NIS-2-Richtlinie, Cybersicherheit

NIS-2-Richtlinie: Cybersicherheit wird zur Chefsache

16.11.2025 - 15:39:12

NIS-2-Richtlinie: Cybersicherheit wird zur Chefsache - Foto: über boerse-global.de
NIS-2-Richtlinie: Cybersicherheit wird zur Chefsache - Foto: über boerse-global.de

Berlin – Was lange als Aufgabe der IT-Abteilung galt, wird jetzt Pflicht für die Chefetage. Mit der finalen Umsetzung der EU-Richtlinie NIS-2 in deutsches Recht müssen Vorstände und Geschäftsführer künftig regelmäßig Schulungen zur Cybersicherheit absolvieren – und haften persönlich bei Verstößen. Tausende Unternehmen in kritischen Sektoren stehen vor einem radikalen Umbruch ihrer Compliance-Strukturen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun konkretisiert, was auf die Führungsetagen zukommt.

Die Botschaft ist eindeutig: Unwissenheit schützt nicht mehr vor Haftung. Wer als Manager künftig die Risiken der digitalen Welt nicht kennt, riskiert nicht nur das Unternehmen, sondern auch die eigene Karriere.

Der Entwurf des deutschen NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) macht Ernst mit der Verantwortung. § 38 Abs. 3 des IT-Sicherheitsgesetzes schreibt vor: Geschäftsleitungen betroffener Einrichtungen müssen regelmäßig Schulungen absolvieren, um Cyberrisiken erkennen und bewerten zu können.

Anzeige

Passend zum Thema Cybersicherheit: Viele Vorstände unterschätzen die neue Haftungspflicht nach NIS‑2 — Studien zeigen, dass 73% der Unternehmen nicht ausreichend vorbereitet sind. Unser kostenloses E‑Book “Cyber Security Awareness Trends” erklärt, welche Pflichten jetzt auf Führungskräfte zukommen, welche Sofortmaßnahmen helfen und wie Sie Schulungen rechtskonform dokumentieren. Praxistipps für Geschäftsführer und CISOs inklusive Checkliste. Jetzt Cyber-Security-Guide herunterladen

Doch wen trifft diese Pflicht konkret? Betroffen sind alle “besonders wichtigen” und “wichtigen” Einrichtungen – von Energie- und Verkehrsunternehmen über Banken und Krankenhäuser bis zu Teilen der produzierenden Industrie und öffentlichen Verwaltung. Als Geschäftsleitung gelten dabei alle natürlichen Personen mit Führungsverantwortung, also klassischerweise Vorstände und Geschäftsführer.

Die BSI-Handreichung vom Oktober 2025 nennt konkrete Inhalte: rechtlicher Rahmen von NIS-2, persönliche Haftungsrisiken, Überwachung von Risikomanagementmaßnahmen sowie Grundlagen der Cyber-Hygiene und Krisenkommunikation. Aus der Gesetzesbegründung geht hervor, dass eine Schulung mindestens alle drei Jahre wiederholt werden muss. Experten raten jedoch angesichts der rasanten Entwicklung der Bedrohungslage zu kürzeren Intervallen.

Kein Wunder also, dass in vielen Vorstandsetagen derzeit Unruhe herrscht. Die Zeit, in der man sich mit einem “dafür haben wir doch Leute” herausreden konnte, ist endgültig vorbei.

Persönliche Haftung statt Delegation: Der Paradigmenwechsel

Die NIS-2-Richtlinie markiert einen fundamentalen Bruch mit der bisherigen Praxis. Cybersicherheit lässt sich nicht mehr nach unten delegieren – die Verantwortung liegt unmissverständlich bei der obersten Führungsebene. Die Geschäftsleitung muss Sicherheitsmaßnahmen nicht nur genehmigen, sondern deren Wirksamkeit aktiv überwachen.

Diese neue “Umsetzungs- und Überwachungspflicht” hat handfeste Konsequenzen. Verstöße gegen die Sorgfaltspflichten können zivilrechtliche Schadensersatzforderungen des eigenen Unternehmens nach sich ziehen. Bei schwerwiegenden Sicherheitsvorfällen, die auf mangelnde Aufsicht zurückgehen, drohen empfindliche Bußgelder und im Extremfall sogar ein vorübergehendes Führungsverbot durch die Aufsichtsbehörden.

Kann sich ein Vorstand künftig noch damit herausreden, er habe den IT-Experten vertraut? Die klare Antwort: Nein. Wer die Grundlagen nicht versteht, verletzt seine Sorgfaltspflicht – mit allen rechtlichen Folgen.

