NIS2-Gesetz, Geschäftsführer

NIS2-Gesetz: Geschäftsführer haften künftig persönlich

22.11.2025 - 15:50:12

NIS2-Gesetz: Geschäftsführer haften künftig persönlich - Foto: über boerse-global.de
NIS2-Gesetz: Geschäftsführer haften künftig persönlich - Foto: über boerse-global.de

Deutschland macht ernst mit der IT-Sicherheit: Nach der Verabschiedung des NIS2-Umsetzungsgesetzes am 13. November droht Führungskräften ab 2026 die persönliche Haftung bei Verstößen. Experten sprechen von einem fundamentalen Wandel – und erklären 2025 zum „Jahr der Umsetzung”. Denn wer seine Belegschaft nicht ausreichend schult, haftet künftig mit dem Privatvermögen.

Die Kombination aus NIS2-Richtlinie und der bevorstehenden KI-Verordnung der EU verwandelt Mitarbeiterschulungen von einer Routineaufgabe in einen kritischen Rechtsschutz. Analysen der vergangenen Woche bestätigen: Das Management kann sich nicht länger herausreden. Versäumnisse bei der Mitarbeiterqualifikation landen direkt auf dem Schreibtisch der Geschäftsführung – und im Zweifelsfall vor Gericht.

Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz hat der Bundestag letzte Woche einen Paradigmenwechsel beschlossen. Erste detaillierte Leitfäden von Rechtsanwaltskanzleien und IT-Sicherheitsberatern erschienen bereits am 21. November.

Die internationale Kanzlei Bird & Bird bezifferte am 19. November die Tragweite: Rund 30.000 deutsche Unternehmen fallen unter die erweiterte Definition „wesentlicher” und „wichtiger” Einrichtungen. Erstmals verpflichtet das Gesetz explizit die Unternehmensleitung selbst zu regelmäßigen Cybersicherheitsschulungen – nicht nur die IT-Abteilung.

Anzeige

Passend zum Thema KI-Verordnung und NIS2: Ab dem 2. Februar 2025 drohen klare Nachweispflichten – viele Unternehmen sind unsicher, wie sie KI-Systeme korrekt klassifizieren und Schulungen prüfungssicher dokumentieren sollen. Der kostenlose Umsetzungsleitfaden zur EU-KI-Verordnung fasst Anforderungen, Risikoklassen, Kennzeichnungspflichten und konkrete Schritte für dokumentierbare Mitarbeiterschulungen zusammen, damit Geschäftsführer Haftungsrisiken minimieren können. Ideal für Geschäftsführer, Compliance- und Datenschutzverantwortliche. Jetzt KI-Umsetzungsleitfaden herunterladen

„Das Gesetz verpflichtet Unternehmen zur Umsetzung klar definierter Maßnahmen wie Risikomanagement und Schulungen”, heißt es in einer Compliance-Analyse von HeyData vom 19. November. 2026 beginnt die Durchsetzungsphase, 2025 bleibt also das entscheidende Vorbereitungsjahr.

Die Kernpflichten unter NIS2:

  • Pflichtschulungen für Führungskräfte: Vorstände und Geschäftsführer müssen nachweislich lernen, Risiken zu erkennen und Sicherheitsmaßnahmen zu bewerten
  • Persönliche Haftung: Geschäftsleiter können künftig mit ihrem Privatvermögen haften – juristische Experten warnen vor dem Ende der „Abhaken-Compliance”
  • Lieferketten-Verantwortung: Unternehmen müssen sicherstellen, dass auch direkte Zulieferer Sicherheitsstandards einhalten

KI-Kompetenz wird zur Pflicht

Während NIS2 die Cybersicherheit neu definiert, erhöht die Datenschutzkonferenz (DSK) parallel den Druck beim Thema Künstliche Intelligenz. Am 20. November veröffentlichte die DSK anlässlich des Internationalen Tags der Kinderrechte eine Stellungnahme zu verschärften Datenschutzanforderungen.

Für Unternehmen entscheidender: Mit Inkrafttreten der KI-Verordnung der EU am 2. Februar 2025 müssen Anbieter und Anwender von KI-Systemen ihre Mitarbeiter zur „KI-Kompetenz” befähigen. Eine juristische Analyse formuliert es unmissverständlich: „Ab dem 2. Februar 2025 müssen Anbieter und Nutzer von KI-Systemen sicherstellen, dass ihre Belegschaft KI-kompetent ist.”

