NIS2-Richtlinie: Cybersicherheit wird zur Chefsache – Haftung, Pflichten und Chancen für Unternehmen

Von Nouha Schönbrunn

Das NIS2‑Umsetzungsgesetz ist in Kraft getreten – damit liegt die Verantwortung für Cybersicherheit zum ersten Mal bei der obersten Führungsebene.

Die NIS2-Richtlinie sieht vor, dass neben den klassischen kritischen Infrastrukturen nun auch mittlere Unternehmen in zahlreichen Branchen ab 50 Mitarbeitenden oder zehn Millionen Euro Umsatz ihre Cyberrisiken systematisch steuern müssen. Seit dem 6. Januar müssen sich betroffene Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik für die Meldung von Vorfällen registrieren. Für viele Mittelständler ist dies ein kultureller und organisatorischer Wandel – von der reinen Erkennung von Cyberrisiken zu deren aktivem Management und einer nachweisbaren Kontrolle.

Billigung und Überwachung von Maßnahmen wird Chefsache

Was bei NIS2 besonders ins Gewicht fällt, ist die persönliche Haftung der Unternehmensleitung für die Cybersicherheitsstrategie, wenn Risiken nicht angemessen gesteuert, Meldepflichten verletzt oder Vorgaben zur Governance missachtet werden. Maßnahmen können zwar operativ delegiert werden, die letztliche Verantwortung bleibt jedoch bei Geschäftsführung und Vorstand. Der Blick in Artikel 20 und 21 der NIS2-Richlinie zeigt dabei, worauf die Leitungsebene im Kern zu achten hat: Sie muss die Risikomanagementmaßnahmen für die Cybersicherheit „billigen“ und deren Umsetzung „überwachen“. Das bedeutet: Die Strategie muss wirklich verstanden werden. Den Haken unter eine vorbereitete Unterlage zu setzen, reicht nicht. Gefordert wird dabei ein risikobasierter Ansatz: Risiken müssen systematisch identifiziert, bewertet und mit geeigneten Maßnahmen adressiert werden. Dies umfasst technische, organisatorische und personelle Risiken genauso wie die Liefer- und Dienstleistungskette. Nur wenn die Geschäftsführung nachweisen kann, dass angemessene Schritte unternommen wurden, um die geforderten Prozesse einzurichten, sind die Vorgaben erfüllt.

Dokumentation als Schutzinstrument

Ein zentraler Aspekt ist die lückenlose Dokumentation. Protokolle von Vorstandssitzungen, Beschlüsse zu Sicherheitsstrategien, Budgetfreigaben, Prüfungen externer Gutachter und Monitoringberichte bilden die Grundlage defensiver Governance. Sie belegen im Ernstfall, dass die Leitung ihrer Pflicht nachgekommen ist. Ohne nachvollziehbare Nachweise drohen Bußgelder von je nach Unternehmenskategorie bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, Reputationsverlust und persönliche Haftungsrisiken für die oberste Führungsebene.

Chef drückt mit Mitarbeitenden die Schulbank

Die NIS2-Vorgaben zu den Verantwortlichkeiten der Unternehmensleitung sind auch ein deutlicher Aufruf zu profunder Cybersicherheitsschulung. Einerseits muss die Geschäftsführung selbst regelmäßig an Schulungen teilnehmen und sich zum Thema fortlaufend informieren, um Cyberrisiken verstehen und fundierte Entscheidungen treffen zu können. Andererseits muss sie sicherstellen, dass im Unternehmen ein Bewusstsein für Cybersicherheit im Tagesgeschäft etabliert wird – was wiederum ein angemessenes Schulungsangebot für Mitarbeitende bedingt.

Fazit: Strenge Vorgaben als Chance – Cybersicherheit wird zum strategischen Asset

Die Intention hinter den rigiden Sanktionen und der persönlichen Haftung der Geschäftsleitung, die NIS2 vorsieht, ist klar: Unternehmen sollen ihre IT-Sicherheit nicht als Nachgedanken behandeln, sondern frühzeitig investieren, kontinuierlich überprüfen und zielgerichtet optimieren. Für die Führungsebene ist dies eine Chance, Cybersicherheit als ein strategisches Asset zu etablieren. Denn die Umsetzung der NIS2-Richtlinie geht weit über Compliance hinaus: Unternehmen, die Risiken transparent machen, Entscheidungen nachvollziehbar dokumentieren und Maßnahmen konsequent überwachen, stärken nicht nur das Vertrauen bei Kunden und Partnern. Sie werden auch resilienter, wettbewerbsfähiger und steigern ihre Innovationsfähigkeit.

Zentrale Maßnahmen für die Führungsebene: Standards und Kontrolle

Die Etablierung eines Informationssicherheits-Managements (ISMS) nach ISO 27001 bietet ein solides Fundament für die strategische Aufstellung der Cybersecurity. Dieser international anerkannte Standard für Informationssicherheit berücksichtigt umfassend alle entscheidenden technischen und menschlichen Sicherheitsaspekte. Auf Basis der Prüfungsergebnisse können effektive, unternehmensspezifische Maßnahmen getroffen werden. Um dem Kontrollmandat nachzukommen, muss die Geschäftsleitung zudem explizite Kontrollprozesse zur Wirksamkeit der Maßnahmen aufsetzen. Dazu gehört die regelmäßige Berichterstattung durch den Informationssicherheitsbeauftragten (CISO) und ein eindeutiges Kennzahlensystem zur Messung des Informationssicherheitssystems.

Bleiben Sie auf dem Laufenden, abonnieren Sie unseren kostenlosen Newsletter und erhalten Sie immer die neuesten Nachrichten und Analysen direkt in Ihren Posteingang.