von

NIS2 und das neue BSIG

Die rechtliche Verantwortung der Geschäftsleitung im Fokus

Stand: April 2026

Mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie und der Neufassung des BSI-Gesetzes (BSIG) ist Cybersicherheit in Deutschland endgültig zu einer Leitungsaufgabe geworden. Für Geschäftsführungen, Vorstände und andere Leitungsorgane bedeutet das: Informationssicherheit ist nicht mehr nur eine unterstützende Fachfunktion innerhalb der Organisation. Sie ist eine zentrale Aufgabe der Unternehmenssteuerung, der Haftungsvermeidung und der operativen Resilienz.

Für viele Unternehmen ist dabei nicht die Frage entscheidend, ob Cybersicherheit wichtig ist. Entscheidend ist, welche Pflichten jetzt konkret gelten, wer betroffen ist und welche Entscheidungen die Geschäftsleitung kurzfristig treffen muss.

Die wichtigsten Punkte auf einen Blick

  • Das NIS-2-Umsetzungsgesetz wurde am 05.12.2025 im Bundesgesetzblatt verkündet und ist am 06.12.2025 in Kraft getreten.
  • Betroffene Einrichtungen mussten sich grundsätzlich innerhalb von drei Monaten beim BSI registrieren; die Frist lief damit auf den 06.03.2026.
  • Das Gesetz unterscheidet zwischen besonders wichtigen Einrichtungen und wichtigen Einrichtungen.
  • Geschäftsleitungen müssen Risikomanagementmaßnahmen billigen, deren Umsetzung überwachen und an Schulungen teilnehmen.
  • Erhebliche Sicherheitsvorfälle unterliegen einem gestuften Meldeprozess mit 24 Stunden, 72 Stunden und einem Monat.
  • Die gesetzlichen Bußgeldrahmen sind hoch und orientieren sich sichtbar an der Sanktionslogik europäischer Digitalregulierung.

Warum das Thema auf Geschäftsleitungsebene angekommen ist

Das neue BSIG verschiebt die Verantwortung sichtbar in die Unternehmensleitung. Die Geschäftsleitung ist nicht mehr nur Empfänger von Sicherheitsberichten, sondern selbst Adressat konkreter Pflichten. Das betrifft insbesondere:

  • die Billigung von Maßnahmen zum Management von Cybersicherheitsrisiken
  • die Überwachung ihrer Umsetzung
  • die Teilnahme an Schulungen
  • die Organisation belastbarer Berichts- und Eskalationswege

Damit wird Cybersicherheit zu einem festen Bestandteil ordnungsgemäßer Unternehmensführung.

Aus meiner Sicht ist genau das die eigentliche grundlegende Veränderung. Nicht einzelne Maßnahmen stehen im Zentrum, sondern die steuerbare und nachweisbare Führungsverantwortung.

Wer wird reguliert?

Die Betroffenheitsprüfung ist für viele Unternehmen anspruchsvoller, als es zunächst wirkt. Das Gesetz arbeitet mit zwei zentralen Kategorien:

1. Besonders wichtige Einrichtungen

Diese Kategorie umfasst insbesondere Einrichtungen aus Sektoren mit hoher Kritikalität sowie Betreiber kritischer Anlagen. Maßgeblich sind dabei unter anderem Branche, Unternehmensgröße und einzelne gesetzliche Sondertatbestände.

2. Wichtige Einrichtungen

Hierunter fallen weitere definierte Sektoren und Unternehmensgruppen, sofern die jeweiligen Schwellenwerte und sektoralen Voraussetzungen erfüllt sind.

In der Praxis ist die Prüfung meist nur dann belastbar, wenn Sektorenzuordnung, Unternehmensgröße und Konzernbeziehungen gemeinsam bewertet werden. Gerade bei verbundenen Unternehmen kann die isolierte Betrachtung einer einzelnen Gesellschaft zu falschen Ergebnissen führen.

Warum die Betroffenheitsprüfung oft unterschätzt wird

Viele Organisationen prüfen nur ihre eigene Mitarbeiterzahl oder ihren Einzelumsatz. Das ist in der Regel unzureichend. Bei verbundenen Unternehmen, Beteiligungsstrukturen oder Gruppen mit mehreren Gesellschaften muss häufig weitergehend geprüft werden.

Besonders heikel ist das Thema dann, wenn nur einzelne Gesellschaften eines Unternehmensverbunds Leistungen in relevanten Sektoren erbringen. Hier sollte die Geschäftsleitung keine vorschnellen Annahmen treffen, sondern die Betroffenheit dokumentiert und belastbar prüfen lassen.

Für das Management gilt deshalb ein einfacher Grundsatz:

Nicht die subjektive Einschätzung entscheidet, sondern maßgeblich ist eine rechtssichere und belastbar dokumentierte Einordnung.

Registrierung beim BSI: keine Formalität, sondern Pflicht

Betroffene Einrichtungen mussten sich grundsätzlich binnen drei Monaten nach Inkrafttreten beim BSI registrieren. In der Praxis hat das BSI hierfür einen zweistufigen Prozess vorgesehen, der insbesondere über Mein Unternehmenskonto und ein ELSTER-Organisationszertifikat läuft.