DORA und KI-Verordnung: Ein umfassender Regulierungstrend

Die NIS-2-Schulungspflicht steht nicht isoliert. Sie ist Teil einer umfassenden regulatorischen Offensive der EU, die die Kompetenz der Unternehmensführung in den Fokus rückt. Parallel dazu setzt der Digital Operational Resilience Act (DORA) ähnliche Maßstäbe für den Finanzsektor. Banken, Versicherungen und andere Finanzdienstleister müssen ihre IKT-Risikomanagementstrategie auf höchster Ebene steuern – und sich dafür das notwendige Wissen aneignen.

Auch der EU AI Act, der den Einsatz künstlicher Intelligenz regelt, fordert fundierte Entscheidungen auf Basis soliden Verständnisses. Zwar fehlt hier eine explizite Schulungspflicht, doch die umfassenden Governance-Anforderungen implizieren: Führungskräfte müssen die Risiken der Technologie verstehen und managen können.

Diese Konvergenz der Regulierungen schafft einen neuen europäischen Standard für die “digitale Sorgfaltspflicht” von Führungskräften. Deutsche Manager, die bislang vorwiegend mit SAP-Systemen und klassischer IT-Infrastruktur vertraut waren, müssen nun umdenken. Das Verständnis für Cyberrisiken, KI-Governance und digitale Resilienz wird zur Kernkompetenz für jede Führungsposition.

Warum der Gesetzgeber jetzt durchgreift

Die Verschärfung der Vorschriften ist eine direkte Reaktion auf die eskalierende Bedrohungslage. Cyberangriffe legen zunehmend ganze Lieferketten und kritische Infrastrukturen lahm – mit enormen volkswirtschaftlichen Schäden. Die Logik des Gesetzgebers: Cybersicherheit ist eine strategische Unternehmensaufgabe, die Investitionen, Ressourcen und risikobasierte Steuerung erfordert. Solche weitreichenden Entscheidungen können nur auf höchster Ebene getroffen werden.

Wissenslücken im Management gelten dabei als eines der größten Hindernisse für effektive digitale Resilienz. Experten sehen in der Regulierungswelle die Chance, die Widerstandsfähigkeit der europäischen Wirtschaft nachhaltig zu stärken. Unternehmen, die die Anforderungen proaktiv umsetzen, können nicht nur Haftungsrisiken minimieren, sondern auch das Vertrauen von Kunden und Partnern stärken – ein entscheidender Wettbewerbsvorteil im digitalen Zeitalter.

Der Countdown läuft: Was Unternehmen jetzt tun müssen

Mit dem Inkrafttreten des NIS2UmsuCG, erwartet für Ende 2025 oder Anfang 2026, wird die Schulungspflicht rechtsverbindlich. Für betroffene Unternehmen ergibt sich ein klarer Handlungsplan:

Erstens: Prüfung, ob das eigene Unternehmen in den Anwendungsbereich von NIS-2 fällt. Zweitens: Durchführung einer Wissens- und Kompetenzanalyse auf Führungsebene. Drittens: Planung und Umsetzung geeigneter Schulungsmaßnahmen.

Ob die Schulungen intern durch qualifizierte Mitarbeiter wie den CISO oder durch externe Spezialisten erfolgen, bleibt den Unternehmen überlassen. Entscheidend ist, dass die Inhalte auf die spezifischen Risiken zugeschnitten sind. Die Teilnahme und Inhalte müssen sorgfältig dokumentiert werden, um im Ernstfall die Einhaltung der Sorgfaltspflichten nachweisen zu können.

Angesichts der drohenden persönlichen Haftung ist Zuwarten keine Option mehr. Die proaktive Auseinandersetzung mit den neuen Pflichten ist der beste Schutz für das Unternehmen – und die eigene Karriere. Das dürfte für manche Führungskraft eine unbequeme Wahrheit sein. Doch die Zeiten, in denen Cybersicherheit ein Nischenthema war, sind endgültig vorbei.

Anzeige

PS: Mit dem Inkrafttreten von NIS‑2 müssen Schulungen nicht nur stattfinden, sondern auch nachweisbar sein. Unser Gratis-Report bietet konkrete Modulvorlagen für Führungskräfte, Hinweise zur Häufigkeit von Auffrischungen und Vorlagen für Teilnahme‑ und Inhaltsnachweise, die in Prüfungen bestehen. Ideal für Personal- und Compliance-Abteilungen, die Haftungsrisiken minimieren wollen. Kostenlos, sofort herunterladbar und praxisnah — entwickelt von Experten für Unternehmensführung. Jetzt kostenloses E-Book anfordern

@ boerse-global.de
Die besten Black Friday Angebote für