gb_flagcn_flaglogo-–-Variante-C
gb_flagcn_flag
gravatar
Von Alexander Rumpf
 · 
9. Februar 2026

NIS2: Wen die neuen Cybersicherheits-Pflichten wirklich betreffen – und warum Geschäftsleiter jetzt genauer hinschauen sollten

Featured Image

Die europäische Regulierung der Cybersicherheit ist in Bewegung geraten. Mit der NIS2-Richtlinie hat der europäische Gesetzgeber den bisherigen Rechtsrahmen deutlich ausgeweitet und verschärft. Während die erste NIS-Richtlinie noch vergleichsweise selektiv wirkte, richtet sich NIS2 nun an einen erheblich größeren Kreis von Unternehmen.

In der öffentlichen Diskussion wird die Richtlinie häufig als technisches IT-Sicherheitsprojekt dargestellt. Diese Verkürzung greift zu kurz. NIS2 ist vor allem ein Organisations-, Governance- und Haftungsthema. Für Geschäftsleiter stellt sich weniger die Frage nach einzelnen technischen Maßnahmen, sondern nach der rechtssicheren Strukturierung von Verantwortlichkeiten und Kontrollprozessen.

Der folgende Beitrag ordnet ein, wen NIS2 tatsächlich betrifft, welche Pflichten entstehen und warum sich Geschäftsleiter frühzeitig mit der Richtlinie befassen sollten – ohne Alarmismus, aber mit juristischem Realismus.

I. Warum NIS2 jetzt relevant wird

NIS2 ist kein Zukunftsthema. Die Umsetzungsfrist auf europäischer Ebene ist abgelaufen, und auch der deutsche Gesetzgeber steht unter erheblichem Umsetzungsdruck. Gleichzeitig haben Aufsichtsbehörden ihre personellen und organisatorischen Ressourcen im Bereich Cyber- und Informationssicherheit in den vergangenen Jahren deutlich ausgebaut.

Für Unternehmen bedeutet dies: Die Phase, in der NIS2 als abstrakte EU-Vorgabe behandelt werden konnte, ist vorbei. Die Richtlinie wird in den kommenden Jahren konkret vollzogen werden – nicht nur gegenüber kritischen Infrastrukturen, sondern gegenüber einem breiten unternehmerischen Mittelbau.

II. Was NIS2 nicht ist

Ein häufiger Irrtum besteht darin, NIS2 mit technischen Normen oder freiwilligen Zertifizierungen gleichzusetzen.

NIS2 ist:

  • keine ISO-Norm,
  • kein IT-Gütesiegel,
  • kein freiwilliger Best-Practice-Katalog.

Vielmehr handelt es sich um verbindliches öffentlich-rechtliches Pflichtenrecht mit Sanktionsmechanismen. Unternehmen unterliegen nicht deshalb Pflichten, weil sie sich freiwillig zu höheren Sicherheitsstandards bekennen, sondern weil sie kraft Gesetzes als relevante Marktteilnehmer eingeordnet werden.

Diese Unterscheidung ist zentral. Wer NIS2 als reines IT-Projekt delegiert, verkennt die eigentliche Tragweite der Regelungen.

III. Wer tatsächlich unter NIS2 fällt

Die Richtlinie unterscheidet zwischen wesentlichen Einrichtungen und wichtigen Einrichtungen. Maßgeblich sind dabei nicht nur Branche, sondern auch Unternehmensgröße und wirtschaftliche Bedeutung.

Typischerweise betroffen sind unter anderem:

  • Unternehmen aus den Bereichen Energie, Verkehr, Gesundheitswesen, digitale Infrastruktur, Cloud- und Rechenzentrumsdienste,
  • bestimmte produzierende Unternehmen mit kritischer Lieferkettenfunktion,
  • größere IT- und Plattformdienstleister,
  • Unternehmen mit erheblicher Markt- oder Versorgungsrelevanz.

Entscheidend ist jedoch: Nicht jedes mittelständische Unternehmen fällt automatisch unter NIS2, aber auch nicht nur klassische KRITIS-Betriebe. Die pauschale Annahme „Das betrifft uns nicht“ ist ebenso riskant wie reflexhafte Übererfüllung.

Eine belastbare Einordnung erfordert stets eine individuelle Prüfung der Kriterien – insbesondere der Schwellenwerte und der tatsächlichen Funktion des Unternehmens innerhalb von Wertschöpfungs- und Lieferketten.

