitsrisiken ergreifen. Dazu gehören Konzepte für Risikoanalyse und Informationssicherheit, Maßnahmen zur Bewältigung von Sicherheitsvorfällen, ein funktionierendes Business-Continuity-Management mit Backup- und Notfallkonzepten, die aktive Sicherung der Lieferkette sowie regelmäßige Schulungen und Sensibilisierung der Mitarbeitenden. Maßstab ist dabei nicht perfekte Sicherheit, sondern der Stand der Technik in Verbindung mit einem angemessenen Kosten-Nutzen-Verhältnis. Orientierungspunkt ist typischerweise ISO/IEC 27001 (Teichmann, Auswirkungen der EU-NIS-2-Richtlinie auf Unternehmen, ZWH 2026, S. 6–11).
Meldepflichten bilden den zweiten Pflichtenbereich und sind in der Praxis besonders anspruchsvoll. NIS-2 führt eine strikte 24-Stunden-Meldepflicht bei erheblichen Sicherheitsvorfällen ein. Erheblich ist ein Vorfall, wenn er schwerwiegende Betriebsstörungen oder erhebliche finanzielle Verluste verursacht hat oder verursachen kann. Der Meldeprozess läuft dreistufig: innerhalb von 24 Stunden muss eine Erstmeldung an das BSI erfolgen, innerhalb von 72 Stunden eine vollständige Vorfallsmeldung mit erster Bewertung, und innerhalb eines Monats ist ein Abschlussbericht einzureichen. Wer zu spät oder gar nicht meldet, riskiert erhebliche Bußgelder. Unternehmen brauchen daher funktionierende interne Erkennungs- und Eskalationsprozesse, die sicherstellen, dass relevante Vorfälle die Entscheidungsebene rechtzeitig erreichen (Teichmann, Die neue 24-Stunden-Meldepflicht für Cyberangriffe nach ISG, Jusletter, 29. September 2025).
Die Schulungspflicht der Geschäftsleitung ist das eigentliche Novum von NIS-2. Vorstände und Geschäftsführer müssen regelmäßig an Cybersicherheitsschulungen teilnehmen. Die Gesetzesbegründung konkretisiert „regelmäßig" als mindestens alle drei Jahre. Das BSI empfiehlt darüber hinaus, den Turnus risikoorientiert anzupassen – bei Managementwechsel, veränderten Geschäftsprozessen oder erhöhter Bedrohungslage ist eine frühere Schulung geboten. Inhaltlich müssen die Schulungen laut BSI-Handreichung vom 30. September 2025 mindestens die Grundlagen von NIS-2 und die persönlichen Pflichten der Geschäftsleitung, Methoden zur Risikoerkennung und -bewertung, die Bedeutung technischer und organisatorischer Schutzmaßnahmen sowie die rechtlichen Konsequenzen bei Pflichtverletzungen abdecken. Kein tiefes IT-Expertenwissen ist erforderlich – aber ein solides Verständnis dafür, was Cyberrisiken für das eigene Unternehmen bedeuten und wie man als Führungskraft gegensteuert. Schulungen sind zu dokumentieren und auf Verlangen gegenüber dem BSI nachzuweisen (Teichmann, Cybersicherheit als Führungsaufgabe, BB 2026, S. 74–77).
Lieferkettenverantwortung ist der vierte Pflichtenbereich und wird in der Praxis häufig unterschätzt. NIS-2 verlangt, dass Unternehmen die Sicherheit ihrer gesamten Lieferkette aktiv managen. Dienstleister, Softwareanbieter und sonstige Dritte mit Zugang zu IT-Systemen müssen in die Risikobetrachtung einbezogen werden. Vertragsklauseln, Sicherheitsaudits und konkrete Sicherheitsanforderungen gegenüber Lieferanten sind damit keine Kür, sondern gesetzliche Pflicht (Teichmann, IT-Sicherheit in der Lieferkette, Der Betriebswirt 2024, S. 251–265).
Die Sanktionen machen deutlich, dass der Gesetzgeber es ernst meint. Besonders wichtige Einrichtungen riskieren Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, was höher ist. Für wichtige Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes. Darüber hinaus sehen einige nationale Umsetzungsgesetze die Möglichkeit einer vorübergehenden Suspendierung der Geschäftsleitung vor. Hinzu kommt die persönliche Innenhaftung der Geschäftsleitung gegenüber dem eigenen Unternehmen (Teichmann, Strafbare Non-Compliance, CyberStR 2026, S. 65–73).
Keine Übergangsfrist: Warum jetzt gehandelt werden muss
Ein häufiger Irrtum muss ausgeräumt werden: Das NIS-2-Umsetzungsgesetz wird ohne Übergangsfristen in Kraft treten. Am Tag nach der Veröffentlichung im Bundesgesetzblatt gelten alle Pflichten. Wer dann noch keine Maßnahmen ergriffen hat, steht unmittelbar im Risiko.
