WISSENSWERTES | 11.08.2025
NIS-2 Referentenentwurf – Geschäftsleitungen in der Pflicht (und in der Haftung)
Mit dem Referentenentwurf für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) vom 23. Juni 2025 rückt das Bundesinnenministerium die Geschäftsleitungen ins Zentrum der IT-Sicherheitsverantwortung. Künftig haften nicht mehr nur Unternehmen abstrakt für Sicherheitslücken – die Pflicht, Risiken zu kennen, zu steuern und zu minimieren, ist ausdrücklich Chefsache. Persönliche Regressansprüche sind möglich, wenn Vorgaben nicht erfüllt werden.
Was bedeutet das konkret?
Der Referentenentwurf stellt klar: Cybersicherheit ist künftig nicht mehr primär ein „Technikthema“, das man an die IT-Abteilung delegieren kann. Die Verantwortung liegt in der Geschäftsleitung – und sie umfasst die Pflicht, technische, organisatorische und rechtliche Anforderungen zusammenzuführen.
Erfüllung von BSI-Standards
Konkret heißt das: Über 30.000 Organisationen – von Betreibern kritischer Infrastrukturen über Anbieter wesentlicher digitaler Dienste bis hin zu konzerninternen IT-Dienstleistern – müssen künftig IT-Sicherheitsmaßnahmen nach BSI-Standards umsetzen. Hinzu kommen die Pflicht zur Registrierung beim BSI, ein gestuftes Verfahren zur Meldung von Sicherheitsvorfällen und regelmäßige Risikoanalysen. Wer unter die Schwellenwerte fällt, ist nicht automatisch außen vor: Auch die „kritische Relevanz“ kann eine Einordnung als besonders wichtige Einrichtung begründen.
Die Umsetzung ist komplex, weil rechtliche Bewertung und technische Umsetzung Hand in Hand gehen müssen. Nur die IT-Abteilung versteht die konkrete Architektur und die Schwachstellen der Systeme. Nur die Rechtsabteilung oder externe Berater können beurteilen, welche Anforderungen aus der NIS-2-Umsetzung, dem BSI-Gesetz, Datenschutzvorgaben und branchenspezifischen Standards resultieren. Die Geschäftsleitung muss diese beiden Welten aktiv zusammenbringen – durch klare Kommunikationswege, verbindliche Prozesse und ein abgestimmtes Risikomanagement.
Das bedeutet auch: Ein formales Sicherheitskonzept „in der Schublade“ reicht nicht. Die Vor-gaben verlangen eine gelebte Sicherheitskultur, in der Compliance und IT-Security keine Parallelwelten sind, sondern auf dasselbe Ziel hinarbeiten – die Minimierung von Cyberrisiken und die Erfüllung gesetzlicher Pflichten.
Haftungsrisiken im Fokus
Der Entwurf sieht vor, dass Geschäftsleitungsmitglieder für Versäumnisse persönlich in Anspruch genommen werden können – ähnlich wie im Bereich der Compliance- und Kartellrechtspflichten. Das Haftungsrisiko umfasst dabei nicht nur zivilrechtliche Schadensersatzansprüche, sondern auch mögliche aufsichtsrechtliche Sanktionen. Wer die Pflichten ignoriert, handelt auf eigenes Risiko – dokumentierte Prozesse und klare Zuständigkeiten sind daher unverzichtbar.
Ob und in welcher Form ein zentraler „CISO Bund“ als koordinierende Stelle eingerichtet wird, bleibt offen. Klar ist jedoch: Die neue Rechtslage wird nicht auf den Tag der Verkündung warten. Unternehmen, die jetzt nicht handeln, laufen Gefahr, bei Inkrafttreten des Gesetzes sofort in Verzug zu geraten.
Was kann und sollte jetzt schon getan werden?
1. Risikoprofil erstellen: Prüfen, ob das Unternehmen unter die Regelungen fällt – auch im Konzernverbund oder als interner Dienstleister (z. B. direkt über einen Fragebogen des BSI).
2. IT-Sicherheits- und Meldeprozesse bewerten: Vorhandene Strukturen auf BSI-Standards und NIS-2-Anforderungen abgleichen.
3. Verantwortlichkeiten festlegen: Klare Zuständigkeiten für IT-Sicherheit in der Geschäftsleitung und im operativen Bereich definieren und dokumentieren.
4. Schulungen und Awareness-Maßnahmen starten: Geschäftsleitung und Führungskräfte auf ihre neuen Pflichten vorbereiten – mit Blick auf Haftung und persönliche Verantwortung.
Fazit
Die NIS-2-Umsetzung markiert einen Paradigmenwechsel: Cybersicherheit ist nun definitiv keine rein technische Frage mehr, sondern Teil der Organhaftung. Wer frühzeitig vorbereitet ist, minimiert aber nicht nur Risiken, sondern kann die neuen Anforderungen auch als Wettbewerbsvorteil nutzen.