NIS2-Gesetz in Kraft: Deutschlands Manager haften jetzt persönlich

Die Schonfrist ist vorbei: Nach jahrelanger Vorbereitung ist die NIS2-Richtlinie nun deutsches Recht – und damit beginnt für rund 30.000 Unternehmen eine neue Ära der Cybersicherheit. Was diese Woche auf zwei großen Branchengipfeln in Berlin und Düsseldorf deutlich wurde: Aus freiwilligen Best Practices wird ab 2026 knallharte Compliance mit persönlicher Haftung für Vorstände und Geschäftsführer.

Der Cyber Security Strategy Summit in Berlin und die Handelsblatt-Jahreskonferenz Cybersecurity in Düsseldorf hatten diesmal wenig gemein mit theoretischen Fachdebatten. Stattdessen dominierten Fragen wie: Wer haftet bei einem Cyberangriff? Wie meldet man einen Vorfall binnen 24 Stunden? Und was passiert, wenn der Zulieferer zum Schwachpunkt wird?

Der Grund für die angespannte Stimmung: Das NIS2-Umsetzungsgesetz hat Mitte November 2025 die letzten parlamentarischen Hürden genommen. Am 13. November passierte es den Bundestag, am 21. November nickte der Bundesrat ab. Damit steht die größte Reform des deutschen IT-Sicherheitsrechts seit einem Jahrzehnt – und die Uhr für die Umsetzung tickt.

Die neue NIS2-Pflicht und die 24‑Stunden‑Meldefristen überfordern viele Mittelständler – Studien zeigen, dass bis zu 73% der deutschen Unternehmen auf Cyberangriffe nicht ausreichend vorbereitet sind. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt, welche technischen und organisatorischen Maßnahmen jetzt Priorität haben: KI‑gestützte SOCs, automatisierte Erkennung, Lieferanten‑Checks und Awareness‑Programme. Konkrete Handlungsanweisungen für Geschäftsführer, CISOs und Compliance‑Teams. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

24 Stunden Zeit – oder Bußgeld

Die neue Gesetzeslage erweitert den Kreis der regulierten Unternehmen massiv. Waren bisher vor allem Betreiber kritischer Infrastrukturen (KRITIS) betroffen, fallen nun auch Logistikunternehmen, Abfallentsorger, Lebensmittelproduzenten und digitale Dienstleister unter die Vorschriften.

Was bedeutet das konkret? Bei einem erheblichen Cybervorfall müssen Unternehmen künftig in drei Stufen reagieren:

1. Frühwarnung: Innerhalb von 24 Stunden nach Bekanntwerden
2. Vorfallsmeldung: Detaillierte Nachreichung binnen 72 Stunden
3. Abschlussbericht: Vollständige Analyse innerhalb eines Monats

Die 24-Stunden-Frist sorgt für besondere Nervosität – vor allem im Mittelstand. „Viele Organisationen verfügen gar nicht über die nötigen 24/7-Überwachungssysteme, um einen Vorfall überhaupt rechtzeitig zu erkennen, geschweige denn zu melden”, warnte ein Sicherheitsexperte in Düsseldorf. Die Folge: Wer nicht investiert, riskiert von Anfang an die Compliance.

Chef-Sache statt IT-Abteilung

Noch brisanter als die Meldefristen ist die neue persönliche Haftung für Führungskräfte. Geschäftsführer und Vorstände können sich nicht mehr auf ihre IT-Teams zurückziehen – Cybersicherheit ist jetzt Chefsache.

Die gesetzlichen Pflichten sind eindeutig:
* Management muss Cybersicherheits-Maßnahmen genehmigen
* Umsetzung muss überwacht werden
* Regelmäßige Schulungen sind Pflicht

„Die Botschaft aus Berlin ist unmissverständlich: Cybersicherheit ist Vorstandsverantwortung”, erklärte ein Compliance-Experte auf dem Handelsblatt-Kongress. Wer seine Hausaufgaben nicht macht, riskiert drastische Konsequenzen: Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ist – können als Bußgeld verhängt werden. Bei grober Fahrlässigkeit droht sogar persönliche Haftung.