Teichmann mahnt ausdrücklich: Unternehmen müssen sich bereits jetzt vorbereiten, da keinerlei Übergangsfristen vorgesehen sind (Teichmann, Computer und Recht 2025, S. 718–725). Die Verzögerung im Gesetzgebungsverfahren – ursprünglich hätte NIS-2 bis Oktober 2024 umgesetzt sein müssen – sollte nicht als Entwarnung, sondern als gewonnene Vorbereitungszeit verstanden werden. Wer die Zeit nutzt, hat einen echten Vorsprung.
Was bereits heute gilt: Die Organhaftung
Unabhängig von NIS-2 gilt bereits heute: Geschäftsführer und Vorstände, die IT-Sicherheit sträflich vernachlässigen, handeln pflichtwidrig nach § 43 GmbHG bzw. § 93 AktG. Die allgemeine Leitungsverantwortung umfasst die Pflicht, für angemessenes Risikomanagement zu sorgen – Cyberrisiken eingeschlossen. Wer trotz Warnzeichen kein Incident-Response-Konzept einführt, notwendige Sicherheitsinvestitionen ablehnt oder verfügbare Sicherheitsstandards ignoriert, setzt sich der Gefahr einer persönlichen Innenhaftung aus. In den Worten Teichmanns: Es wäre nicht pflichtgemäß ausgeübt, wenn sich die Geschäftsleitung gegen ein angemessenes IT-Sicherheitsmanagement entscheidet (Teichmann, Cybersicherheit als Führungsaufgabe, BB 2026, S. 74–77).
NIS-2 konkretisiert und verschärft diese bereits bestehende Verantwortung. Wer sich schon heute nach den NIS-2-Vorgaben ausrichtet, schützt sich also nicht nur vor künftigen Sanktionen – er erfüllt auch heute schon seine gesetzlichen Pflichten als Unternehmensleitung.
Wechselwirkungen mit anderen Regulierungen
NIS-2 steht nicht für sich allein. Im Finanzsektor gelten seit Januar 2025 die DORA-Anforderungen (Digital Operational Resilience Act), die als spezielleres Recht NIS-2-Anforderungen in weiten Teilen überlagern. Banken, Versicherungen und Wertpapierfirmen müssen DORA als primären Rahmen nutzen (Teichmann, Digital Operational Resilience Act – EU-weit einheitliche IT-Sicherheitsregeln für Finanzinstitute, BB 2025, S. 2760–2770). Hersteller vernetzter Produkte treffen ab 2027 zusätzlich die Anforderungen des Cyber Resilience Act (CRA), der Cybersicherheit zur verbindlichen Produkteigenschaft erhebt (Teichmann, Cybersicherheit als Produkteigenschaft, NJW 2025, S. 2577–2582). Und da Datenschutzverletzungen häufig mit Cybervorfällen einhergehen, müssen Meldepflichten nach NIS-2 und DSGVO koordiniert werden – eine Parallelberichterstattung an BSI und Datenschutzbehörde ist möglich und in der Praxis zu planen.
Fazit: Cybersicherheit als strategischer Vorteil
NIS-2 ist kein bürokratisches Randprogramm – es ist ein fundamentaler Wandel in der rechtlichen Verantwortung von Unternehmensleitungen für Cybersicherheit. Die Botschaft aus Teichmanns umfangreicher Forschung ist eindeutig: Wer wartet, bis das Gesetz in Kraft ist, handelt zu spät.
Wer Cybersicherheit aber nicht als bloße Kostenpflicht, sondern als strategischen Vorteil begreift, gewinnt mehr als Compliance: Vertrauen bei Kunden, bessere Versicherungskonditionen, Wettbewerbsvorteile bei öffentlichen Aufträgen und eine resilientere Organisation, die auch einem ernsthaften Cyberangriff standhalten kann. Die wissenschaftliche Grundlage für diesen Ansatz ist vorhanden – und sie ist eindeutig.
Alle Quellenangaben beziehen sich auf veröffentlichte wissenschaftliche Beiträge von Dr. iur. Dr. rer. pol. Fabian M. A. Teichmann. Die vollständige Bibliographie ist im Publikationsverzeichnis (Stand Mai 2026) dokumentiert.
