NIS-2: Deutsche Manager haften jetzt persönlich für Cyberangriffe

Ab sofort tragen Vorstände und Geschäftsführer in Deutschland die persönliche Verantwortung für IT-Sicherheit. Die neue EU-Richtlinie NIS-2, seit Dezember nationales Recht, beendet die Ära der Delegation an Technikabteilungen. Wer Pflichten vernachlässigt, riskiert hohe Geldstrafen und sogar ein Berufsverbot.

Compliance-Schock für die Chefetage

Der 1. Januar 2026 markiert eine Zeitenwende im deutschen Wirtschaftsleben. Das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) stellt die Haftungsfrage neu. Künftig können sich Führungskräfte nicht mehr hinter ihren IT-Direktoren oder CISOs verstecken. § 38 des BSI-Gesetzes verpflichtet die Leitungsorgane ausdrücklich, Cybersicherheitsmaßnahmen zu genehmigen und zu überwachen.

„Die Ära der Delegation ist beendet“, konstatieren Analysten von BornCity. Die Konsequenzen sind drastisch: Bei einem Sicherheitsvorfall wegen vernachlässigter Pflichten – etwa fehlender Notfallpläne oder ungesicherter Lieferketten – haften Geschäftsführer persönlich. Bei anhaltenden Verstößen droht sogar die zeitweise Suspendierung von der Geschäftsführung. Eine Klausel, die seit Verkündung des Gesetzes im Dezember für Unruhe in den Vorstandsetagen sorgt.

Viele Geschäftsführer und IT-Verantwortliche stehen durch NIS‑2 plötzlich vor direkten Haftungsrisiken – und wissen nicht, welche Sofortmaßnahmen zählen. Ein kostenloses E‑Book erklärt praxisnah, welche Schutzmaßnahmen jetzt Priorität haben, wie Sie kleine Budgets wirksam einsetzen und Haftungsrisiken minimieren. Konzipiert für Entscheider, IT-Leads und Compliance-Teams, die schnell handeln müssen. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Die neue Kompetenzpflicht stellt sicher, dass sich niemand mit Unwissenheit herausreden kann. Manager müssen sich regelmäßig in IT-Sicherheit schulen lassen, um Risiken überhaupt bewerten zu können. Eine defensive Haltung ist nicht mehr möglich.

Countdown für 30.000 Unternehmen läuft

Ab nächster Woche wird es konkret. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) startet am Dienstag, dem 6. Januar, sein neues NIS-2-Registrierungsportal. Der Druck auf schätzungsweise 30.000 betroffene Unternehmen steigt damit sprunghaft an.

Anders als die alte KRITIS-Regulierung erfasst NIS-2 einen breiten Wirtschaftsquerschnitt. Nicht nur Energieversorger, auch Abfallwirtschaft, Lebensmittelproduktion, der gesamte Mittelstand und digitale Dienstleister zählen nun zu den „wichtigen“ oder „besonders wichtigen“ Einrichtungen. Wer seinen Status noch nicht geklärt oder Daten vorbereitet hat, gerät mit dem Portal-Start sofort in Rückstand.

Millionenstrafen nach GDPR-Vorbild

Die finanziellen Risiken sind gewaltig und orientieren sich an der DSGVO. Für „besonders wichtige“ Einrichtungen können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes fällig werden. Für „wichtige“ Einrichtungen gilt eine Obergrenze von 7 Millionen Euro oder 1,4 % des Umsatzes.

Besonders heikel: Das Gesetz trat ohne Übergangsfrist in Kraft. Seit dem 6. Dezember 2025 sind alle Anforderungen sofort verbindlich. Seit heute, dem 1. Januar 2026, haften Unternehmen vollumfänglich für Lücken in ihrer Sicherheit. Ein „Compliance-Schock“, wie Branchenberichte aus dem Dezember 2025 festhielten.

Die Haftung reicht bis in die Lieferkette. Unternehmen müssen Risiken von ihren direkten Zulieferern und Dienstleistern managen. Dieser „Kaskadeneffekt“ zwingt auch kleinere Firmen zu höheren Sicherheitsstandards, um Verträge zu behalten – und hebt so das allgemeine Schutzniveau der deutschen Wirtschaft.

Deutscher Sonderweg mit schärferen Regeln

Die deutsche Umsetzung der EU-Richtlinie geht in einigen Punkten über die europäischen Vorgaben hinaus. Dieses „Gold-Plating“ zeigt sich besonders in der strikten persönlichen Haftung und einer weit gefassten Definition der „besonders wichtigen“ Einrichtungen. Deutsche Manager stehen damit unter größerem Druck als manche europäische Kollegen.

Analysten sehen darin jedoch eine Chance. Die kurzfristig höheren Kosten könnten sich langfristig auszahlen, indem die deutsche Industrie widerstandsfähiger gegen die wachsende Bedrohung wird. Staatlich geförderte Cyberangriffe und Erpressungssoftware verursachten der deutschen Wirtschaft 2024 Schäden in geschätzten 266 Milliarden Euro. NIS-2 soll hier einen Riegel vorschieben.

Was im ersten Quartal 2026 auf die Wirtschaft zukommt

Die Agenda für die kommenden Monate ist klar. In der Woche ab dem 5. Januar steht die Registrierung im neuen BSI-Portal im Fokus. Anschließend wird das BSI voraussichtlich mit Aufsichtsmaßnahmen beginnen, inklusive stichprobenartiger Prüfungen und Nachweisanforderungen.

Der Markt für Managed-Security-Dienste und Rechtsberatung erlebt im ersten Quartal 2026 voraussichtlich einen Boom, während der Mittelstand Lücken aus den Jahresendbewertungen schließt. Die „persönliche Haftung“ wird die Unternehmenskultur nachhaltig verändern. Cybersicherheits-Kennzahlen werden 2026 zum festen Tagesordnungspunkt in deutschen Aufsichtsräten – gleichberechtigt neben den Finanzberichten.

PS: NIS‑2 verlangt schnelle, dokumentierte Maßnahmen – und wer jetzt strukturiert vorgeht, reduziert das Risiko von Bußgeldern und persönlicher Haftung. Unser Gratis‑E‑Book liefert Checklisten, Prioritätslisten für die ersten 100 Tage und praxisnahe Maßnahmen für Geschäftsführer und Compliance-Verantwortliche. Ideal für Unternehmen, die sofort umsetzbare Schritte suchen. Jetzt E‑Book ‘Cyber Security Awareness Trends’ sichern