NIS2 und Geschäftsführer-Haftung: Was Sie als Unternehmensleitung jetzt wissen und tun müssen

,
NIS2 Geschäftsführer Haftung - Persönliche Verantwortung für Cybersicherheit

NIS2 ist in Kraft – und betrifft Sie persönlich

Seit dem 6. Dezember 2025 gilt in Deutschland das NIS2-Umsetzungsgesetz (NIS2UmsuCG). Es setzt die europäische NIS2-Richtlinie in nationales Recht um – und zwar ohne Übergangsfristen. Was viele Geschäftsführer und Vorstände noch nicht realisiert haben: Diese Regulierung betrifft nicht nur die IT-Abteilung. Sie betrifft Sie persönlich.

Rund 30.000 Unternehmen in Deutschland fallen unter die neuen Regelungen. Erstmals sind auch viele mittelständische Betriebe betroffen – in 18 Sektoren, von Energie über Gesundheit bis hin zu IT-Dienstleistern. Und die Konsequenzen bei Nichteinhaltung sind drastisch: Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, persönliche Haftung der Geschäftsführung mit dem Privatvermögen und im schlimmsten Fall sogar vorübergehende Berufsverbote.

In diesem Artikel erfahren Sie als Geschäftsführer, Vorstand oder Inhaber, was NIS2 konkret für Sie bedeutet, welche Pflichten Sie haben, wie hoch das Haftungsrisiko tatsächlich ist – und was Sie jetzt sofort tun sollten.

Was ist NIS2? Die wichtigsten Fakten im Überblick

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die umfassendste EU-Regulierung zur Cybersicherheit, die jemals verabschiedet wurde. Sie ersetzt die NIS1-Richtlinie von 2016 und erweitert den Geltungsbereich drastisch.

Die wichtigsten Eckdaten:

  • In Kraft seit: 6. Dezember 2025 (Deutschland)
  • Übergangsfristen: Keine – die Pflichten gelten sofort
  • Betroffene Unternehmen: ca. 30.000 in Deutschland (vorher ca. 4.500 unter NIS1)
  • Sektoren: 18 regulierte Sektoren (vorher 7)
  • Aufsichtsbehörde: BSI (Bundesamt für Sicherheit in der Informationstechnik)
  • Nachweispflicht: Erstmals nach 3 Jahren, danach periodisch

Während die alte NIS1-Richtlinie hauptsächlich Betreiber kritischer Infrastrukturen (KRITIS) betraf, geht NIS2 deutlich weiter. Neu hinzugekommen sind unter anderem die Sektoren Verwaltung von IKT-Diensten (B2B), verarbeitendes Gewerbe, Lebensmittel, Abfallwirtschaft und Forschung.

NIS2 vs. ISO 27001: Was ist der Unterschied?

Eine häufig gestellte Frage lautet: „Reicht eine ISO 27001-Zertifizierung aus?“ Die Antwort: Nicht automatisch, aber sie hilft enorm.

ISO 27001 ist ein international anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS). NIS2 hingegen ist ein Gesetz mit Bußgeldandrohung. Wer bereits ein ISMS nach ISO 27001 betreibt, erfüllt viele NIS2-Anforderungen bereits. Allerdings verlangt NIS2 zusätzlich:

  • Konkrete Meldepflichten bei Sicherheitsvorfällen (24/72 Stunden / 1 Monat)
  • BSI-Registrierung
  • Persönliche Schulungspflicht der Geschäftsleitung
  • Spezifische Anforderungen an die Lieferkettensicherheit

Eine ISO 27001-Zertifizierung ist also kein Freibrief, aber ein starker Nachweis, dass Sie Ihre Sorgfaltspflichten ernst nehmen.