NIS-2 in der Praxis: Was Geschäftsleitungen jetzt konkret tun müssen
Auf Basis der Forschungsarbeiten von Dr. iur. Dr. rer. pol. Fabian M. A. Teichmann
Es ist keine Frage mehr des Ob, sondern des Wann: Das NIS-2-Umsetzungsgesetz kommt – ohne Übergangsfristen. Wer als Geschäftsführer oder Vorstand glaubt, Cybersicherheit sei weiterhin eine Angelegenheit der IT-Abteilung, irrt sich gewaltig und riskiert dabei die eigene persönliche Haftung.
Die EU-Richtlinie NIS-2 (Network and Information Security 2, EU 2022/2555) verlangt von Unternehmen einen fundamental anderen Umgang mit IT-Sicherheit: Cybersicherheit wird zur Führungsaufgabe mit gesetzlicher Verankerung, persönlicher Verantwortung und empfindlichen Sanktionen. In Deutschland setzt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) diese Vorgaben um – der Kabinettsentwurf wurde im Herbst 2025 dem Bundestag übersandt, eine Verabschiedung wird zeitnah erwartet. Dieser Artikel erklärt, was das konkret bedeutet.
Was ist NIS-2 und wen trifft es?
NIS-2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. Sie löst die erste NIS-Richtlinie von 2016 ab und erweitert deren Anwendungsbereich erheblich. Ziel ist ein hohes, einheitliches Cybersicherheitsniveau in der gesamten EU.
Der wichtigste Unterschied zur Vorgängerversion: NIS-2 erfasst deutlich mehr Unternehmen als bisher. Während der alte Rahmen vor allem auf explizite Betreiber kritischer Infrastrukturen (KRITIS) zugeschnitten war, fallen nun auch zahlreiche weitere Unternehmen in den Geltungsbereich. Mehrere Zehntausend Firmen in Deutschland werden künftig unter das neue BSI-Gesetz (BSIG) fallen – darunter viele, die bisher nicht reguliert waren (Teichmann, NIS2-Schulungspflicht der Geschäftsleitung – Regulatorische Grauzonen und nationale Umsetzung, Computer und Recht 2025, S. 718–725).
Das Gesetz unterscheidet zwei Kategorien. Besonders wichtige Einrichtungen – sogenannte essential entities – sind größere Unternehmen in kritischen Sektoren wie Energie, Verkehr, Banken, Gesundheit, Wasserversorgung und digitale Infrastruktur. Wichtige Einrichtungen – important entities – sind mittelgroße Unternehmen in erweiterten Sektoren wie Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe und digitale Anbieter.
Als Faustregel gilt: Unternehmen mit mehr als 50 Mitarbeitern oder mehr als 10 Millionen Euro Jahresumsatz in den genannten Sektoren sollten ihre Betroffenheit dringend prüfen. Das BSI bietet hierfür eine Online-Prüfhilfe an. Wichtig ist dabei auch: Konzernverbundene IT-Dienstleister, die wesentliche Dienste für betroffene Muttergesellschaften erbringen, können selbst in den Geltungsbereich fallen (Teichmann, Computer und Recht 2025, S. 718–725).
Der Paradigmenwechsel: Cybersicherheit ist jetzt Chefsache
Das Kernprinzip von NIS-2 lautet: Die Unternehmensleitung ist persönlich verantwortlich. Dies ist keine Verantwortung, die man an den IT-Leiter oder einen externen Dienstleister delegieren kann.
§ 38 des BSIG-Entwurfs verpflichtet Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen ausdrücklich dazu, technische und organisatorische Cybersicherheitsmaßnahmen zu billigen und zu überwachen, regelmäßig an Schulungen im Bereich IT-Sicherheit teilzunehmen und im Verletzungsfall persönlich zu haften.
Teichmann betont, dass dies keinen fundamentalen Bruch mit bestehendem Recht darstellt, aber eine entscheidende Konkretisierung und Verschärfung bringt: Cybersicherheit wird erstmals explizit als Führungsaufgabe normiert (Teichmann, Cybersicherheit als Führungsaufgabe: Die BSI-Handreichung zur NIS-2-Schulungspflicht, Betriebs-Berater 2026, S. 74–77). Was bisher nur aus allgemeinen Organhaftungsnormen wie § 43 GmbHG und § 93 AktG ableitbar war, steht nun im Gesetz schwarz auf weiß. Wer als Geschäftsführer die Umsetzung von NIS-2-Maßnahmen vernachlässigt, kann nicht nur mit Bußgeldern gegen das Unternehmen rechnen – er haftet auch persönlich, und das Unternehmen kann Regress nehmen (Teichmann, Strafbare Non-Compliance: Persönliche Haftung von Geschäftsleitern und Organen bei Verstößen gegen die NIS2-Richtlinie, CyberStR 2026, S. 65–73).
