Die Bundesregierung treibt die Umsetzung der europäischen NIS-2-Richtlinie (Network and Information Security Directive) voran – mit gravierenden Folgen für Unternehmen und insbesondere für deren Geschäftsleitungen.
Der Referentenentwurf zum NIS2UmsuCG vom 23. Juni 2025 stellt klar:
Verantwortlich für die Umsetzung der IT-Sicherheitsanforderungen ist künftig die Geschäftsleitung – persönlich.
Bei Verstößen drohen zivilrechtliche Haftungsansprüche, Bußgelder und in bestimmten Fällen strafrechtliche Konsequenzen. Ein Thema, das kein Geschäftsführer ignorieren sollte.
Worum geht es im NIS2UmsuCG?
Mit dem NIS-2-Umsetzungsgesetz will der Gesetzgeber die Vorgaben der EU-Richtlinie 2022/2555 in deutsches Recht überführen. Ziel: Der Schutz kritischer Infrastrukturen und digitaler Dienste soll angesichts wachsender Cyberbedrohungen deutlich gestärkt werden.
Der Geltungsbereich wird massiv ausgeweitet:
Über 30.000 Unternehmen und Organisationen sollen künftig unter das Gesetz fallen – darunter:
Betreiber kritischer Infrastrukturen (KRITIS),
Betreiber digitaler Dienste,
IT-Dienstleister innerhalb von Konzernen,
Unternehmen aus Bereichen wie Energie, Gesundheit, Transport, Verwaltung, Abfallwirtschaft, Telekommunikation, Datenverarbeitung oder Cloud-Dienste.
Verpflichtungen nach dem neuen Gesetz:
Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI),
Implementierung umfassender technischer und organisatorischer IT-Sicherheitsmaßnahmen,
Verpflichtung zur schnellen Meldung von IT-Sicherheitsvorfällen,
Durchführung von Risikobewertungen und Penetrationstests.
Persönliche Haftung der Geschäftsleitung: Ein Paradigmenwechsel
Der zentrale Unterschied zur bisherigen Gesetzeslage:
Die Verantwortung für die Einhaltung der Sicherheitsanforderungen liegt nicht mehr nur bei der IT-Abteilung oder dem CISO, sondern ausdrücklich bei der Geschäftsleitung.
Das bedeutet:
📌 Geschäftsführer und Vorstände haften persönlich, wenn Sicherheitsvorgaben missachtet werden oder die erforderlichen Maßnahmen nicht getroffen werden.
Dies kann bei Verstößen oder Sicherheitsvorfällen zu:
persönlichem Regress durch geschädigte Dritte oder Gesellschafter,
Bußgeldern in empfindlicher Höhe,
organisationsrechtlicher Pflichtverletzung, insbesondere im Konzernverbund, führen.
Besonders relevant:
Auch IT-Dienstleister in Konzernen werden vom Gesetz erfasst – selbst wenn sie nicht direkt mit dem Endkunden agieren. Damit steigt der interne Druck auf Geschäftsleitungen, auch konzerninterne Strukturen rechtskonform abzusichern.
Was sollten Geschäftsführer jetzt tun?
1. Betroffenheit prüfen
Ob Ihr Unternehmen unter das NIS2UmsuCG fällt, hängt nicht von einer KRITIS-Zertifizierung ab. Auch viele mittelständische IT-Dienstleister, SaaS-Anbieter oder Betreiber digitaler Plattformen sind betroffen.
Wir analysieren mit Ihnen gemeinsam, ob Ihr Unternehmen unter die neuen Vorgaben fällt – und in welchem Umfang.
2. Sicherheitskonzept überprüfen und dokumentieren
Viele Unternehmen verfügen bereits über Sicherheitsmaßnahmen – doch ob diese dem neuen gesetzlichen Standard entsprechen, ist fraglich. Entscheidend ist: Die Maßnahmen müssen risikobasiert, aktuell und dokumentiert sein.
Wir unterstützen Sie bei der Gap-Analyse, Erstellung von Richtlinien und der Implementierung rechtskonformer Prozesse.
3. Haftungsrisiken minimieren – Verantwortung richtig delegieren
Eine fehlerhafte oder unklare interne Zuweisung von Zuständigkeiten ist ein häufiger Haftungsauslöser. Als Geschäftsleitung müssen Sie nachweisen, dass Sie Ihrer Verantwortung durch geeignete Organisation und Überwachung nachgekommen sind. Wir helfen Ihnen, die Organisationspflichten rechtssicher umzusetzen.
Unser Fazit: Nicht warten – handeln
Die NIS-2-Umsetzung betrifft nicht nur Konzerne, sondern Tausende Mittelständler, Dienstleister und Plattformbetreiber.
Wer IT-Sicherheit jetzt nicht als Führungsthema versteht, läuft Gefahr, persönlich zur Verantwortung gezogen zu werden.
