.svg)
Die NIS2-Richtlinie macht Cybersicherheit zur Chefsache. Nicht zur IT-Sache. Zur Chefsache.
Artikel 20 der Richtlinie schafft eine persönliche Haftung für Geschäftsführer und Vorstände, die sich nicht delegieren lässt. In Deutschland konkretisiert Section 38 BSIG diese Verantwortung noch weiter: Ein Verzicht des Unternehmens auf Ansprüche gegen die Geschäftsführung ist unwirksam.
Das bedeutet: Wenn NIS2-Pflichten verletzt werden, haften Sie persönlich. Nicht nur das Unternehmen.
Diese Kurzreferenz fasst Ihre Kernpflichten zusammen. Drucken Sie sie aus. Hängen Sie sie auf. Prüfen Sie regelmäßig, ob alle Punkte erfüllt sind.
Warum diese NIS2 Checkliste existiert
Viele Geschäftsführer unterschätzen, was NIS2 konkret von ihnen verlangt. Die Richtlinie fordert nicht nur, dass das Unternehmen compliant ist. Sie fordert, dass die Geschäftsführung aktiv genehmigt, überwacht und nachweislich Verantwortung übernimmt.
Bei Verstößen drohen Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes. Für wesentliche Einrichtungen können Geschäftsführer temporär von Leitungsfunktionen ausgeschlossen werden. D&O-Versicherungen greifen möglicherweise nicht vollständig, da regulatorische Verstöße oft ausgeschlossen sind.
Die folgenden Punkte sind keine Empfehlungen. Es sind gesetzliche Pflichten.
Ihre NIS2-Pflichten: Die Kurzreferenz
Genehmigung und Freigabe
Risikomanagement-Maßnahmen formal genehmigen. Artikel 20 NIS2 verlangt, dass die Geschäftsleitung die Cybersicherheits-Risikomanagement-Maßnahmen genehmigt. Keine Delegation möglich. Dokumentierte Freigabe erforderlich.
Sicherheitsbudget angemessen festlegen. Unzureichende Budgetierung trotz bekannter Risiken schafft persönliche Haftung. Dokumentieren Sie die Grundlage Ihrer Budgetentscheidungen.
Richtlinien und Policies freigeben. Sicherheitsrichtlinien, Incident-Response-Pläne, Business-Continuity-Konzepte benötigen Ihre dokumentierte Genehmigung.
Risikoakzeptanz schriftlich genehmigen. Wenn Restrisiken akzeptiert werden, muss dies durch die Geschäftsführung schriftlich genehmigt sein. In Deutschland ist ein Verzicht auf Ansprüche bei NIS2-Verstößen laut Section 38 BSIG unwirksam.
Überwachung und Kontrolle
Regelmäßige Sicherheitsberichte einfordern. Mindestens quartalsweise sollten Sie Status-Reports zur Cybersicherheit erhalten. Vor Meetings lesen. Fragen stellen. Dokumentieren.
Umsetzung der Maßnahmen nachverfolgen. Sie müssen die Implementierung überwachen, nicht nur genehmigen. Lassen Sie sich Fortschrittsberichte vorlegen.
Identifizierte Schwachstellen adressieren. Wenn Audits oder Assessments Lücken aufzeigen, stellen Sie sicher, dass Behebungsmaßnahmen eingeleitet und abgeschlossen werden.
Bei Warnungen handeln. Ignorieren Sie keine dokumentierten Hinweise von CISO, Sicherheitsteam oder externen Prüfern. Das schafft maximale Haftungsexposition.
Persönliche Weiterbildung
Cybersicherheits-Schulung absolvieren. Artikel 20(2) NIS2 verlangt explizit, dass Leitungsorgane Schulungen besuchen, um ausreichende Kenntnisse und Fähigkeiten zu erwerben. Keine Ausnahme für Geschäftsführer.
Schulungen dokumentieren. Datum, Inhalt, Dauer. Diese Nachweise sind bei Prüfungen relevant.
Regelmäßig auffrischen. In Deutschland empfiehlt die Umsetzung mindestens alle drei Jahre. Jährliche Auffrischungen sind Best Practice.
Organisatorische Pflichten
Registrierung bei der zuständigen Behörde sicherstellen. Betroffene Unternehmen müssen sich bei der nationalen Behörde registrieren. In Deutschland beim BSI. Fristen beachten.
Meldewege für Vorfälle etablieren. 24-Stunden-Frühwarnung bei signifikanten Vorfällen. Stellen Sie sicher, dass Prozesse existieren und funktionieren.
Lieferketten-Sicherheit gewährleisten. Artikel 21(2)(d) verlangt Sicherheitsanforderungen an Lieferanten. Verträge anpassen, Risiken bewerten, laufend überwachen.
Business Continuity sicherstellen. Backup-Management, Disaster Recovery, Krisenmanagement müssen implementiert und getestet sein.
Dokumentationspflichten
Alle Genehmigungen schriftlich festhalten. Protokolle, Unterschriften, formale Freigaben. Im Streitfall müssen Sie nachweisen, dass Sie Ihre Pflichten erfüllt haben.
Entscheidungsgrundlagen dokumentieren. Warum wurde ein bestimmtes Budget genehmigt? Warum wurde ein Risiko akzeptiert? Begründungen gehören in die Akten.
Sitzungsprotokolle mit Sicherheitsthemen führen. Cybersicherheit sollte regelmäßiger Tagesordnungspunkt sein. Protokollieren Sie Diskussionen und Entscheidungen.