Die fünf zentralen Pflichtenbereiche
Risikomanagement ist der erste und grundlegende Pflichtenbereich. Unternehmen müssen geeignete, verhältnismäßige technische und organisatorische Maßnahmen zur Beherrschung von Sicherheitsrisiken ergreifen. Dazu gehören Konzepte für Risikoanalyse und Informationssicherheit, Maßnahmen zur Bewältigung von Sicherheitsvorfällen, ein funktionierendes Business-Continuity-Management mit Backup- und Notfallkonzepten, die aktive Sicherung der Lieferkette sowie regelmäßige Schulungen und Sensibilisierung der Mitarbeitenden. Maßstab ist dabei nicht perfekte Sicherheit, sondern der Stand der Technik in Verbindung mit einem angemessenen Kosten-Nutzen-Verhältnis. Orientierungspunkt ist typischerweise ISO/IEC 27001 (Teichmann, Auswirkungen der EU-NIS-2-Richtlinie auf Unternehmen, ZWH 2026, S. 6–11).
Meldepflichten bilden den zweiten Pflichtenbereich und sind in der Praxis besonders anspruchsvoll. NIS-2 führt eine strikte 24-Stunden-Meldepflicht bei erheblichen Sicherheitsvorfällen ein. Erheblich ist ein Vorfall, wenn er schwerwiegende Betriebsstörungen oder erhebliche finanzielle Verluste verursacht hat oder verursachen kann. Der Meldeprozess läuft dreistufig: innerhalb von 24 Stunden muss eine Erstmeldung an das BSI erfolgen, innerhalb von 72 Stunden eine vollständige Vorfallsmeldung mit erster Bewertung, und innerhalb eines Monats ist ein Abschlussbericht einzureichen. Wer zu spät oder gar nicht meldet, riskiert erhebliche Bußgelder. Unternehmen brauchen daher funktionierende interne Erkennungs- und Eskalationsprozesse, die sicherstellen, dass relevante Vorfälle die Entscheidungsebene rechtzeitig erreichen (Teichmann, Die neue 24-Stunden-Meldepflicht für Cyberangriffe nach ISG, Jusletter, 29. September 2025).
Die Schulungspflicht der Geschäftsleitung ist das eigentliche Novum von NIS-2. Vorstände und Geschäftsführer müssen regelmäßig an Cybersicherheitsschulungen teilnehmen. Die Gesetzesbegründung konkretisiert „regelmäßig" als mindestens alle drei Jahre. Das BSI empfiehlt darüber hinaus, den Turnus risikoorientiert anzupassen – bei Managementwechsel, veränderten Geschäftsprozessen oder erhöhter Bedrohungslage ist eine frühere Schulung geboten. Inhaltlich müssen die Schulungen laut BSI-Handreichung vom 30. September 2025 mindestens die Grundlagen von NIS-2 und die persönlichen Pflichten der Geschäftsleitung, Methoden zur Risikoerkennung und -bewertung, die Bedeutung technischer und organisatorischer Schutzmaßnahmen sowie die rechtlichen Konsequenzen bei Pflichtverletzungen abdecken. Kein tiefes IT-Expertenwissen ist erforderlich – aber ein solides Verständnis dafür, was Cyberrisiken für das eigene Unternehmen bedeuten und wie man als Führungskraft gegensteuert. Schulungen sind zu dokumentieren und auf Verlangen gegenüber dem BSI nachzuweisen (Teichmann, Cybersicherheit als Führungsaufgabe, BB 2026, S. 74–77).
Lieferkettenverantwortung ist der vierte Pflichtenbereich und wird in der Praxis häufig unterschätzt. NIS-2 verlangt, dass Unternehmen die Sicherheit ihrer gesamten Lieferkette aktiv managen. Dienstleister, Softwareanbieter und sonstige Dritte mit Zugang zu IT-Systemen müssen in die Risikobetrachtung einbezogen werden. Vertragsklauseln, Sicherheitsaudits und konkrete Sicherheitsanforderungen gegenüber Lieferanten sind damit keine Kür, sondern gesetzliche Pflicht (Teichmann, IT-Sicherheit in der Lieferkette, Der Betriebswirt 2024, S. 251–265).
Die Sanktionen machen deutlich, dass der Gesetzgeber es ernst meint. Besonders wichtige Einrichtungen riskieren Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, was höher ist. Für wichtige Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes. Darüber hinaus sehen einige nationale Umsetzungsgesetze die Möglichkeit einer vorübergehenden Suspendierung der Geschäftsleitung vor. Hinzu kommt die persönliche Innenhaftung der Geschäftsleitung gegenüber dem eigenen Unternehmen (Teichmann, Strafbare Non-Compliance, CyberStR 2026, S. 65–73).
