Das Gesetz NIS 2 verpflichtet rund 30.000 Unternehmen, umfangreiche Risikomanagement-, Registrierungs- und Meldeprozesse zu installieren oder ihre Strukturen auf den Stand der Technik zu bringen. 

Die Registrierungsfrist für betroffene Unternehmen in Deutschland ist am 6. März 2026 abgelaufen. Registriert haben sich aber erst rund 11.500 Behörden, Unternehmen und andere kritische Einrichtungen, meldet der Branchendienst „Heise“. Wahrscheinlich, weil sie nicht mal wüssten, dass ihre Company unter das neue Gesetz fällt.

Die Folge des Gesetzes: Unternehmenslenker müssen sich etwa um dokumentierte Risikoanalysen, Konzepte zur Bewältigung von Sicherheitsvorfällen, Maßnahmen zur Lieferkettensicherheit, Backup- und Notfallmanagement sowie Mitarbeiterschulungen kümmern. Wer kritische Anlagen betreibt, muss obendrein Systeme zur Angriffserkennung nutzen. Opfer von Sicherheitsvorfällen müssen künftig unter hohem Zeitdruck mit kurzen Fristen die Behörden informieren. Cyber-Anwältin Susanne Werry von Skadden  zeigt im Gastbeitrag die wichtigsten Punkte. Für die Geschäftsführung wird Cybersicherheit damit endgültig zur Compliance- und Haftungsfrage, sagt die Juristin.

Susanne Werry, Skadden

NIS2: Was jetzt auf Geschäftsführer zukommt – die relevantesten sechs Punkte:

1. Viele Unternehmen sind betroffen – oft ohne es zu wissen

NIS2 gilt nicht nur für klassische Betreiber kritischer Infrastrukturen. Auch viele mittelständische Unternehmen aus Industrie, Logistik, Chemie, Lebensmittelproduktion, IT-Dienstleistungen oder digitalen Diensten können unter die Richtlinie fallen. Maßgeblich sind insbesondere Unternehmensgröße, Umsatz und die Bedeutung der erbrachten Dienstleistungen.

2. Registrierung ist Pflicht – die Frist ist schon abgelaufen

Betroffene Unternehmen mussten sich bis zum 6. März 2026 bei dem Bundesamt für Sicherheit in der Informationstechnik  registrieren. Wer das versäumt hat, riskiert aufsichtsrechtliche Konsequenzen wie Bußgelder zwischen 100.000 Euro und 20 Millionen Euro, teils gekoppelt an den Jahresumsatz sowie Sicherheitsüberprüfungen. Die Geschäftsführung sollte deshalb prüfen, ob die Registrierung erfolgt und dokumentiert ist.

3. Cybersicherheit darf der Geschäftsführer nicht wegdelegieren

Nach NIS2 müssen die Unternehmenslenker Sicherheitsmaßnahmen billigen und überwachen. IT-Sicherheit können sie nicht mehr an die IT-Abteilung delegieren. Die Geschäftsführung muss sicherstellen, dass Risiken bewertet, Maßnahmen umgesetzt und regelmäßig berichtet werden.

4. Unternehmen müssen konkrete Sicherheitsmaßnahmen umsetzen

Die Richtlinie verlangt unter anderem Risikoanalysen, Notfall- und Backup-Konzepte, sichere Lieferketten, Zugangskontrollen sowie Schulungen für Mitarbeiter. Entscheidend ist, dass diese Maßnahmen nicht nur existieren, sondern dokumentiert und regelmäßig überprüft werden.

5. Bei Cybervorfällen gelten strenge Meldepflichten

Kommt es zu einem erheblichen IT-Sicherheitsvorfall, müssen Unternehmen diesen innerhalb kurzer Fristen melden und weitere Informationen nachreichen: Die Erstmeldung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) muss binnen 24 Stunden erfolgen, binnen 72 Stunden präzisierte Informationen samt Risikoeinschätzung und ersten Analysen und eine vollständige Abschlussmeldung nach einem Monat.

6. Für Geschäftsführer kann es persönlich riskant werden

NIS2 verschärft die Verantwortung der Unternehmenslenker deutlich. Neben hohen Bußgeldern drohen auch persönliche Haftungsrisiken, wenn sie ihre Organisations- und Aufsichtspflichten bei der Cybersicherheit verletzen. Für viele Top-Manager wird IT-Sicherheit damit zu einem echten Compliance- und Haftungsthema auf Geschäftsführungs-, Vorstands- und auch Aufsichtsratsebene