IV. Welche Pflichten entstehen konkret

Unternehmen, die unter NIS2 fallen, treffen insbesondere organisatorische und prozessuale Pflichten. Dazu zählen unter anderem:

  • der Aufbau angemessener Risikomanagement-Strukturen,
  • Maßnahmen zur Gewährleistung der Sicherheit von Netz- und Informationssystemen,
  • Vorgaben zur Behandlung von Sicherheitsvorfällen,
  • verbindliche Meldepflichten gegenüber den zuständigen Behörden innerhalb enger Fristen,
  • Dokumentations- und Nachweispflichten.

Der Gesetzgeber verlangt dabei keine absolute Sicherheit. Maßstab ist die Angemessenheit unter Berücksichtigung von Größe, Risikoexposition und Bedeutung des Unternehmens. Gerade dieser unbestimmte Rechtsbegriff birgt jedoch rechtliche Unsicherheiten, die sich im Ernstfall auswirken können.

V. Geschäftsleiter in der Verantwortung

Besondere Aufmerksamkeit verdient die Rolle der Geschäftsleitung. NIS2 adressiert ausdrücklich Leitungs- und Aufsichtsorgane. Diese sind verpflichtet,

  • die erforderlichen Maßnahmen zu genehmigen,
  • deren Umsetzung zu überwachen,
  • und sich regelmäßig über den Stand der Cybersicherheitsorganisation zu informieren.

Eine bloße Delegation an die IT-Abteilung genügt nicht. Geschäftsleiter müssen sicherstellen, dass Zuständigkeiten klar geregelt, Prozesse dokumentiert und Kontrollmechanismen etabliert sind.

Damit rückt NIS2 in die Nähe klassischer Themen der Organhaftung. Im Schadens- oder Vorfallfall wird sich die Frage stellen, ob die Geschäftsleitung ihrer Organisations- und Überwachungspflicht genügt hat.

VI. Sanktionen und persönliche Risiken

NIS2 sieht empfindliche Bußgeldrahmen vor, die sich an der wirtschaftlichen Leistungsfähigkeit des Unternehmens orientieren. Daneben drohen:

  • behördliche Anordnungen,
  • öffentliche Bekanntmachungen von Verstößen,
  • mittelbare Reputationsschäden.

Aus juristischer Sicht ist zudem zu berücksichtigen, dass mangelhafte Organisationsstrukturen in bestimmten Konstellationen Anknüpfungspunkte für strafrechtliche Vorwürfe bieten können, etwa im Bereich der Aufsichtspflichtverletzung oder bei Anschlussdelikten.

NIS2 steht damit nicht isoliert, sondern fügt sich in eine Entwicklung ein, in der Compliance-Versäumnisse zunehmend auch strafrechtlich relevant werden.

VII. Praktische Einordnung aus anwaltlicher Sicht

Unternehmen sollten NIS2 weder dramatisieren noch bagatellisieren. Zielführend ist ein strukturierter, juristisch begleiteter Ansatz:

  • saubere Einordnung der Betroffenheit,
  • klare Verantwortlichkeiten,
  • realistische, dokumentierte Maßnahmen,
  • regelmäßige Überprüfung statt punktueller Aktion.

Overcompliance ist ebenso wenig geboten wie Untätigkeit. Entscheidend ist, dass Unternehmen im Ernstfall nachvollziehbar darlegen können, warum ihre Maßnahmen angemessen waren.

NIS2 ist damit kein reines IT-Projekt, sondern Teil moderner Unternehmensführung. Wer dies erkennt, kann Risiken begrenzen und zugleich regulatorische Anforderungen souverän erfüllen. Gerade in regulierten oder international eingebundenen Unternehmen empfiehlt sich eine rechtliche Einordnung der NIS2-Pflichten in bestehende Compliance-Strukturen.

Alexander Rumpf | Partner

Tags: Compliance · Strafrecht · Verteidigung

Haben Sie Fragen oder benötigen Sie dringend strafrechtlichen Beistand?

Via Telefon:
069 24 74 68 70

Via E-Mail:
Kanzlei@rstp-rechtsanwaelte.de

Wir freuen uns auf Ihre Nachricht.

Do you have any questions or require urgent legal assistance?

Phone:
+49 69 24 74 68 70

E-Mail:
Kanzlei@rstp-rechtsanwaelte.de

We look forward to hearing from you.

您有疑问或急需刑事法律援助吗?

通过电话
+49 69 24 74 68 70

E-Mail:
Kanzlei@rstp-rechtsanwaelte.de

wechat-AR
Weitere Artikel
More articles
更多文章

Impressum

Datenschutzerklärung