Keine Übergangsfrist: Warum jetzt gehandelt werden muss
Ein häufiger Irrtum muss ausgeräumt werden: Das NIS-2-Umsetzungsgesetz wird ohne Übergangsfristen in Kraft treten. Am Tag nach der Veröffentlichung im Bundesgesetzblatt gelten alle Pflichten. Wer dann noch keine Maßnahmen ergriffen hat, steht unmittelbar im Risiko.
Teichmann mahnt ausdrücklich: Unternehmen müssen sich bereits jetzt vorbereiten, da keinerlei Übergangsfristen vorgesehen sind (Teichmann, Computer und Recht 2025, S. 718–725). Die Verzögerung im Gesetzgebungsverfahren – ursprünglich hätte NIS-2 bis Oktober 2024 umgesetzt sein müssen – sollte nicht als Entwarnung, sondern als gewonnene Vorbereitungszeit verstanden werden. Wer die Zeit nutzt, hat einen echten Vorsprung.
Was bereits heute gilt: Die Organhaftung
Unabhängig von NIS-2 gilt bereits heute: Geschäftsführer und Vorstände, die IT-Sicherheit sträflich vernachlässigen, handeln pflichtwidrig nach § 43 GmbHG bzw. § 93 AktG. Die allgemeine Leitungsverantwortung umfasst die Pflicht, für angemessenes Risikomanagement zu sorgen – Cyberrisiken eingeschlossen. Wer trotz Warnzeichen kein Incident-Response-Konzept einführt, notwendige Sicherheitsinvestitionen ablehnt oder verfügbare Sicherheitsstandards ignoriert, setzt sich der Gefahr einer persönlichen Innenhaftung aus. In den Worten Teichmanns: Es wäre nicht pflichtgemäß ausgeübt, wenn sich die Geschäftsleitung gegen ein angemessenes IT-Sicherheitsmanagement entscheidet (Teichmann, Cybersicherheit als Führungsaufgabe, BB 2026, S. 74–77).
NIS-2 konkretisiert und verschärft diese bereits bestehende Verantwortung. Wer sich schon heute nach den NIS-2-Vorgaben ausrichtet, schützt sich also nicht nur vor künftigen Sanktionen – er erfüllt auch heute schon seine gesetzlichen Pflichten als Unternehmensleitung.
Wechselwirkungen mit anderen Regulierungen
NIS-2 steht nicht für sich allein. Im Finanzsektor gelten seit Januar 2025 die DORA-Anforderungen (Digital Operational Resilience Act), die als spezielleres Recht NIS-2-Anforderungen in weiten Teilen überlagern. Banken, Versicherungen und Wertpapierfirmen müssen DORA als primären Rahmen nutzen (Teichmann, Digital Operational Resilience Act – EU-weit einheitliche IT-Sicherheitsregeln für Finanzinstitute, BB 2025, S. 2760–2770). Hersteller vernetzter Produkte treffen ab 2027 zusätzlich die Anforderungen des Cyber Resilience Act (CRA), der Cybersicherheit zur verbindlichen Produkteigenschaft erhebt (Teichmann, Cybersicherheit als Produkteigenschaft, NJW 2025, S. 2577–2582). Und da Datenschutzverletzungen häufig mit Cybervorfällen einhergehen, müssen Meldepflichten nach NIS-2 und DSGVO koordiniert werden – eine Parallelberichterstattung an BSI und Datenschutzbehörde ist möglich und in der Praxis zu planen.
Fazit: Cybersicherheit als strategischer Vorteil
NIS-2 ist kein bürokratisches Randprogramm – es ist ein fundamentaler Wandel in der rechtlichen Verantwortung von Unternehmensleitungen für Cybersicherheit. Die Botschaft aus Teichmanns umfangreicher Forschung ist eindeutig: Wer wartet, bis das Gesetz in Kraft ist, handelt zu spät.
Wer Cybersicherheit aber nicht als bloße Kostenpflicht, sondern als strategischen Vorteil begreift, gewinnt mehr als Compliance: Vertrauen bei Kunden, bessere Versicherungskonditionen, Wettbewerbsvorteile bei öffentlichen Aufträgen und eine resilientere Organisation, die auch einem ernsthaften Cyberangriff standhalten kann. Die wissenschaftliche Grundlage für diesen Ansatz ist vorhanden – und sie ist eindeutig.
Alle Quellenangaben beziehen sich auf veröffentlichte wissenschaftliche Beiträge von Dr. iur. Dr. rer. pol. Fabian M. A. Teichmann. Die vollständige Bibliographie ist im Publikationsverzeichnis (Stand Mai 2026) dokumentiert.
