Ziel der NIS2-Richtlinie ist es, ein unionsweites und hohes Sicherheitsniveau von Netz- und Informationssystemen zu schaffen. Durch das deutsche Umsetzungsgesetz, dem NIS2UmsuCG, ist der neue regulatorische Rahmen für Unternehmen in Deutschland endgültig zur verbindlichen Managementaufgabe geworden. Die Regularien entfalten konkrete Wirkung in deutschen Unternehmen und setzen neue Maßstäbe für Governance, Organisation und Haftung.

Das Gesetz verlangt eine dokumentierte Risikoanalyse, woraus konkrete technische, organisatorische und operative Maßnahmen abzuleiten sind. Dazu zählen insbesondere Konzepte zur Vorfallverkennung und -bewältigung, Notfall- und Wiederanlaufpläne, sichere Authentifizierungsverfahren, Schwachstellenmanagement sowie Vorkehrungen zur Absicherung der Lieferkette. Cyberresilienz endet gerade nicht an der eigenen Firewall. Externe Dienstleister und technische Partner sind zwingend einzubeziehen, um ein angemessenes Sicherheitsniveau zu wahren.
Die wohl tiefgreifendste Veränderung betrifft jedoch die Rolle der Geschäftsleitung im Kontext von Cybersicherheit. Das NIS2UmsuCG verankert ausdrücklich, dass Leitungsorgane die Risikomanagementmaßnahmen billigen und deren Umsetzung überwachen müssen. Hinzu tritt eine verpflichtende regelmäßige Schulung der Geschäftsleitung.
Cybersicherheit modifiziert sich somit zur persönlichen Organpflicht. Wer Überwachungs- und Organisationspflichten verletzt, kann im Innenverhältnis gegenüber dem Unternehmen haftbar gemacht werden. Darüber hinaus drohen empfindliche Bußgelder gegen das Unternehmen selbst, die sich, vornehmlich bei umsatzstarken Gesellschaften, prozentual am weltweiten Konzernumsatz orientieren können. Für Geschäftsführer bedeutet dies: Es geht nicht nur um den Schutz der Infrastruktur, sondern auch um die eigene Haftungsprävention.

Im Fall bestimmter Sicherheitsvorfälle müssen zudem enge Fristen eingehalten werden. Eine Erstmeldung muss innerhalb von 24 Stunden erfolgen, binnen 72 Stunden ist eine Konkretisierung vorzulegen. Spättestens nach einem Monat ist ein Abschlussbericht einzureichen. Diese Fristen sind sehr anspruchsvoll, insbesondere für Unternehmen mit komplexen technischen Strukturen.
Funktionierende Entscheidungs- und Eskalationsprozesse sind daher zwingend zu etablieren. Geschäftsführungen müssen sicherstellen, dass Zuständigkeiten klar geregelt sind und relevante Informationen unverzüglich die Führungsebene erreichen.

Weiterhin stärkt die Regulatorik die Kompetenzen der Aufsichtsbehörde. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält dabei weitreichende Prüf- und Anordnungsrechte. Besonders wichtige Einrichtungen, zu denen häufig klassische KRITIS-Betreiber gehören, unterliegen dabei einer aktiven Aufsicht, die auch ohne konkreten Anlass tätig werden darf.
Betroffene Unternehmen müssen auf Verlangen Nachweise vorlegen, Audits ermöglichen und Mängel fristgerecht beheben. Bei schwerwiegenden oder wiederholten Verstößen drohen erhebliche Bußgelder im Millionenberei

Für viele Geschäftsführungen bedeutet die neue NIS2UmsuCG-Regulatorik vor allem eines: Die Verantwortung wird konkret. Durch die tiefgreifenden Anforderungen sind Unternehmen gezwungen eine strukturelle Neubewertung ihrer digitalen Resilienz vorzunehmen. Bestehende Informationssicherheitsmanagementsysteme können dabei eine tragfähige Grundlage bilden, reichen jedoch nicht aus, um sämtliche gesetzlichen Pflichten vollständig zu erfüllen. Cybersicherheit gehört, spätestens jetzt, auf die Agenda der Geschäftsleitung, und das nicht nur im Krisenfall, sondern dauerhaft.
Im KRITIS oder auch KRITIS-nahen Umfeld ist die Bedrohungslage hoch. Angriffe auf Versorgungsunternehmen betreffen nicht nur IT-Systeme, sondern auch unmittelbar die Versorgungssicherheit von Bürgern. So ist das Gesetz deshalb nicht nur ein Compliance-Rahmen, sondern ein Instrument zur aktiven Risikobegrenzung. Für Geschäftsführer bedeutet dies zugleich Haftungsprävention: Wer Strukturen frühzeitig schafft, die Zuständigkeiten klar regelt und Überwachungspflichten nachvollziehbar dokumentiert, reduziert persönliche Haftungsrisiken erheblich.<br/>Hinzu kommt der Zeitfaktor. Die gesetzlichen Maßgaben haben bereits jetzt rechtliche Wirkung entfaltet. Unternehmen, die mit der Umsetzung erst beginnen, wenn Prüfungen anstehen oder Vorfälle eintreten, geraten schnell unter erheblichen Handlungsdruck und riskieren nicht unerhebliche Bußgelder. Vorausschauende Vorbereitung reduziert nicht nur Haftungsrisiken, sondern verschafft organisatorische Stabilität in einem dynamischen Umfeld.
Entscheidend ist dabei jedoch, dass der regulatorische Rahmen nicht als rein formale ComplianceÜbung verstanden wird. Ein bloßes Abhaken des gesetzlichen Pflichtkatalogs genügt nicht, wenn Prozesse im Ernstfall nicht greifen. Gefordert ist ein belastbares Zusammenspiel aus Organisation, Technik und Führungskultur. Cyberresilienz entsteht nicht durch Dokumente, sondern durch klare Verantwortlichkeiten, transparente Entscheidungswege und ein gelebtes Resilienzverständnis im Unternehmen. Erst wenn Cybersicherheit als kontinuierlicher Verbesserungsprozess verstanden wird, entfaltet das Gesetz seine eigentliche Wirkung. Maßgeblich ist nicht, ob reagiert wird, sondern wie strukturiert und vorausschauend das Thema verstanden wird.

www.drbg.de