Das zeigt: Registrierung ist kein bloßer Verwaltungsakt, sondern Teil eines strukturierten regulatorischen Zugangs zum Aufsichtsregime.

Für Unternehmen, die ihre Betroffenheit erst verspätet belastbar feststellen oder bei der Registrierung hinterherhinken, ist das Thema weiterhin relevant. Die Geschäftsleitung sollte in solchen Fällen nicht abwarten, sondern unverzüglich den Status klären, Nachweise sichern und die Registrierung nachholen, soweit sie erforderlich ist.

Welche Pflichten die Geschäftsleitung konkret treffen

Die gesetzlichen Anforderungen lassen sich aus Managementsicht auf vier Kernfragen verdichten:

1. Sind angemessene Risikomanagementmaßnahmen beschlossen?

Es genügt nicht, Maßnahmen nur informell zu unterstützen. Die Geschäftsleitung muss sie billigen und organisatorisch verankern.

2. Wird die Umsetzung tatsächlich überwacht?

Ein Informationssicherheitskonzept auf dem Papier reicht nicht. Erforderlich sind belastbare Steuerungsmechanismen, klare Zuständigkeiten und regelmäßiges Reporting.

3. Ist die Geschäftsleitung selbst ausreichend qualifiziert?

Das Gesetz verlangt auch Schulungen für die Geschäftsleitung. Damit wird deutlich: Unwissenheit ist kein tragfähiges Schutzargument.

4. Ist die Organisation melde- und handlungsfähig?

Meldepflichten funktionieren nur dann, wenn Erkennung, Bewertung, Eskalation und Freigabe organisatorisch vorbereitet sind.

Was unter Risikomanagementmaßnahmen zu verstehen ist

Das BSIG verlangt einen umfassenden Ansatz zum Management von Cybersicherheitsrisiken. Dazu gehören insbesondere organisatorische, technische und prozessuale Maßnahmen. In der Managementpraxis relevant sind vor allem diese Themenfelder:

  • Risikoanalyse und Sicherheitskonzepte
  • Vorfallbewältigung und Incident Response
  • Business Continuity und Krisenmanagement
  • Sicherheit in der Lieferkette
  • Schutz von Netzen und Informationssystemen
  • Einsatz von Kryptografie und Authentisierungslösungen, etwa Multi-Faktor-Authentisierung
  • grundlegende Cyberhygiene und Schulungen

Für viele Unternehmen ist dabei wichtig: Das Gesetz schreibt nicht schlicht ein ISO-Zertifikat vor. Es verlangt aber einen Umsetzungsgrad, der ohne ein strukturiertes Managementsystem kaum belastbar steuerbar ist.

Meine klare Einschätzung: Ein pragmatisch eingeführtes ISMS auf Basis von ISO/IEC 27001:2022 ist für viele betroffene Organisationen der effizienteste Weg, um diese Anforderungen strukturiert, auditierbar und managementfähig umzusetzen.

Lieferkette: ein unterschätztes Managementthema

Die Sicherheit der Lieferkette ist ausdrücklich Teil der gesetzlichen Anforderungen. Das betrifft insbesondere ausgelagerte IT-Services, Cloud-Dienste, Managed Services, Fernwartung, zentrale Softwarelieferanten und weitere kritische Dienstleister.

Für die Geschäftsleitung bedeutet das:

  • Kritische Lieferanten müssen identifiziert werden.
  • Sicherheitsanforderungen müssen vertraglich und operativ abgesichert werden.
  • Abhängigkeiten und Konzentrationsrisiken müssen sichtbar sein.
  • Audit-, Nachweis- und Eskalationsmechanismen sollten vereinbart werden.

Wichtig ist dabei die richtige Einordnung: Das Gesetz verlangt nicht für jeden Lieferanten einheitliche vertragliche Regelungen. Es verlangt aber eine risikoorientierte Betrachtung der Lieferkette. Genau daran scheitern in der Praxis viele Organisationen.

Meldepflichten: 24 Stunden, 72 Stunden, 1 Monat

Ein erheblicher Sicherheitsvorfall löst gestufte Meldepflichten aus. Für die Praxis ist dieses 3-Stufen-Modell entscheidend:

Innerhalb von 24 Stunden

Eine frühe Erstmeldung nach Kenntniserlangung.

Innerhalb von 72 Stunden

Eine Folgemeldung mit weitergehenden Informationen zur Einordnung des Vorfalls.

Spätestens nach einem Monat

Eine Abschlussmeldung mit konsolidierten Informationen und den wesentlichen Erkenntnissen.

Für das Management folgt daraus eine klare Anforderung: Ohne vorbereiteten Meldeprozess sind diese Fristen operativ kaum einzuhalten. Unternehmen brauchen deshalb klare Schwellenwerte, Meldewege, Vertretungsregeln und vorbereitete Entscheidungspfade.