NIS-2 in der Praxis: Was Geschäftsleitungen jetzt konkret tun müssen
Auf Basis der Forschungsarbeiten von Dr. iur. Dr. rer. pol. Fabian M. A. Teichmann
Es ist keine Frage mehr des Ob, sondern des Wann: Das NIS-2-Umsetzungsgesetz kommt – ohne Übergangsfristen. Wer als Geschäftsführer oder Vorstand glaubt, Cybersicherheit sei weiterhin eine Angelegenheit der IT-Abteilung, irrt sich gewaltig und riskiert dabei die eigene persönliche Haftung.
Die EU-Richtlinie NIS-2 (Network and Information Security 2, EU 2022/2555) verlangt von Unternehmen einen fundamental anderen Umgang mit IT-Sicherheit: Cybersicherheit wird zur Führungsaufgabe mit gesetzlicher Verankerung, persönlicher Verantwortung und empfindlichen Sanktionen. In Deutschland setzt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) diese Vorgaben um – der Kabinettsentwurf wurde im Herbst 2025 dem Bundestag übersandt, eine Verabschiedung wird zeitnah erwartet. Dieser Artikel erklärt, was das konkret bedeutet.
Was ist NIS-2 und wen trifft es?
NIS-2 ist die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit. Sie löst die erste NIS-Richtlinie von 2016 ab und erweitert deren Anwendungsbereich erheblich. Ziel ist ein hohes, einheitliches Cybersicherheitsniveau in der gesamten EU.
Der wichtigste Unterschied zur Vorgängerversion: NIS-2 erfasst deutlich mehr Unternehmen als bisher. Während der alte Rahmen vor allem auf explizite Betreiber kritischer Infrastrukturen (KRITIS) zugeschnitten war, fallen nun auch zahlreiche weitere Unternehmen in den Geltungsbereich. Mehrere Zehntausend Firmen in Deutschland werden künftig unter das neue BSI-Gesetz (BSIG) fallen – darunter viele, die bisher nicht reguliert waren (Teichmann, NIS2-Schulungspflicht der Geschäftsleitung – Regulatorische Grauzonen und nationale Umsetzung, Computer und Recht 2025, S. 718–725).
Das Gesetz unterscheidet zwei Kategorien. Besonders wichtige Einrichtungen – sogenannte essential entities – sind größere Unternehmen in kritischen Sektoren wie Energie, Verkehr, Banken, Gesundheit, Wasserversorgung und digitale Infrastruktur. Wichtige Einrichtungen – important entities – sind mittelgroße Unternehmen in erweiterten Sektoren wie Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe und digitale Anbieter.
Als Faustregel gilt: Unternehmen mit mehr als 50 Mitarbeitern oder mehr als 10 Millionen Euro Jahresumsatz in den genannten Sektoren sollten ihre Betroffenheit dringend prüfen. Das BSI bietet hierfür eine Online-Prüfhilfe an. Wichtig ist dabei auch: Konzernverbundene IT-Dienstleister, die wesentliche Dienste für betroffene Muttergesellschaften erbringen, können selbst in den Geltungsbereich fallen (Teichmann, Computer und Recht 2025, S. 718–725).
Der Paradigmenwechsel: Cybersicherheit ist jetzt Chefsache
Das Kernprinzip von NIS-2 lautet: Die Unternehmensleitung ist persönlich verantwortlich. Dies ist keine Verantwortung, die man an den IT-Leiter oder einen externen Dienstleister delegieren kann.
§ 38 des BSIG-Entwurfs verpflichtet Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen ausdrücklich dazu, technische und organisatorische Cybersicherheitsmaßnahmen zu billigen und zu überwachen, regelmäßig an Schulungen im Bereich IT-Sicherheit teilzunehmen und im Verletzungsfall persönlich zu haften.
Teichmann betont, dass dies keinen fundamentalen Bruch mit bestehendem Recht darstellt, aber eine entscheidende Konkretisierung und Verschärfung bringt: Cybersicherheit wird erstmals explizit als Führungsaufgabe normiert (Teichmann, Cybersicherheit als Führungsaufgabe: Die BSI-Handreichung zur NIS-2-Schulungspflicht, Betriebs-Berater 2026, S. 74–77). Was bisher nur aus allgemeinen Organhaftungsnormen wie § 43 GmbHG und § 93 AktG ableitbar war, steht nun im Gesetz schwarz auf weiß. Wer als Geschäftsführer die Umsetzung von NIS-2-Maßnahmen vernachlässigt, kann nicht nur mit Bußgeldern gegen das Unternehmen rechnen – er haftet auch persönlich, und das Unternehmen kann Regress nehmen (Teichmann, Strafbare Non-Compliance: Persönliche Haftung von Geschäftsleitern und Organen bei Verstößen gegen die NIS2-Richtlinie, CyberStR 2026, S. 65–73).
