Bis zu zehn Millionen Euro Bußgeld oder zwei Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ausfällt. Das sind keine Fantasiezahlen aus einem Worst-Case-Szenario, sondern reale Sanktionsobergrenzen, die die neue EU-Richtlinie NIS-2 für bestimmte Unternehmen vorsieht.
Was viele Geschäftsführer dabei noch nicht wissen: Im Unterschied zu früheren Regulierungen können sie künftig persönlich, mit ihrem Privatvermögen, zur Verantwortung gezogen werden. Einer aktuellen Einschätzung von Branchenverbänden zufolge haben sich bislang weniger als ein Drittel der betroffenen Unternehmen in Deutschland ernsthaft mit den neuen Anforderungen auseinandergesetzt.
Was steckt hinter NIS-2?
Die Network and Information Security Directive 2, kurz NIS-2, ist eine EU-Richtlinie, die im Oktober 2024 in deutsches Recht hätte umgesetzt sein sollen. Sie löst die erste NIS-Richtlinie aus dem Jahr 2016 ab und erweitert deren Anwendungsbereich erheblich. Ziel ist es, ein einheitlich hohes Sicherheitsniveau für Netz- und Informationssysteme in der gesamten Europäischen Union zu gewährleisten, angesichts der stark gestiegenen Bedrohungslage durch Cyberangriffe auf kritische Infrastrukturen ein nachvollziehbares Vorhaben.
Neu ist vor allem die Reichweite: Während die ursprüngliche Richtlinie primär auf Betreiber kritischer Infrastrukturen abzielte, erfasst NIS-2 nun deutlich mehr Sektoren und Unternehmensgrößen. Dazu gehören unter anderem Energie- und Wasserversorger, Gesundheitseinrichtungen, digitale Infrastruktur, Transport und Logistik, Lebensmittelverarbeitung sowie weite Teile des verarbeitenden Gewerbes. Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz von mehr als zehn Millionen Euro in bestimmten Branchen können in den Geltungsbereich fallen und das, ohne dass viele von ihnen es heute schon wissen.
Persönliche Haftung: Das unterschätzte Kernproblem
Das eigentlich Neue und Brisante an NIS-2 ist nicht die Existenz von Bußgeldern, den Regulierungen mit Sanktionsandrohungen gibt es in der deutschen Unternehmenslandschaft schon seit Jahrzehnten. Das Entscheidende ist, dass NIS-2 erstmals ausdrücklich vorsieht, dass Leitungsorgane von Unternehmen persönlich haftbar gemacht werden können, wenn sie ihren Aufsichts- und Sorgfaltspflichten im Bereich Cybersicherheit nicht nachkommen.
Konkret bedeutet das: Ein Geschäftsführer, der keine angemessenen Risikomaßnahmen implementiert, keine regelmäßigen Sicherheitsaudits veranlasst oder im Ernstfall keine funktionierenden Meldeprozesse vorweisen kann, haftet nicht nur mit dem Unternehmen, sondern möglicherweise auch persönlich. Die Richtlinie erlaubt es Mitgliedstaaten zudem, Geschäftsführern bei schwerwiegenden Verstößen vorübergehend die Ausübung von Leitungsfunktionen zu untersagen. Das ist eine Dimension, die bisherige IT-Compliance-Regelungen in dieser Form nicht kannten.
Wen betrifft es konkret?
Viele Unternehmen gehen davon aus, NIS-2 betreffe nur Großkonzerne oder staatliche Stellen. Das ist ein Irrtum. Gerade der Mittelstand und kleine bis mittlere Unternehmen (KMU) geraten zunehmend in den Fokus, nicht zuletzt, weil sie häufig als Zulieferer oder Dienstleister in Lieferketten kritischer Sektoren eingebunden sind.
Ein Maschinenbauunternehmen mit 80 Mitarbeitern, das Komponenten für die Energieversorgung produziert; ein Logistikdienstleister mit regionaler Präsenz, der für Lebensmittelhersteller arbeitet; eine mittelständische IT-Firma, die Krankenhäuser betreut, all diese Unternehmen können unter NIS-2 fallen, ohne dass ihre Geschäftsführer sich dessen bewusst sind. Die Prüfung, ob ein Unternehmen in den Anwendungsbereich fällt, ist daher kein optionaler Schritt, sondern eine dringende Notwendigkeit.
Was passiert, wenn Unternehmen nichts tun?
Die Konsequenzen der Untätigkeit sind mehrschichtig. Auf der einen Seite drohen unmittelbare behördliche Sanktionen: Bußgelder, Anordnungen zur Nachbesserung, im Extremfall temporäre Betriebseinschränkungen. Auf der anderen Seite entstehen im Fall eines Cyberangriffs erhebliche Haftungsrisiken, gegenüber Kunden, Partnern und Behörden, wenn nachgewiesen wird, dass das Unternehmen keine angemessenen Schutzmaßnahmen ergriffen hatte.
Hinzu kommt ein oft übersehener Reputationsschaden: Die Meldepflichten nach NIS-2 sind streng und kurzfristig. Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet und innerhalb von 72 Stunden detailliert berichtet werden. Wer dafür keine Prozesse hat, steht im Ernstfall vor einer operativen und kommunikativen Krise.
Einschätzung aus der Praxis
Die CompiPower GmbH mit Sitz in Rotenburg ist ein seit über 25 Jahren etabliertes IT-Systemhaus in Niedersachsen. Das Unternehmen berät mittelständische Betriebe in den Bereichen IT-Security, Penetrationstests, digitale Forensik und IT-Betreuung. Einen Schwerpunkt bildet die Begleitung von Unternehmen bei der Umsetzung gesetzlicher Cybersicherheitsanforderungen, darunter auch die NIS-2-Richtlinie.
„Ich erlebe in Gesprächen mit Unternehmern immer wieder, dass NIS-2 als etwas wahrgenommen wird, das ‚die anderen‘ betrifft. Dabei sitzen viele Geschäftsführer längst in der Haftungsfalle, ohne es zu wissen. Was mich dabei am meisten besorgt, ist nicht die technische Seite, die lässt sich lösen. Es ist das fehlende Bewusstsein dafür, dass es hier um persönliche Verantwortung geht und nicht nur um eine Frage der IT-Abteilung.“
~ Peter Debus, Geschäftsführer der CompiPower GmbH
Was jetzt zu tun ist
NIS-2 ist kein IT-Thema, es ist ein Führungsthema. Geschäftsführer sollten zunächst klären, ob ihr Unternehmen überhaupt in den Anwendungsbereich fällt. Falls ja, sollten sie gemeinsam mit IT-Verantwortlichen und gegebenenfalls rechtlichem Beistand eine Bestandsaufnahme der bestehenden Sicherheitsmaßnahmen durchführen, Lücken identifizieren und einen realistischen Umsetzungsplan entwickeln.
Die technischen Anforderungen, Risikoanalysen, Zugriffskontrollen, Incident-Response-Prozesse, Verschlüsselung, Business Continuity, sind lösbar. Was sich nicht nachholen lässt, ist verlorene Zeit. Wer heute mit einer Prüfung beginnt, kann strukturiert handeln. Wer wartet, bis ein Vorfall eintritt oder eine Behörde anklopft, verliert diese Option.