Kein Wunder also, dass viele Teilnehmer der Gipfel sichtlich nervös wirkten. Die Zeiten, in denen IT-Sicherheit als technisches Detail behandelt wurde, sind endgültig vorbei.

KI als Waffe und Werkzeug

Neben den regulatorischen Themen stand auch Künstliche Intelligenz im Fokus – allerdings aus zwei gegensätzlichen Perspektiven.

Die dunkle Seite: Angreifer nutzen generative KI bereits heute für perfekt formulierte Phishing-Mails und täuschend echte Deepfake-Anrufe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete auf dem Gipfel einen Anstieg KI-gestützter Angriffe um über 40 Prozent allein in diesem Jahr.

Die Gegenstrategie: Um die 24-Stunden-Meldefrist einzuhalten, führt für viele Unternehmen kein Weg an KI-gestützten Security Operations Centers (SOCs) vorbei. „Rein manuelle Analyse ist schlicht zu langsam für die neuen gesetzlichen Vorgaben”, argumentierte ein Technologieanbieter in Berlin.

Das BSI, dessen Rolle durch das neues Gesetz deutlich gestärkt wurde, sieht automatisierte Verteidigung nicht mehr als Luxus, sondern als Compliance-Notwendigkeit. Wer „Stand der Technik” gewährleisten will – wie es das Gesetz fordert –, kommt an modernen KI-Tools kaum noch vorbei.

Die schwächste Stelle: Der Zulieferer

Eine der größten Herausforderungen, die auf den Gipfeln diskutiert wurde, ist die Lieferkettensicherheit. Das NIS2-Gesetz verpflichtet Unternehmen nicht nur, ihre eigenen Systeme abzusichern, sondern auch die ihrer direkten Zulieferer zu prüfen.

„Ihre Compliance hängt jetzt von Ihrem schwächsten Lieferanten ab”, war ein wiederkehrendes Thema in Düsseldorf. Die Konsequenz: Massive Nachfrage nach Zero-Trust-Architekturen, bei denen grundsätzlich kein Nutzer oder System – weder intern noch extern – als vertrauenswürdig gilt.

Experten rieten den Teilnehmern dringend, ihre Lieferantenverträge sofort zu überprüfen. Sicherheitsverpflichtungen müssen künftig rechtlich bindend vereinbart werden. Das dürfte 2026 für erhebliche Reibung sorgen, wenn große deutsche Konzerne beginnen, Lieferanten auszusortieren, die keine ausreichenden Cybersicherheitsstandards nachweisen können.

Was jetzt zu tun ist

Mit dem Abschluss der Gipfel am Freitag steht der Fahrplan fest. Die offizielle Verkündung des Gesetzes wird für Ende 2025 oder spätestens Januar 2026 erwartet – dann beginnt die aktive Durchsetzungsphase.

Das BSI hat bereits signalisiert, dass es von seinen neuen Aufsichtsbefugnissen konsequent Gebrauch machen wird. Unternehmen sollten die verbleibenden Wochen dieses Jahres nutzen, um:

1. Zu klären, ob sie unter die erweiterten Kategorien „Wesentlich” oder „Wichtig” fallen
2. Die vom BSI geforderten 24/7-Meldekanäle einzurichten
3. Die Genehmigungs- und Überwachungsprozesse der Geschäftsführung zu dokumentieren, um Haftungsrisiken zu minimieren

Wie es ein CISO in seinem Schlusswort in Berlin auf den Punkt brachte: „Compliance ist keine Checkliste mehr – es ist die Lizenz zum Geschäftsbetrieb.”

PS: Compliance ist jetzt Chefsache – und das bedeutet konkrete Maßnahmen statt abstrakter Richtlinien. Dieses kostenlose E‑Book liefert sofort nutzbare Checklisten für 24/7‑Meldekanäle, Anti‑Phishing‑Strategien, Lieferanten‑Audits und Verantwortlichkeits‑Dokumentation, damit Sie Bußgelder und persönliche Haftungsrisiken minimieren. Praxisorientiert, kompakt und auf deutsche Aufsichtsanforderungen zugeschnitten. Jetzt gratis Cyber‑Security‑E‑Book sichern