NIS2: Was müssen Geschäftsführer jetzt wirklich tun?

Kurz zur Erinnerung: Was ist NIS2 überhaupt?

NIS2 ist die euro­päische Richtlinie zur Netz- und Informationssicherheit — in Deutschland umge­setzt durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG). Seit Oktober 2024 gilt: Cybersicherheit ist Chefsache. Nicht dele­gierbar, nicht igno­rierbar, nicht “das macht die IT”.
Wer als Geschäftsführer, Vorstand oder Behördenleitung einer betrof­fenen Einrichtung tätig ist, steht per­sönlich in der Pflicht. Und zwar nicht erst seit gestern.

Bin ich überhaupt betroffen?

NIS2 unter­scheidet zwi­schen “wesent­lichen” und “wich­tigen” Einrichtungen — grob gesagt: Unternehmen und Behörden in kri­ti­schen Sektoren ab einer bestimmten Größe. Dazu gehören unter anderem Energie, Transport, Gesundheit, digitale Infrastruktur, öffent­liche Verwaltung und viele mehr.
Faustregel: Ab 50 Mitarbeitenden und 10 Mio. Euro Jahresumsatz in einem der betrof­fenen Sektoren solltest Du die Frage nicht mit “wahr­scheinlich nicht” beant­worten. Im Zweifel: prüfen lassen.

5 Pflichten die jetzt auf Deiner Agenda stehen

1. Schulungspflicht erfüllen — persönlich

§ 38 BSIG schreibt vor: Die Leitungsorgane müssen an Schulungen zur Cybersicherheit teil­nehmen. Nicht die IT-Abteilung, nicht der ISB — Du per­sönlich. Die Schulung muss nach­weisbar sein und den Anforderungen der BSI-Handreichung entsprechen.

2. Risikomanagement billigen und überwachen

Du musst die Cybersicherheitsmaßnahmen Deiner Organisation nicht selbst umsetzen — aber Du musst sie bil­ligen /​ bewil­ligen und deren Umsetzung über­wachen. Das ist die soge­nannte Billigungs- und Überwachungspflicht. Wer das dele­giert ohne hin­zu­schauen, haftet trotzdem.

3. Sicherheitsvorfälle melden

Erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet werden — an das BSI und ggf. an betroffene Kunden. Das ist kein IT-Thema, das ist Chefsache. Du musst sicher­stellen dass die ent­spre­chenden Prozesse in Deiner Organisation exis­tieren UND funktionieren.

4. Lieferkette im Blick behalten

NIS2 macht Dich mit­ver­ant­wortlich für die Cybersicherheit Deiner Dienstleister und Zulieferer. Wer kri­tische IT-Dienstleistungen ein­kauft, muss die Sicherheit seiner Lieferkette aktiv managen — und das dokumentieren.

5. Dokumentation als Schutzschild

Im Ernstfall — ob Behördenprüfung oder Haftungsklage — musst Du nach­weisen können dass Du Deine Pflichten erfüllt hast. Ohne Dokumentation kein Nachweis. Ohne Nachweis volle Haftung.

Was passiert wenn ich nichts tue?

NIS2 hat Zähne: Bußgelder bis zu 10 Millionen Euro oder 2% des welt­weiten Jahresumsatzes sind möglich — je nachdem was höher ist. Und anders als bei der DSGVO trifft die per­sön­liche Haftung hier explizit die Leitungsorgane, nicht nur das Unternehmen oder die Behörde.

Der einfachste erste Schritt

Die Schulungspflicht nach § 38 BSIG ist der ein­fachste und schnellste Punkt auf dieser Liste — und gleich­zeitig der direk­teste Nachweis, dass Du Deine Pflichten ernst nimmst. Unsere NIS2-Schulung für Geschäfts- und Behördenleitung dauert 4,5 Stunden, ist als Live-Webinar buchbar und liefert Dir die qua­li­fi­zierte Teilnahmebestätigung die Du brauchst.