NIS2 Geschäftsführer Haftung - Persönliche Verantwortung für Cybersicherheit
NIS2 macht Cybersicherheit zur persönlichen Chefsache für Geschäftsführer

NIS2: Wer ist betroffen? Die Größenkriterien verstehen

NIS2 betrifft Unternehmen, die zwei Voraussetzungen gleichzeitig erfüllen:

1. Tätigkeit in einem der 18 regulierten Sektoren

Die Sektoren gliedern sich in zwei Gruppen:

Sektoren hoher Kritikalität (11):

  • Energie (Strom, Gas, Öl, Fernwärme, Wasserstoff)
  • Verkehr (Luft, Schiene, Straße, Schifffahrt)
  • Bankwesen und Finanzmarktinfrastrukturen
  • Gesundheitswesen
  • Trinkwasser und Abwasser
  • Digitale Infrastruktur (Cloud, Rechenzentren, DNS, CDN)
  • Verwaltung von IKT-Diensten (B2B) – NEU!
  • Öffentliche Verwaltung
  • Weltraum

Sonstige kritische Sektoren (7):

  • Post- und Kurierdienste
  • Abfallbewirtschaftung
  • Chemie
  • Lebensmittel
  • Verarbeitendes Gewerbe (Medizinprodukte, Elektronik, Maschinenbau, Kfz)
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen, Social Media)
  • Forschung

2. Überschreitung der Größenschwellen

Kriterium Schwellenwert
Mitarbeiterzahl ab 50 Mitarbeiter
Jahresumsatz ab 10 Mio. €
Bilanzsumme ab 10 Mio. €

Wichtig: Es genügt, eines der Größenkriterien zu erfüllen (Mitarbeiter ODER Umsatz/Bilanz), UND in einem regulierten Sektor tätig zu sein. Bei Konzernen wird die gesamte Gruppe betrachtet, nicht die einzelne Tochtergesellschaft.

NIS2: Nicht betroffen – aber trotzdem betroffen?

Auch wenn Ihr Unternehmen formal unter den Schwellenwerten liegt, können Sie über die Lieferkette indirekt betroffen sein. NIS2-regulierte Unternehmen müssen ihre Zulieferer und IT-Dienstleister auf angemessene Sicherheitsmaßnahmen prüfen. Das bedeutet konkret:

  • Regulierte Kunden werden Sicherheitsnachweise von Ihnen verlangen
  • Verträge und SLAs müssen um NIS2-konforme Klauseln ergänzt werden
  • Ohne entsprechende Nachweise droht der Verlust von Aufträgen an Wettbewerber

Prüfen Sie Ihre Betroffenheit mit dem offiziellen BSI-Tool: betroffenheitspruefung.bsi.bund.de

NIS2 Geschäftsführer Haftung: Warum Sie persönlich in der Pflicht sind

Hier wird es für viele Geschäftsführer und Vorstände unangenehm. NIS2 macht Cybersicherheit explizit zur Chefsache. Die Verantwortung liegt nicht mehr allein beim IT-Leiter oder einem externen Dienstleister – sie liegt bei Ihnen. Persönlich.

§ 38 BSIG: Die neue Geschäftsführer-Haftung

Das novellierte BSI-Gesetz definiert in § 38 klare Pflichten für die Geschäftsleitung:

1. Billigung und Überwachung
Sie müssen die technischen und organisatorischen Schutzmaßnahmen Ihres Unternehmens als geeignet genehmigen und deren Umsetzung aktiv überwachen. Ein bloßes „Das macht unsere IT“ reicht nicht mehr.

2. Risikomanagement
Cyberrisiken müssen verstanden, bewertet und dokumentiert werden. Ein formales Risikomanagementsystem ist Pflicht. Sie müssen nachweisen können, dass Sie die Risiken kennen und bewusst Entscheidungen treffen.

3. Regelmäßige Schulungen
Die Geschäftsleitung muss sich regelmäßig zu Cyberrisiken und Schutzmaßnahmen schulen lassen. Diese Schulungen müssen dokumentiert werden. Sie können diese Pflicht nicht vollständig delegieren – Sie müssen persönlich teilnehmen.