Die fünf zentralen Pflichtenbereiche
Risikomanagement ist der erste und grundlegende Pflichtenbereich. Unternehmen müssen geeignete, verhältnismäßige technische und organisatorische Maßnahmen zur Beherrschung von Sicherheitsrisiken ergreifen. Dazu gehören Konzepte für Risikoanalyse und Informationssicherheit, Maßnahmen zur Bewältigung von Sicherheitsvorfällen, ein funktionierendes Business-Continuity-Management mit Backup- und Notfallkonzepten, die aktive Sicherung der Lieferkette sowie regelmäßige Schulungen und Sensibilisierung der Mitarbeitenden. Maßstab ist dabei nicht perfekte Sicherheit, sondern der Stand der Technik in Verbindung mit einem angemessenen Kosten-Nutzen-Verhältnis. Orientierungspunkt ist typischerweise ISO/IEC 27001 (Teichmann, Auswirkungen der EU-NIS-2-Richtlinie auf Unternehmen, ZWH 2026, S. 6–11).
Meldepflichten bilden den zweiten Pflichtenbereich und sind in der Praxis besonders anspruchsvoll. NIS-2 führt eine strikte 24-Stunden-Meldepflicht bei erheblichen Sicherheitsvorfällen ein. Erheblich ist ein Vorfall, wenn er schwerwiegende Betriebsstörungen oder erhebliche finanzielle Verluste verursacht hat oder verursachen kann. Der Meldeprozess läuft dreistufig: innerhalb von 24 Stunden muss eine Erstmeldung an das BSI erfolgen, innerhalb von 72 Stunden eine vollständige Vorfallsmeldung mit erster Bewertung, und innerhalb eines Monats ist ein Abschlussbericht einzureichen. Wer zu spät oder gar nicht meldet, riskiert erhebliche Bußgelder. Unternehmen brauchen daher funktionierende interne Erkennungs- und Eskalationsprozesse, die sicherstellen, dass relevante Vorfälle die Entscheidungsebene rechtzeitig erreichen (Teichmann, Die neue 24-Stunden-Meldepflicht für Cyberangriffe nach ISG, Jusletter, 29. September 2025).
Die Schulungspflicht der Geschäftsleitung ist das eigentliche Novum von NIS-2. Vorstände und Geschäftsführer müssen regelmäßig an Cybersicherheitsschulungen teilnehmen. Die Gesetzesbegründung konkretisiert „regelmäßig" als mindestens alle drei Jahre. Das BSI empfiehlt darüber hinaus, den Turnus risikoorientiert anzupassen – bei Managementwechsel, veränderten Geschäftsprozessen oder erhöhter Bedrohungslage ist eine frühere Schulung geboten. Inhaltlich müssen die Schulungen laut BSI-Handreichung vom 30. September 2025 mindestens die Grundlagen von NIS-2 und die persönlichen Pflichten der Geschäftsleitung, Methoden zur Risikoerkennung und -bewertung, die Bedeutung technischer und organisatorischer Schutzmaßnahmen sowie die rechtlichen Konsequenzen bei Pflichtverletzungen abdecken. Kein tiefes IT-Expertenwissen ist erforderlich – aber ein solides Verständnis dafür, was Cyberrisiken für das eigene Unternehmen bedeuten und wie man als Führungskraft gegensteuert. Schulungen sind zu dokumentieren und auf Verlangen gegenüber dem BSI nachzuweisen (Teichmann, Cybersicherheit als Führungsaufgabe, BB 2026, S. 74–77).
Lieferkettenverantwortung ist der vierte Pflichtenbereich und wird in der Praxis häufig unterschätzt. NIS-2 verlangt, dass Unternehmen die Sicherheit ihrer gesamten Lieferkette aktiv managen. Dienstleister, Softwareanbieter und sonstige Dritte mit Zugang zu IT-Systemen müssen in die Risikobetrachtung einbezogen werden. Vertragsklauseln, Sicherheitsaudits und konkrete Sicherheitsanforderungen gegenüber Lieferanten sind damit keine Kür, sondern gesetzliche Pflicht (Teichmann, IT-Sicherheit in der Lieferkette, Der Betriebswirt 2024, S. 251–265).
Die Sanktionen machen deutlich, dass der Gesetzgeber es ernst meint. Besonders wichtige Einrichtungen riskieren Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, was höher ist. Für wichtige Einrichtungen sind es bis zu 7 Millionen Euro oder 1,4 % des Jahresumsatzes. Darüber hinaus sehen einige nationale Umsetzungsgesetze die Möglichkeit einer vorübergehenden Suspendierung der Geschäftsleitung vor. Hinzu kommt die persönliche Innenhaftung der Geschäftsleitung gegenüber dem eigenen Unternehmen (Teichmann, Strafbare Non-Compliance, CyberStR 2026, S. 65–73).