Klassische DSGVO-Schulungen reichen damit nicht mehr aus. Aktuelle Curricula für 2025 müssen abdecken:

  • Input-Hygiene: Welche Daten dürfen in öffentliche KI-Modelle wie ChatGPT eingespeist werden?
  • Output-Prüfung: Wie bewertet man KI-generierte Inhalte auf Richtigkeit und Voreingenommenheit?
  • Urheberrecht und Datenschutz: Das Zusammenspiel von geistigem Eigentum und personenbezogenen Daten bei KI-Verarbeitung

Mikrolernen statt Pflichtseminar

Das einstündige Jahrespflichtseminar hat ausgedient. Angesichts der neuen Anforderungen durch KI-Verordnung und NIS2 stellen Schulungsanbieter ihre Angebote grundlegend um. Der Trend 2025: „Micro-Learning” – kurze, interaktive Module im monatlichen oder quartalsweisen Rhythmus statt einmal jährlich.

„Das Ziel ist nicht nur, Anforderungen zu erfüllen, sondern eine Sicherheitskultur zu etablieren”, betonte die Cybersicherheitsberatung Syngenity am 18. November zur NIS2-Umsetzung. Der neue Standard umfasst gamifizierte Elemente und Phishing-Simulationen, die Mitarbeiter in Echtzeit testen – theoretisches Wissen allein genügt nicht mehr.

Diese kontinuierliche Compliance soll der „Alarmmüdigkeit” vorbeugen, vor der IT-Sicherheitsexperten seit Jahren warnen. Wer monatlich in kleinen Häppchen lernt, behält mehr – und verhält sich im Ernstfall sicherer.

Marktkonsolidierung bei Schulungsanbietern erwartet

Die Entwicklungen Ende November 2025 markieren einen Wendepunkt in der deutschen Unternehmensführung. Die Verabschiedung des NIS2-Gesetzes verändert die Risikokalkulation fundamental: Bisher führte mangelnde Mitarbeiterschulung zu DSGVO-Bußgeldern gegen das Unternehmen. Künftig droht die persönliche finanzielle Haftung für die Geschäftsführung.

„Unternehmen sind gezwungen, eigene Lösungen zu finden, um die Anforderungen entsprechend umzusetzen”, warnte Raynet in einem Briefing vom 21. November. Branchenbeobachter rechnen mit einer Konsolidierung am Markt der Schulungsanbieter. Gefragt sind integrierte Plattformen, die Compliance-Nachweise für DSGVO- und NIS2-Audits gleichzeitig dokumentieren können.

Die DSK-Ankündigung vom 20. November signalisiert zudem: Die Aufsichtsbehörden pausieren ihre Kontrollen nicht, während sich Unternehmen an NIS2 anpassen. Der doppelte Druck aus Datenschutz für vulnerable Gruppen und Absicherung kritischer Infrastrukturen schafft ein komplexes regulatorisches Umfeld. Umfassende, aktuelle Mitarbeiterschulungen sind die einzige tragfähige Verteidigung.

Was jetzt zu tun ist

2025 wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) voraussichtlich spezifische Lehrpläne für die unter NIS2 vorgeschriebenen Management-Schulungen veröffentlichen. Rechtsexperten erwarten, dass die ersten Prüfwellen 2026 stark auf Dokumentation fokussieren werden – konkret: den Nachweis, dass Schulungen nicht nur gekauft, sondern von Mitarbeitern absolviert und verstanden wurden.

Für das verbleibende vierte Quartal 2025 lautet die Priorität für Personal- und Compliance-Abteilungen: eine Lückenanalyse der bestehenden Lernmanagementsysteme. Die Frage lautet nicht mehr „Haben wir unsere Mitarbeiter geschult?”, sondern „Können wir einem Bundesprüfer beweisen, dass unsere Belegschaft cyber-kompetent ist?”

Die Antwort auf diese Frage wird die Compliance-Landschaft des kommenden Jahres definieren.

Anzeige

PS: Unsicher, ob Ihre Schulungsunterlagen und Nachweise den kommenden Prüfungen standhalten? Der kostenlose KI-Verordnungs-Leitfaden liefert prüfungsrelevante Checklisten, Vorlagen für Schulungscurricula und eine Übersicht der Übergangsfristen – perfekt zum Einbinden in Ihr LMS und zur Absicherung der Geschäftsführung gegen Haftungsrisiken. Leitfaden zur KI-Verordnung jetzt kostenlos herunterladen

@ boerse-global.de
Die besten Black Friday Angebote für