4. Überwachungspflicht bei Delegation
Auch wenn Sie IT-Sicherheitsaufgaben an einen IT-Leiter oder einen externen Dienstleister delegieren, bleibt Ihre Überwachungspflicht bestehen. Sie müssen nachweisen, dass Sie den Dienstleister sorgfältig ausgewählt, instruiert und kontrolliert haben.

NIS2 Schutzmaßnahmen für Unternehmen - Technische und organisatorische Sicherheit
Technische und organisatorische Schutzmaßnahmen sind Pflicht unter NIS2

NIS2 Haftung: Was Sie riskieren – konkret

Die Haftung trifft Sie persönlich – mit Ihrem Privatvermögen.

Nach § 43 Abs. 2 GmbHG bzw. § 93 Abs. 2 AktG haften Geschäftsführer und Vorstände für Schäden, die durch schuldhafte Pflichtverletzung entstehen. NIS2 konkretisiert diese Pflichten im Bereich der Cybersicherheit.

Sanktion Details
Bußgelder Bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt)
Persönliche Haftung Schadensersatz aus dem Privatvermögen (Innenhaftung gegenüber der Gesellschaft)
Berufsverbot Vorübergehendes Verbot der Geschäftsführertätigkeit
Veröffentlichung Öffentliche Bekanntgabe von Verstößen (Reputationsschaden)

Wichtig zu verstehen:

  • Alle Geschäftsführer haften gesamtschuldnerisch – nicht nur der „IT-Zuständige“
  • Fahrlässigkeit reicht aus – es braucht keinen Vorsatz
  • Die Haftung gilt auch bei Unterlassung – wer nichts tut, haftet genauso
  • Eine D&O-Versicherung kann das Risiko mindern, schließt aber grobe Fahrlässigkeit oft aus

Ein Beispiel aus der Praxis: Die IT-Abteilung meldet dem Geschäftsführer eine kritische Sicherheitslücke. Der Geschäftsführer verschiebt das notwendige Update aus Budgetgründen auf das nächste Quartal. Ein Ransomware-Angriff nutzt genau diese Lücke aus und verursacht 500.000 Euro Schaden. Der Geschäftsführer haftet persönlich – weil er trotz Kenntnis der Lücke nicht gehandelt hat.

Ihr bester Schutz: Dokumentation

Dokumentieren Sie jede Entscheidung, jede Maßnahme und jede Schulung. Im Streitfall müssen Sie nachweisen, dass Sie Ihre Sorgfaltspflichten erfüllt haben. Wer nichts dokumentiert, kann nichts beweisen.

NIS2 Meldepflicht: Die drei Fristen, die Sie kennen müssen

NIS2 führt ein dreistufiges Meldesystem für Sicherheitsvorfälle ein. Die Fristen sind eng – und beginnen ab dem Moment, in dem Sie von dem Vorfall Kenntnis erlangen.

Stufe Frist Was zu melden ist
Frühwarnung 24 Stunden Erste Meldung an das BSI: Was ist passiert? Besteht Verdacht auf einen böswilligen Angriff?
Vorfallmeldung 72 Stunden Aktualisierte Einschätzung: Schwere des Vorfalls, Auswirkungen, Indikatoren
Abschlussbericht 1 Monat Detaillierte Ursachenanalyse, ergriffene Maßnahmen, Lessons Learned
Mehr zum Thema:
Was ist ein SOC Report? Erklärung und Insights

Was das für Sie bedeutet: Sie brauchen eine funktionierende Notfall-Organisation mit 24/7-Erreichbarkeit – auch an Wochenenden und Feiertagen. Die meisten mittelständischen Unternehmen haben das aktuell noch nicht. Und genau hier liegt eine der größten Lücken.

Die Meldung erfolgt über das BSI-Meldeportal, das seit Januar 2026 verfügbar ist. Die Registrierung beim BSI ist für betroffene Unternehmen verpflichtend und musste bis spätestens 6. März 2026 erfolgen.