Die zehn Sicherheitsdomänen nach Artikel 21
Als Geschäftsführer sollten Sie wissen, welche Bereiche NIS2 abdeckt. Artikel 21 definiert zehn Domänen, für die Maßnahmen implementiert werden müssen. Ihre Aufgabe ist nicht die technische Umsetzung, sondern die Genehmigung und Überwachung der Maßnahmen in diesen Bereichen.
Die zehn Domänen umfassen Risikoanalyse und Informationssicherheitsrichtlinien, Incident Handling und Vorfallbewältigung, Business Continuity und Krisenmanagement, Lieferketten-Sicherheit, sichere Systementwicklung und -beschaffung, Wirksamkeitsbewertung der Maßnahmen, Cyber-Hygiene und Schulungen, Kryptographie-Nutzung, Zugangskontrolle und Asset-Management sowie Multi-Faktor-Authentifizierung und sichere Kommunikation.
Für jede dieser Domänen sollten Sie verstehen, welche Maßnahmen Ihr Unternehmen implementiert hat und wie deren Wirksamkeit bewertet wird.
Was bei Pflichtverletzung droht
Die Konsequenzen einer NIS2-Pflichtverletzung sind erheblich. Bei wesentlichen Einrichtungen drohen Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes, wobei der höhere Wert gilt. Bei wichtigen Einrichtungen liegen die Maximalstrafen bei 7 Millionen Euro oder 1,4% des Umsatzes.
Darüber hinaus können Aufsichtsbehörden verbindliche Anweisungen erteilen, Audits anordnen, Verstöße öffentlich machen und bei wesentlichen Einrichtungen ein temporäres Verbot für Geschäftsführer aussprechen, Leitungsfunktionen auszuüben.
Die persönliche Haftung gegenüber dem Unternehmen kommt hinzu. Wenn das Unternehmen durch einen Vorfall Schäden erleidet und die Geschäftsführung ihre NIS2-Pflichten verletzt hat, können Gesellschafter Schadensersatz fordern. Section 38 BSIG macht deutlich, dass das Unternehmen auf diese Ansprüche nicht wirksam verzichten kann.
Häufige Fehler vermeiden
Vollständige Delegation an die IT. Operative Umsetzung kann delegiert werden. Genehmigung und Überwachung nicht. Sie bleiben verantwortlich.
Fehlende Dokumentation. Im Zweifel gilt: Was nicht dokumentiert ist, hat nicht stattgefunden. Ihre Verteidigung hängt von Nachweisen ab.
Ignorieren von Warnhinweisen. Wenn Ihr Sicherheitsteam Risiken meldet und Sie nicht handeln, ist das dokumentierte Fahrlässigkeit.
Unzureichende Budgets ohne Begründung. Konsistente Unterfinanzierung der Sicherheit trotz bekannter Risiken schafft persönliche Exposition.
Schulungen versäumen. Die Pflicht zur persönlichen Weiterbildung steht explizit im Gesetz. Keine Ausreden.
Der Zeitrahmen
Die NIS2-Transpositionsfrist war der 17. Oktober 2024. Viele Mitgliedstaaten haben diese Frist verfehlt und arbeiten noch an der nationalen Umsetzung. Das bedeutet jedoch nicht, dass Sie warten sollten.
Die Kernanforderungen sind aus der Richtlinie klar ersichtlich. Unternehmen, die jetzt mit der Vorbereitung beginnen, haben einen Vorteil. Sobald nationales Recht in Kraft tritt, wird Compliance sofort erwartet. Es gibt typischerweise keine Übergangsfrist.
Für deutsche Unternehmen: Das BSIG-Umsetzungsgesetz konkretisiert die Anforderungen. Rechnen Sie damit, dass Enforcement beginnt, sobald die nationale Umsetzung abgeschlossen ist.
Nächste Schritte für Geschäftsführer
Beginnen Sie mit einer Bestandsaufnahme. Prüfen Sie, ob Ihr Unternehmen in den Anwendungsbereich fällt. Die Kriterien sind Sektorzugehörigkeit plus Größenschwellen von mindestens 50 Mitarbeitern oder 10 Millionen Euro Umsatz und Bilanzsumme.
Lassen Sie ein Gap-Assessment durchführen, das Ihren aktuellen Stand gegen die NIS2-Anforderungen abgleicht. Die Ergebnisse zeigen, wo Handlungsbedarf besteht.
Planen Sie Ihre persönliche Schulung. Warten Sie nicht darauf, dass jemand sie organisiert. Fordern Sie sie ein.
Etablieren Sie regelmäßige Sicherheitsberichterstattung an die Geschäftsführung, falls noch nicht vorhanden. Quartalsweise ist Minimum.
Dokumentieren Sie ab sofort alle Genehmigungen und Entscheidungen zu Cybersicherheitsthemen. Im Ernstfall ist diese Dokumentation Ihre Verteidigung.
Kertos
Kertos unterstützt Geschäftsführer dabei, ihre NIS2-Pflichten nachweisbar zu erfüllen. Unsere Plattform bietet Dashboards zum Sicherheitsstatus, Dokumentation von Genehmigungen und Überwachungsaktivitäten sowie Audit-Trails für die regulatorische Verteidigung. 80% weniger Aufwand als mit traditionellen Beratern.
Starten Sie Ihr kostenloses NIS2-Gap-Assessment.
