NIS2-Gesetz, Bundesrat

NIS2-Gesetz: Bundesrat beschließt Haftung für Geschäftsführer

25.11.2025 - 23:10:12

Das neue Cybersicherheitsgesetz führt zu strengen Meldefristen, hohen Bußgeldern und persönlicher Verantwortung für Vorstände. Rund 30.000 Unternehmen sind betroffen.

NIS2-Gesetz: Bundesrat beschließt Haftung für Geschäftsführer - Foto: über boerse-global.de
NIS2-Gesetz: Bundesrat beschließt Haftung für Geschäftsführer - Foto: über boerse-global.de

Der Bundesrat hat am vergangenen Freitag das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz verabschiedet – und damit die letzte parlamentarische Hürde für eines der schärfsten Cybersicherheitsgesetze in der deutschen Wirtschaftsgeschichte genommen. Rund 29.500 Unternehmen müssen sich nun auf drastische Bußgelder, strikte Meldefristen und vor allem auf eines einstellen: persönliche Haftung der Geschäftsführung.

Das Gesetz wartet nur noch auf die Unterschrift des Bundespräsidenten und die Verkündung im Bundesgesetzblatt. Dann beginnt für Tausende deutscher Firmen der Countdown – praktisch ohne Übergangsfrist.

„Mit diesem Gesetz hat Deutschland einen wichtigen Meilenstein auf dem Weg zur resilienten Cybernation erreicht”, erklärte Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), nach den parlamentarischen Beschlüssen. „Es erlaubt uns, einen entscheidenden Teil unserer digitalen Angriffsfläche deutlich besser zu schützen als bisher.”

Anzeige

Passend zum Thema Cybersicherheit – aktuelle Studien zeigen, dass rund 73% deutscher Unternehmen auf schwerwiegende Cyberangriffe nicht ausreichend vorbereitet sind. Vor dem Hintergrund neuer Meldepflichten und persönlicher Geschäftsführer-Haftung ist schnelles Handeln nötig. Ein kostenloses E‑Book fasst die wichtigsten Schutzmaßnahmen, Prioritäten für Geschäftsführung und praxisnahe Schritte zur schnellen Risikoreduzierung zusammen. Jetzt kostenlosen Cyber-Security-Report herunterladen

Ende der Ungewissheit – aber keine Gnadenfrist

Der Weg bis hierhin war holprig. Während die EU-Richtlinie eigentlich eine Umsetzung bis Oktober 2024 vorschrieb, ließ Deutschland – wie viele Mitgliedstaaten – diese Frist verstreichen. Erst am 13. November 2025 passierte der Entwurf den Bundestag, gefolgt von der Zustimmung des Bundesrats am 21. November.

Rechtsexperten rechnen mit einem Inkrafttreten Anfang 2026 oder möglicherweise bereits Ende Dezember 2025. Anders als frühere Regelungen, die großzügige Übergangsfristen boten, soll das NIS2-Gesetz nahezu sofort nach Verkündung gelten. Für Unternehmen, die ihre Vorbereitungen verschleppt haben, wird es jetzt eng.

Wer ist betroffen? Die neue “Größen-Grenze”

Das Gesetz vollzieht einen Paradigmenwechsel. Weg von der bisherigen engen Definition „Kritischer Infrastrukturen” (KRITIS), hin zu einer breiten Kategorisierung nach Größe und Branche.

Besonders wichtige Einrichtungen

Hierzu zählen große Unternehmen in hochkritischen Sektoren: Energie, Verkehr, Banken, Gesundheit, Trinkwasser, digitale Infrastruktur.

  • Schwellenwert: Generell Großunternehmen (250+ Mitarbeiter oder mehr als 50 Millionen Euro Umsatz)
  • Umfang: Einschließlich qualifizierter Vertrauensdiensteanbieter, DNS-Dienste und öffentlicher Verwaltungen

Wichtige Einrichtungen

Diese breitere Kategorie umfasst Postdienste, Abfallwirtschaft, Chemie, Lebensmittelproduktion, Fertigung und digitale Anbieter.

  • Schwellenwert: Mittlere Unternehmen (50+ Mitarbeiter oder mehr als zehn Millionen Euro Umsatz)

Die Zahl der betroffenen Unternehmen schnellt damit von rund 4.500 unter dem alten System auf fast 30.000 unter NIS2.