NIS2 Checkliste: Was Sie jetzt konkret tun sollten

Die folgende Checkliste gibt Ihnen einen priorisierten Fahrplan. Fangen Sie heute an – nicht morgen.

NIS2 Checkliste und Fristen - 30 60 90 Tage Maßnahmenplan
NIS2 Checkliste: Priorisierter Fahrplan für die nächsten 90 Tage

Sofort (diese Woche)

  • Betroffenheitsprüfung durchführen – Nutzen Sie das BSI-Tool oder beauftragen Sie Ihren IT-Dienstleister
  • Alle Geschäftsführer informieren – Jeder muss die persönliche Haftung verstehen
  • Verantwortlichen benennen – Wer koordiniert intern die NIS2-Umsetzung?
  • IT-Bestandsaufnahme starten – Welche Systeme, welche Daten, welche Risiken?

Innerhalb von 30 Tagen

  • Risikoanalyse durchführen – Wo sind die größten Schwachstellen?
  • Gap-Analyse erstellen – Wo stehen Sie heute vs. NIS2-Anforderungen?
  • Quick Wins umsetzen – Multi-Faktor-Authentifizierung (MFA) einführen, Backups prüfen
  • BSI-Registrierung durchführen – Falls noch nicht geschehen
  • Zulieferer-Verzeichnis anlegen – Wer sind Ihre IT-Dienstleister und Zulieferer?

Innerhalb von 60 Tagen

  • Notfallplan erstellen – Incident-Response-Plan mit klaren Zuständigkeiten
  • 24/7-Erreichbarkeit sicherstellen – Für die Meldepflicht zwingend erforderlich
  • Meldeprozesse definieren – Wer meldet was in welcher Frist an wen?
  • IT-Sicherheitsrichtlinien erstellen – Und an alle Mitarbeiter kommunizieren
  • Erste Schulung für Geschäftsleitung – Dokumentiert!

Innerhalb von 90 Tagen

  • ISMS-Aufbau starten – Informationssicherheits-Managementsystem (orientiert an ISO 27001 oder BSI IT-Grundschutz)
  • Verträge mit IT-Dienstleistern überarbeiten – NIS2-konforme Klauseln aufnehmen
  • Schulungsplan für alle Mitarbeiter – Security Awareness ist Pflicht
  • Regelmäßige Sicherheitsüberprüfungen – Schwachstellenscans, Penetrationstests einplanen
  • Budget für IT-Sicherheit allokieren – Im Wirtschaftsplan verankern

Die 10 Mindestmaßnahmen nach § 30 BSIG

Das novellierte BSI-Gesetz definiert in § 30 Abs. 2 zehn konkrete Bereiche, in denen betroffene Unternehmen Maßnahmen ergreifen müssen. Diese Mindestmaßnahmen sind keine Empfehlungen – sie sind gesetzliche Pflicht.

1. Risikoanalyse und Sicherheitskonzepte

Jedes betroffene Unternehmen muss eine systematische Risikoanalyse seiner Informationssysteme durchführen. Daraus müssen dokumentierte Sicherheitskonzepte abgeleitet werden, die regelmäßig überprüft und aktualisiert werden. Die Analyse muss Bedrohungen, Schwachstellen und potenzielle Auswirkungen berücksichtigen – nicht nur technische, sondern auch organisatorische und menschliche Faktoren.

2. Bewältigung von Sicherheitsvorfällen

Ein funktionierender Incident-Response-Prozess muss etabliert sein. Das umfasst klare Eskalationswege, definierte Rollen und Verantwortlichkeiten, vorbereitete Kommunikationspläne und die technische Fähigkeit, Vorfälle zu erkennen, einzudämmen und zu analysieren. Regelmäßige Übungen und Simulationen werden dringend empfohlen.

