Im Dezember 2025 trat das NIS2‑Umsetzungsgesetz in Kraft; seit dem 6. Januar müssen sich betroffene Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik für die Meldung von Vorfällen registrieren – und zum ersten Mal liegt die Verantwortung für Cybersicherheit bei der obersten Führungsebene, die persönlich haftet, wenn Risiken nicht angemessen gesteuert, Meldepflichten verletzt oder Vorgaben zur Governance missachtet werden.
Die NIS2-Richtlinie sieht vor, dass neben den klassischen kritischen Infrastrukturen nun auch mittlere Unternehmen in zahlreichen Branchen ab 50 Mitarbeitenden oder zehn Millionen Euro Umsatz ihre Cyberrisiken systematisch steuern müssen. Für viele Mittelständler ist dies ein kultureller und organisatorischer Wandel – von der reinen Erkennung von Cyberrisiken zu deren aktivem Management und einer nachweisbaren Kontrolle.
Billigung und Überwachung von Maßnahmen wird Chefsache
Was bei NIS2 besonders ins Gewicht fällt, ist die persönliche Haftung der Unternehmensleitung für die Cybersicherheitsstrategie. Maßnahmen können zwar operativ delegiert werden, die letztliche Verantwortung bleibt jedoch bei Geschäftsführung und Vorstand. Der Blick in Artikel 20 und 21 der NIS2-Richlinie zeigt dabei, worauf die Leitungsebene im Kern zu achten hat:
Sie muss die Risikomanagementmaßnahmen für die Cybersicherheit „billigen“ und deren Umsetzung „überwachen“. Das bedeutet: Die Strategie muss wirklich verstanden werden. Den Haken unter eine vorbereitete Unterlage zu setzen, reicht nicht. Gefordert wird dabei ein risikobasierter Ansatz: Risiken müssen systematisch identifiziert, bewertet und mit geeigneten Maßnahmen adressiert werden. Dies umfasst technische, organisatorische und personelle Risiken genauso wie die Liefer- und Dienstleistungskette. Nur wenn die Geschäftsführung nachweisen kann, dass angemessene Schritte unternommen wurden, um die geforderten Prozesse einzurichten, sind die Vorgaben erfüllt.
Dokumentation als Schutzinstrument
Ein zentraler Aspekt ist die lückenlose Dokumentation. Protokolle von Vorstandssitzungen, Beschlüsse zu Sicherheitsstrategien, Budgetfreigaben, Prüfungen externer Gutachter und Monitoringberichte bilden die Grundlage defensiver Governance. Sie belegen im Ernstfall, dass die Leitung ihrer Pflicht nachgekommen ist. Ohne nachvollziehbare Nachweise drohen Bußgelder von je nach Unternehmenskategorie bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, Reputationsverlust und persönliche Haftungsrisiken für die oberste Führungsebene.
Chef drückt mit Mitarbeitenden die Schulbank
Die NIS2-Vorgaben zu den Verantwortlichkeiten der Unternehmensleitung sind auch ein deutlicher Aufruf zu profunder Cybersicherheitsschulung. Einerseits muss die Geschäftsführung selbst regelmäßig an Schulungen teilnehmen und sich zum Thema fortlaufend informieren, um Cyberrisiken verstehen und fundierte Entscheidungen treffen zu können. Andererseits muss sie sicherstellen, dass im Unternehmen ein Bewusstsein für Cybersicherheit im Tagesgeschäft etabliert wird – was wiederum ein angemessenes Schulungsangebot für Mitarbeitende bedingt.