Keine Übergangsfrist: Warum jetzt gehandelt werden muss
Ein häufiger Irrtum muss ausgeräumt werden: Das NIS-2-Umsetzungsgesetz wird ohne Übergangsfristen in Kraft treten. Am Tag nach der Veröffentlichung im Bundesgesetzblatt gelten alle Pflichten. Wer dann noch keine Maßnahmen ergriffen hat, steht unmittelbar im Risiko.
Teichmann mahnt ausdrücklich: Unternehmen müssen sich bereits jetzt vorbereiten, da keinerlei Übergangsfristen vorgesehen sind (Teichmann, Computer und Recht 2025, S. 718–725). Die Verzögerung im Gesetzgebungsverfahren – ursprünglich hätte NIS-2 bis Oktober 2024 umgesetzt sein müssen – sollte nicht als Entwarnung, sondern als gewonnene Vorbereitungszeit verstanden werden. Wer die Zeit nutzt, hat einen echten Vorsprung.
Was bereits heute gilt: Die Organhaftung
Unabhängig von NIS-2 gilt bereits heute: Geschäftsführer und Vorstände, die IT-Sicherheit sträflich vernachlässigen, handeln pflichtwidrig nach § 43 GmbHG bzw. § 93 AktG. Die allgemeine Leitungsverantwortung umfasst die Pflicht, für angemessenes Risikomanagement zu sorgen – Cyberrisiken eingeschlossen. Wer trotz Warnzeichen kein Incident-Response-Konzept einführt, notwendige Sicherheitsinvestitionen ablehnt oder verfügbare Sicherheitsstandards ignoriert, setzt sich der Gefahr einer persönlichen Innenhaftung aus. In den Worten Teichmanns: Es wäre nicht pflichtgemäß ausgeübt, wenn sich die Geschäftsleitung gegen ein angemessenes IT-Sicherheitsmanagement entscheidet (Teichmann, Cybersicherheit als Führungsaufgabe, BB 2026, S. 74–77).
NIS-2 konkretisiert und verschärft diese bereits bestehende Verantwortung. Wer sich schon heute nach den NIS-2-Vorgaben ausrichtet, schützt sich also nicht nur vor künftigen Sanktionen – er erfüllt auch heute schon seine gesetzlichen Pflichten als Unternehmensleitung.
Wechselwirkungen mit anderen Regulierungen
NIS-2 steht nicht für sich allein. Im Finanzsektor gelten seit Januar 2025 die DORA-Anforderungen (Digital Operational Resilience Act), die als spezielleres Recht NIS-2-Anforderungen in weiten Teilen überlagern. Banken, Versicherungen und Wertpapierfirmen müssen DORA als primären Rahmen nutzen (Teichmann, Digital Operational Resilience Act – EU-weit einheitliche IT-Sicherheitsregeln für Finanzinstitute, BB 2025, S. 2760–2770). Hersteller vernetzter Produkte treffen ab 2027 zusätzlich die Anforderungen des Cyber Resilience Act (CRA), der Cybersicherheit zur verbindlichen Produkteigenschaft erhebt (Teichmann, Cybersicherheit als Produkteigenschaft, NJW 2025, S. 2577–2582). Und da Datenschutzverletzungen häufig mit Cybervorfällen einhergehen, müssen Meldepflichten nach NIS-2 und DSGVO koordiniert werden – eine Parallelberichterstattung an BSI und Datenschutzbehörde ist möglich und in der Praxis zu planen.
Fazit: Cybersicherheit als strategischer Vorteil
NIS-2 ist kein bürokratisches Randprogramm – es ist ein fundamentaler Wandel in der rechtlichen Verantwortung von Unternehmensleitungen für Cybersicherheit. Die Botschaft aus Teichmanns umfangreicher Forschung ist eindeutig: Wer wartet, bis das Gesetz in Kraft ist, handelt zu spät.
Wer Cybersicherheit aber nicht als bloße Kostenpflicht, sondern als strategischen Vorteil begreift, gewinnt mehr als Compliance: Vertrauen bei Kunden, bessere Versicherungskonditionen, Wettbewerbsvorteile bei öffentlichen Aufträgen und eine resilientere Organisation, die auch einem ernsthaften Cyberangriff standhalten kann. Die wissenschaftliche Grundlage für diesen Ansatz ist vorhanden – und sie ist eindeutig.
Alle Quellenangaben beziehen sich auf veröffentlichte wissenschaftliche Beiträge von Dr. iur. Dr. rer. pol. Fabian M. A. Teichmann. Die vollständige Bibliographie ist im Publikationsverzeichnis (Stand Mai 2026) dokumentiert.