3. Business Continuity und Krisenmanagement

Unternehmen müssen sicherstellen, dass kritische Geschäftsprozesse auch bei einem Cyberangriff weiterlaufen oder schnell wiederhergestellt werden können. Das beinhaltet Backup-Strategien mit regelmäßigen Wiederherstellungstests, Ausweichverfahren und Notbetriebskonzepte. Ein Business Continuity Plan (BCP) muss dokumentiert und getestet sein.

4. Sicherheit der Lieferkette

Die Lieferkettensicherheit ist einer der wichtigsten neuen Aspekte von NIS2. Unternehmen müssen ihre IT-Zulieferer und Dienstleister systematisch auf Sicherheitsrisiken prüfen. Verträge müssen Sicherheitsanforderungen, Audit-Rechte und Meldepflichten enthalten. Ein vollständiges Verzeichnis aller relevanten Zulieferer ist Pflicht.

5. Sicherheit bei Erwerb, Entwicklung und Wartung

IT-Systeme müssen über ihren gesamten Lebenszyklus abgesichert werden – von der Beschaffung über die Entwicklung bis zur Außerbetriebnahme. Das umfasst sichere Konfigurationsstandards, regelmäßiges Patch-Management und die Behandlung von Schwachstellen. Veraltete Systeme ohne Sicherheitsupdates dürfen nicht weiter betrieben werden.

6. Bewertung der Wirksamkeit

Die ergriffenen Maßnahmen müssen regelmäßig auf ihre Wirksamkeit überprüft werden – durch interne Audits, Schwachstellenscans und Penetrationstests. Das Ergebnis muss dokumentiert und Verbesserungsmaßnahmen müssen abgeleitet werden. Besonders wichtige Einrichtungen müssen mit proaktiven BSI-Prüfungen rechnen.

7. Cyberhygiene und Schulungen

Alle Mitarbeiter müssen regelmäßig in grundlegender Cyberhygiene geschult werden: sichere Passwörter, Erkennen von Phishing-Mails, Umgang mit USB-Sticks und externen Geräten, Meldewege bei verdächtigen Vorfällen. Die Geschäftsleitung hat eine separate, gesetzlich vorgeschriebene Schulungspflicht.

8. Kryptografie und Verschlüsselung

Sensible Daten müssen sowohl bei der Übertragung (in transit) als auch bei der Speicherung (at rest) angemessen verschlüsselt werden. Unternehmen müssen Richtlinien für den Einsatz von Kryptografie entwickeln und sicherstellen, dass aktuelle Verschlüsselungsstandards verwendet werden.

9. Zugriffskontrolle und Personalmanagement

Der Zugang zu IT-Systemen und Daten muss nach dem Prinzip der geringsten Berechtigung (Least Privilege) organisiert sein. Multi-Faktor-Authentifizierung (MFA) ist für kritische Systeme Pflicht. Zugriffsrechte müssen bei Mitarbeiterwechseln zeitnah angepasst oder entzogen werden. Ein zentrales Berechtigungsmanagement ist unerlässlich.

10. Sichere Kommunikation

Unternehmen müssen sichere Kommunikationskanäle für den Notfall bereitstellen – auch wenn die regulären Systeme kompromittiert sind. Das umfasst verschlüsselte E-Mail- und Messaging-Lösungen sowie sichere Sprach- und Videokommunikation für die Krisenkommunikation.

Praxisbeispiel: So könnte ein NIS2-Verstoß aussehen

Ein mittelständisches Maschinenbauunternehmen mit 120 Mitarbeitern und 25 Millionen Euro Jahresumsatz fällt unter NIS2 (Sektor: verarbeitendes Gewerbe). Der Geschäftsführer hat die NIS2-Thematik bislang nicht auf der Agenda.

