NIS-2: Deutsche Chefs haften jetzt persönlich für Cyberangriffe

Die Schonfrist ist vorbei: Für rund 30.000 Unternehmen in Deutschland beginnt der Countdown zur Pflicht-Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Bis Anfang März 2026 müssen sie sich im neuen Portal anmelden. Die größte Neuerung betrifft jedoch die Chefetagen. Das NIS-2-Umsetzungsgesetz macht Geschäftsführer und Vorstände erstmals persönlich haftbar für Cybersicherheit – notfalls mit ihrem Privatvermögen.

BSI-Portal startet: Drei-Monats-Frist läuft

Seit dem 6. Januar ist das offizielle Meldeportal des BSI online. Damit hat der Countdown für die betroffenen Unternehmen begonnen. Sie haben nun drei Monate Zeit, sich im zweistufigen Verfahren zu registrieren. Der Stichtag rückt damit auf Anfang März 2026.

Wer ist betroffen? Nicht nur klassische Kritische Infrastrukturen (KRITIS) aus Energie- oder Gesundheitswesen. Die Pflicht erstreckt sich auf 18 Sektoren. Dazu zählen nun auch Lebensmittelproduzenten, Abfallwirtschaft, Postdienste und digitale Anbieter wie Cloud-Provider und Rechenzentren. Insgesamt sind schätzungsweise 29.500 bis 30.000 Organisationen in der Pflicht. Wer sich nicht registriert, begeht den ersten klaren Gesetzesverstoß – und riskiert sofortige Maßnahmen durch die Aufsichtsbehörde.

Geschäftsführer und Vorstände haften jetzt persönlich für IT-Sicherheitslücken – sind Sie vorbereitet? Viele Unternehmen unterschätzen die organisatorischen Anforderungen und die engen Meldefristen. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt praxisnah, welche Maßnahmen Entscheider sofort anstoßen sollten, wie interne Meldeprozesse strukturiert werden und welche Schulungsinhalte für Führungskräfte jetzt verpflichtend sind. Mit Praxisbeispielen und konkreten Checklisten zur Umsetzung. Jetzt kostenlosen Cyber-Resilience-Guide sichern

Paradigmenwechsel: Die persönliche Haftung der Geschäftsleitung

Das ist die Kernänderung: Cybersicherheit ist kein reines IT-Thema mehr, sondern eine persönliche Führungsaufgabe. Paragraph 38 des novellierten BSI-Gesetzes verankert die Verantwortung explizit bei Geschäftsführern und Vorständen. Sie müssen die Risikmanagement-Maßnahmen nicht nur billigen, sondern auch aktiv überwachen.

Eine bloße Delegation an die IT-Abteilung genügt nicht mehr. Bei schuldhaften Verstößen – etwa durch unzureichende Sicherheitsvorkehrungen oder verspätete Meldung von Vorfällen – kann die Geschäftsleitung zivilrechtlich belangt werden. Die Haftung erstreckt sich im Ernstfall auf das private Vermögen. Ergänzt wird dies durch eine gesetzliche Schulungspflicht für Führungskräfte. Sie müssen sich fortbilden, um Cyberrisiken und Gegenmaßnahmen überhaupt bewerten zu können.

Mehr als Papierkram: Die neuen Kernpflichten für Unternehmen

Die Registrierung ist nur der erste Schritt. Das Herzstück der NIS-2-Anforderungen sind umfassende Risikomanagementmaßnahmen. Unternehmen müssen einen risikobasierten Ansatz verfolgen und konkrete Pläne vorweisen. Dazu zählen Konzepte für die Risikoanalyse, die Bewältigung von Sicherheitsvorfällen und das Krisenmanagement.

Besonderer Fokus liegt auf der Sicherheit der Lieferkette, einem aktiven Schwachstellenmanagement und dem verpflichtenden Einsatz von Multi-Faktor-Authentifizierung sowie Verschlüsselung. Die Meldepflichten wurden drastisch verschärft: Bei einem erheblichen Vorfall muss innerhalb von 24 Stunden eine Erstmeldung und binnen 72 Stunden ein detaillierter Bericht beim BSI vorliegen. Diese engen Fristen erfordern etablierte interne Prozesse.

Vom IT-Problem zur Chefsache: Was die neuen Regeln bedeuten

Das NIS-2-Umsetzungsgesetz trat am 6. Dezember 2025 in Kraft. Es ist die deutsche Antwort auf die europaweit gestiegene Bedrohung durch Cyberangriffe. Das Ziel: die Resilienz kritischer Sektoren flächendeckend zu stärken.

Die explizite Einbeziehung der persönlichen Haftung markiert einen fundamentalen Wandel. Branchenexperten sehen darin die längst überfällige Anerkennung einer Tatsache: Die größten Cyberrisiken sind oft organisatorischer, nicht technischer Natur. Sie erfordern eine klare Haltung von der Unternehmensspitze („Tone from the Top“). Die neue Verantwortung zwingt die Führungsetage, sich aktiv mit dem Thema auseinanderzusetzen, angemessene Budgets bereitzustellen und die Wirksamkeit aller Maßnahmen kontinuierlich zu überprüfen.

Nach der Frist: Erste Kontrollen und hohe Bußgelder drohen

Mit Ablauf der Registrierungsfrist im März wird das BSI erstmals einen vollständigen Überblick über alle regulierten Einrichtungen haben. Danach wird die Behörde ihre Aufsichtsfunktion voraussichtlich verstärken und mit Prüfungen beginnen.

Unternehmen, die die Anforderungen ignorieren, setzen sich erheblichen Risiken aus. Die Bußgelder sind empfindlich: Für wesentliche Einrichtungen können sie bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen. Dazu kommen erhebliche Reputationsschäden.

Für die Geschäftsleitungen der betroffenen 30.000 Unternehmen heißt es jetzt: handeln. Die nächsten Schritte sind eine detaillierte Betroffenheitsanalyse, eine Überprüfung der bestehenden Sicherheitsmaßnahmen gegen die gesetzlichen Vorgaben und die umgehende Einleitung des Registrierungsprozesses. Die Cyber-Resilienz des eigenen Unternehmens ist endgültig zur nicht delegierbaren Chefsache geworden.

PS: Sie wollen sofort umsetzbare Schritte, um Haftungs- und Bußgeldrisiken zu reduzieren? Der Gratis-Download liefert eine kompakte 4‑Schritte-Checkliste zur schnellen Stärkung Ihrer IT-Sicherheit, konkrete Maßnahmen für Führungskräfte und Hinweise zu Meldeprozessen beim BSI – ideal für Geschäftsführer und IT‑Verantwortliche, die jetzt handeln müssen. Kostenlosen Leitfaden zur Cyber-Sicherheit anfordern