Die “24-72-30”-Regel: Melden oder zahlen

Eine der einschneidendsten Neuerungen ist das gestaffelte Meldesystem für Sicherheitsvorfälle. Unternehmen müssen nun einem strikten Zeitplan folgen:

  • 24 Stunden (Frühwarnung): Erste Meldung an das BSI innerhalb eines Tages nach Kenntnisnahme
  • 72 Stunden (Vorfallsbericht): Detaillierte Bewertung des Vorfalls, einschließlich Schweregrad und Auswirkungen
  • 30 Tage (Abschlussbericht): Umfassender Endbericht binnen eines Monats

Bußgelder wie bei der DSGVO

Das Gesetz übernimmt die Sanktionslogik der Datenschutz-Grundverordnung – mit finanziellen Abschreckungen, die wehtun sollen:

  • Besonders wichtige Einrichtungen: Bußgelder bis zu zehn Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ausfällt
  • Wichtige Einrichtungen: Bis zu sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes

Diese Strafen drohen nicht nur bei Datenlecks, sondern auch bei unzureichenden Risikomanagement-Maßnahmen (etwa fehlende Multi-Faktor-Authentifizierung oder Verschlüsselung) oder versäumten Meldefristen.

Geschäftsführer im Visier: Cybersicherheit wird Chefsache

Der wohl meistdiskutierte Punkt des Gesetzes ist die verschärfte Haftung. Das NIS2-Umsetzungsgesetz verbietet ausdrücklich die Delegation der Managementverantwortung in Sachen Cybersicherheit.

Kernpflichten für die Geschäftsführung:
* Persönliche Haftung: Vorstände und Geschäftsführer können für schuldhafte Verletzungen ihrer Aufsichtspflichten persönlich belangt werden
* Schulungspflicht: Das Management muss regelmäßig an Cybersicherheits-Trainings teilnehmen
* Umsetzungskontrolle: Einen CISO zu ernennen und sich zurückzulehnen, reicht nicht mehr. Die Geschäftsführung muss Maßnahmen genehmigen und deren Umsetzung überwachen

Rechtsberater von Kanzleien wie Taylor Wessing und Bird & Bird betonten in aktuellen Mandantenrundschreiben: Die Ära, in der IT-Sicherheit als rein technisches Thema galt, ist vorbei. Es ist jetzt eine zentrale Corporate-Governance-Anforderung.

Paradigmenwechsel mit Nebenwirkungen

Die Reaktionen der deutschen Wirtschaft fallen gemischt aus. Während Verbände wie Bitkom die Rechtssicherheit begrüßen, wächst die Sorge vor bürokratischen Lasten – besonders beim Mittelstand, der erstmals unter die Kategorie „Wichtige Einrichtung” fällt.

Auch das BSI wandelt sich. Aus der primär beratenden Behörde wird eine Aufsicht mit Durchgriffsrechten: Prüfungen, Anweisungen, Sanktionen. Deutschland reiht sich damit in einen europäischen Trend zu „aktiver Cyberabwehr” und regulatorischer Harmonisierung ein.

Verglichen mit dem früheren IT-Sicherheitsgesetz 2.0 ist das NIS2-Regime deutlich schärfer. Die Einbeziehung der gesamten Lieferkette bedeutet: Selbst kleinere Firmen, die nicht direkt unter NIS2 fallen, müssen mit vertraglich erzwungenen Sicherheitsanforderungen ihrer größeren, regulierten Kunden rechnen.

Was kommt jetzt?

Mit dem Bundesratsbeschluss vom 21. November verlagert sich der Fokus auf die Umsetzung.

  1. Verkündung: Das Gesetz wird vom Bundespräsidenten unterzeichnet und im Bundesgesetzblatt veröffentlicht
  2. Registrierung: Betroffene Unternehmen müssen sich voraussichtlich kurz nach Inkrafttreten beim BSI registrieren
  3. BSI-Leitlinien: Das BSI wird in den kommenden Wochen detaillierte Umsetzungshilfen und branchenspezifische Anforderungen veröffentlichen

Für Unternehmen ist die „Abwarten und Tee trinken”-Phase vorbei. Wer jetzt nicht prüft, ob er unter „Besonders wichtig” oder „Wichtig” fällt und eine Lückenanalyse durchführt, handelt nicht mehr vorsichtig – sondern fährt sehenden Auges ins Risiko.

Anzeige

PS: IT-Sicherheit stärken ohne teure Neueinstellungen – dieser Gratis-Leitfaden erklärt, welche kurzfristigen Maßnahmen Geschäftsführer sofort anordnen sollten, um Bußgelder und Haftungsrisiken zu minimieren. Enthalten sind Checklisten für Vorfallmeldung, praxisnahe Awareness-Schritte und Hinweise, was das BSI bei Prüfungen sehen will. Kostenlosen Leitfaden zur Cyber-Security herunterladen

@ boerse-global.de
Die besten Black Friday Angebote für