Was passiert:

  • Ein Mitarbeiter öffnet eine Phishing-Mail mit einem verseuchten Anhang
  • Die Ransomware verschlüsselt innerhalb von 4 Stunden die gesamte Produktionssteuerung
  • Das Unternehmen steht 8 Tage still – Schaden: ca. 800.000 Euro
  • Die Frühwarnung ans BSI erfolgt erst nach 5 Tagen statt nach 24 Stunden

Die Folgen für den Geschäftsführer:

  • Bußgeld wegen verspäteter Meldung und fehlender Sicherheitsmaßnahmen
  • Innenhaftungsanspruch der GmbH: Der Geschäftsführer hatte keine Risikoanalyse durchgeführt, kein ISMS aufgebaut und keine Notfallpläne erstellt
  • Kundenverlust: Zwei regulierte Großkunden kündigen die Zusammenarbeit, weil das Unternehmen keine NIS2-Konformität nachweisen kann
  • D&O-Versicherung verweigert Zahlung: Der Versicherer argumentiert grobe Fahrlässigkeit, da der Geschäftsführer trotz Kenntnis der gesetzlichen Pflichten nichts unternommen hat

Was der Geschäftsführer hätte tun können: Mit einem NIS2 Readiness Check (2–3 Tage Aufwand) hätte er die Lücken erkannt. Mit einem Incident-Response-Plan und einer Backup-Strategie wäre der Schaden auf wenige Stunden begrenzt gewesen. Mit einer dokumentierten Risikoanalyse hätte er seine persönliche Haftung deutlich reduziert.

NIS2 Schulung Geschäftsführer: Was Sie wissen müssen

Die Schulungspflicht der Geschäftsleitung ist eine der konkretesten neuen Anforderungen. Sie ist nicht optional und nicht delegierbar.

Was das Gesetz verlangt:

  • Regelmäßige Teilnahme an Cybersicherheits-Schulungen
  • Die Schulungen müssen dokumentiert werden (Datum, Inhalt, Teilnehmer)
  • Inhalte müssen praxisrelevant sein: Cyberrisiken, aktuelle Bedrohungslage, Schutzmaßnahmen

Was das für Sie heißt: Planen Sie mindestens einen halben Tag pro Jahr für eine strukturierte Schulung ein. Idealerweise durch einen externen Experten, der die Schulung auch formal bestätigen kann. Diese Bestätigung ist Ihr Nachweis im Haftungsfall.

Das BSI stellt Schulungsunterlagen bereit, die als Orientierung dienen können. Für eine fundierte, auf Ihr Unternehmen zugeschnittene Schulung empfiehlt sich jedoch die Zusammenarbeit mit einem spezialisierten IT-Dienstleister.

Mehr zum Thema:
Was ist OWASP? Ihr Leitfaden zur Cybersicherheit

NIS2 IT-Dienstleister: Besondere Rolle in der neuen Regulierung

IT-Dienstleister und Managed Service Provider (MSP) nehmen unter NIS2 eine besondere Doppelrolle ein:

1. Direkte Betroffenheit: Der Sektor „Verwaltung von IKT-Diensten (Business-to-Business)“ ist neu in NIS2. IT-Systemhäuser, Cloud-Provider und MSPs, die die Größenschwellen überschreiten, sind direkt reguliert.

2. Schlüsselrolle für Kunden: Regulierte Unternehmen müssen ihre IT-Lieferkette absichern. Das macht den IT-Dienstleister zum zentralen Partner für die NIS2-Umsetzung – oder zum Risikofaktor, wenn er selbst keine ausreichenden Sicherheitsstandards nachweisen kann.

Für Geschäftsführer bedeutet das: Prüfen Sie, ob Ihr IT-Dienstleister NIS2-konforme Leistungen erbringen kann. Fragen Sie nach:

  • Zertifizierungen (ISO 27001, BSI IT-Grundschutz)
  • Incident-Response-Fähigkeiten (24/7-Erreichbarkeit)
  • Dokumentations- und Reporting-Standards
  • Erfahrung mit NIS2-Umsetzungsprojekten

Häufige Fragen von Geschäftsführern zu NIS2

„Wir haben nur 30 Mitarbeiter – betrifft uns NIS2 überhaupt?“

Möglicherweise nicht direkt. Aber über die Lieferkette fast sicher indirekt. Wenn Ihre Kunden unter NIS2 fallen, werden diese Sicherheitsnachweise von Ihnen verlangen. Wer nicht liefern kann, verliert Aufträge. Zudem: Bei Konzernen werden die Schwellenwerte gruppenweit berechnet.