Aufsicht und Sanktionen: warum Abwarten keine gute Strategie ist

Das BSI verfügt über Aufsichtsbefugnisse, die je nach Kategorie der Einrichtung unterschiedlich intensiv ausfallen können. Hinzu kommen erhebliche Bußgeldrahmen.

In der öffentlichen Einordnung wird regelmäßig auf folgende Größenordnungen verwiesen:

  • bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes bei besonders wichtigen Einrichtungen (je nachdem, welcher Betrag höher ist)
  • bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes bei wichtigen Einrichtungen (je nachdem, welcher Betrag höher ist)
  •  

Für Geschäftsleitungen ist jedoch ein anderer Punkt ausschlaggebend. Das eigentliche Risiko entsteht nicht erst durch mögliche Bußgelder, sondern durch fehlende Nachweise, unklare Verantwortlichkeiten und Entscheidungen, die unter Zeitdruck nicht mehr strukturiert getroffen werden können.

Was die Geschäftsleitung jetzt konkret veranlassen sollte

Aus Sicht der Unternehmenssteuerung sind jetzt vor allem diese Schritte sinnvoll:

1. Betroffenheit belastbar prüfen

Nicht oberflächlich, sondern mit Blick auf Sektor, Größe, Konzernstruktur und Sondertatbestände.

2. Registrierungsstatus klären

Wurde die Registrierung fristgerecht vorgenommen? Falls nicht, sollte der Status umgehend geklärt und ggf. nachgeholt werden.

3. Gap-Analyse durchführen

Bestehende Sicherheitsmaßnahmen sollten gegen die gesetzlichen Anforderungen abgeglichen werden.

4. Governance ausprägen

Berichtslinien, Eskalationswege, Verantwortlichkeiten und Managemententscheidungen müssen nachvollziehbar dokumentiert sein.

5. Geschäftsleitung schulen

Die Teilnahme an geeigneten Schulungen sollte nicht nur erfolgen, sondern auch nachweisbar dokumentiert werden.

6. Lieferkette priorisieren

Kritische Dienstleister, Cloud-Anbieter und zentrale Softwareabhängigkeiten gehören auf die Agenda der Geschäftsleitung.

7. Meldeprozess testen

Ein Plan ist nur dann belastbar, wenn Rollen, Fristen und Entscheidungspfade praktisch funktionieren.

Einordnung für KMU

Viele mittelständische Unternehmen glauben noch immer, NIS2 betreffe nur große Betreiber kritischer Infrastrukturen. Das ist zu kurz gedacht. Auch Unternehmen, die nicht unmittelbar in der ersten Wahrnehmung als „kritisch“ gelten, können betroffen sein oder über Kunden- und Lieferkettenanforderungen erheblich unter Druck geraten.

Deshalb ist NIS2 auch für KMU ein Managementthema. Nicht immer, weil sie selbst unmittelbar reguliert sind. Aber sehr häufig, weil sie gegenüber Kunden, Auftraggebern, Versicherern und Partnern eine belastbare Sicherheitsorganisation nachweisen müssen.

Fazit

Das neue BSIG macht deutlich, was sich in der Praxis schon lange abzeichnet, Cybersicherheit ist Führungsaufgabe. Geschäftsleitungen müssen nicht jedes technische Detail selbst beherrschen. Sie müssen aber sicherstellen, dass Risiken erkannt, Maßnahmen beschlossen, Umsetzungen überwacht und Vorfälle handlungsfähig gemanagt werden.

Wer NIS2 nur als Rechtsfrage oder IT-Thema behandelt, greift zu kurz. In Wahrheit geht es um Governance, Haftungsprävention und Resilienz.

Gerade für das Management ist das die entscheidende Botschaft: Informationssicherheit ist kein Nebenprojekt mehr. Sie ist Teil verantwortungsvoller Unternehmensführung.

Hinweis: Dieser Beitrag bietet eine fachliche Einordnung aus Management- und Informationssicherheitssicht und ersetzt keine individuelle Rechtsberatung im Einzelfall.

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

von
Bild
BSI C5:2026 Cloud-Sicherheit verständlich gemacht Was KMU und Entscheider jetzt wissen sollten 1. Executive Summary (Zusammenfassung) Mit der Veröffentlichung des aktualisierten Kriterienkatalogs C5:2026 am 7. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den maßgeblichen Rahmen für sicheres
Weiter lesen »
von
Bild
KRITIS-Dachgesetz 2026 Was Führungskräfte jetzt wissen und entscheiden müssen Das KRITIS-Dachgesetz ist kein Spezialthema mehr für Sicherheitsverantwortliche, Facility Management oder Krisenstäbe. Seit März 2026 ist es ein Führungsthema. Der Grund ist einfach: Das Gesetz verschiebt den Blick auf Kritische Infrastrukturen weg von einer engen Cyberperspektive hin zu einem umfassenden Resilienzverständnis. Es geht nicht mehr nur darum, ob IT-Systeme sicher sind. Es geht darum, ob kritische Leistungen auch dann noch erbracht werden können, wenn physische, organisatorische oder hybride Störungen eintreten.
Weiter lesen »