„Seit wann gilt NIS2 in Deutschland?“

Seit dem 6. Dezember 2025. Das NIS2-Umsetzungsgesetz ist nach mehreren Verzögerungen in Kraft getreten. Es gibt keine Übergangsfristen – alle Pflichten gelten sofort.

„Ich bin kein IT-Experte – wie soll ich das verantworten?“

NIS2 verlangt nicht, dass Sie selbst IT-Experte sind. Sie müssen aber sicherstellen, dass kompetente Personen oder Dienstleister die Maßnahmen umsetzen. Und Sie müssen sich schulen lassen, um die Risiken zu verstehen. Ihre Aufgabe ist die Überwachung und Steuerung, nicht die technische Umsetzung.

„Was kostet uns das?“

Das hängt von Ihrer Ausgangslage ab. Ein NIS2 Readiness Check als Einstieg kostet typischerweise 2–3 Beratertage. Der Aufbau eines ISMS kann 3–12 Monate dauern. Aber: Die Kosten der Nicht-Compliance – Bußgelder, Haftungsansprüche, Kundenverlust – übersteigen die Investition bei weitem.

„Wie hoch sind die NIS2 Bußgelder?“

Für besonders wichtige Einrichtungen: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt). Für wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % des Umsatzes. Dazu kommt die persönliche Haftung der Geschäftsführung.

„Brauchen wir eine Zertifizierung?“

Eine ISO 27001-Zertifizierung ist nicht vorgeschrieben, aber der stärkste Nachweis für Ihre Sorgfaltspflichten. Alternativ können Sie sich am BSI IT-Grundschutz orientieren. Entscheidend ist: Sie müssen nachweisen können, was Sie getan haben.

NIS2 Deutschland 2026: Der aktuelle Stand und die nächsten Schritte

Das NIS2-Umsetzungsgesetz hat in Deutschland einen langen Weg hinter sich. Ursprünglich sollte die Umsetzung bereits im Oktober 2024 erfolgen – das Gesetz wurde jedoch mehrfach verschoben und trat schließlich am 6. Dezember 2025 in Kraft.

Aktuelle Situation (Stand Februar 2026):

  • Das BSI-Meldeportal für Sicherheitsvorfälle ist seit Januar 2026 operativ
  • Die Registrierungspflicht beim BSI lief bis zum 6. März 2026
  • Das BSI hat bereits begonnen, proaktive Prüfungen bei besonders wichtigen Einrichtungen durchzuführen
  • Erste Bußgeldverfahren wegen fehlender Registrierung werden erwartet

Viele Unternehmen befinden sich aktuell noch in der Umsetzungsphase. Experten schätzen, dass weniger als 20 Prozent der betroffenen Unternehmen zum Stichtag alle Anforderungen vollständig erfüllt haben. Das liegt unter anderem daran, dass der Aufbau eines vollständigen ISMS typischerweise 6 bis 12 Monate dauert.

Was das für Sie bedeutet: Wenn Sie noch nicht begonnen haben – starten Sie jetzt. Die Tatsache, dass viele Unternehmen noch nicht konform sind, schützt Sie nicht vor Bußgeldern. Im Gegenteil: Das BSI hat angekündigt, die Einhaltung der Pflichten konsequent durchzusetzen.

Die geschätzten Kosten für die deutsche Wirtschaft liegen bei etwa 2,3 Milliarden Euro jährlich – verteilt auf ca. 30.000 betroffene Unternehmen. Für ein mittelständisches Unternehmen mit 100 bis 250 Mitarbeitern bedeutet das typischerweise eine Investition von 50.000 bis 200.000 Euro im ersten Jahr, abhängig vom bestehenden Reifegrad der IT-Sicherheit. In den Folgejahren liegen die laufenden Kosten für Managed Security, Schulungen und Audits deutlich niedriger.

Wichtig ist: Diese Investition ist nicht nur eine regulatorische Pflicht – sie ist ein strategischer Vorteil. Unternehmen, die NIS2 frühzeitig umsetzen, stärken nicht nur ihre eigene Widerstandsfähigkeit gegen Cyberangriffe, sondern positionieren sich auch als vertrauenswürdiger Partner in der Lieferkette. In einer Zeit, in der Cyberangriffe auf den Mittelstand massiv zunehmen, ist das ein echtes Differenzierungsmerkmal.

Wie die Biteno GmbH Sie bei der NIS2-Umsetzung unterstützt

Als IT-Systemhaus mit langjähriger Erfahrung in der Betreuung mittelständischer Unternehmen unterstützen wir Sie bei der NIS2-Umsetzung – pragmatisch, effizient und auf Augenhöhe.

NIS2 Readiness Check

Unser Einstiegsangebot: In 2–3 Tagen prüfen wir, ob und wie Ihr Unternehmen von NIS2 betroffen ist. Sie erhalten eine Gap-Analyse, einen priorisierten Maßnahmenplan und eine Management-Summary für Ihre Geschäftsleitung.

ISMS-Aufbau und Begleitung

Wir unterstützen Sie beim Aufbau eines Informationssicherheits-Managementsystems (ISMS), orientiert an ISO 27001 oder BSI IT-Grundschutz. Von der Dokumentation über die Risikobewertung bis zur Audit-Vorbereitung.

Incident Response und Notfallplanung

Wir erstellen Ihren Notfallplan, richten die 24/7-Erreichbarkeit ein und definieren die Meldeprozesse ans BSI. Damit Sie im Ernstfall handlungsfähig sind – und die 24-Stunden-Frist einhalten können.

Technische Umsetzung

Von Netzwerksegmentierung über Multi-Faktor-Authentifizierung bis hin zu Endpoint Detection & Response (EDR) – wir setzen die technischen Maßnahmen um, die NIS2 verlangt.

Managed Security Services

Für Unternehmen ohne eigenes Security-Team: Managed Firewall, Monitoring, regelmäßige Schwachstellenscans, Patch-Management und Security Awareness Trainings – als laufender Service.

Schulungen für die Geschäftsleitung

Wir bieten die von NIS2 geforderte Geschäftsführer-Schulung als halbtägiges Format an – praxisnah, dokumentiert und mit Teilnahmebestätigung für Ihren Nachweis.

Warum Biteno?

Als regional verwurzeltes IT-Systemhaus mit Sitz in Stuttgart kennen wir die Herausforderungen des Mittelstands aus erster Hand. Wir wissen, dass Geschäftsführer keine theoretischen Abhandlungen brauchen, sondern pragmatische Lösungen, die funktionieren. Unsere Berater sprechen Ihre Sprache – nicht nur Technik, sondern auch Business. Wir begleiten Sie von der ersten Betroffenheitsprüfung bis zum laufenden Betrieb Ihres Sicherheitsmanagements. Und wir lassen Sie nicht allein, wenn es darauf ankommt: Mit unserer Managed Security können Sie sich auf Ihr Kerngeschäft konzentrieren, während wir uns um Ihre IT-Sicherheit kümmern.

Sprechen Sie uns an – wir beraten Sie gerne, welche Maßnahmen für Ihr Unternehmen am sinnvollsten und dringendsten sind.

Biteno GmbH | Telefon: 0711 / 48 890-20 | E-Mail: vertrieb@biteno.com | Web: www.biteno.com

/von