NIS-2-Gesetz beendet Ära der Geheimhaltung in kritischer Infrastruktur

Berlin – Ein neues IT-Sicherheitsgesetz zwingt Energieversorger, Banken und Krankenhäuser zur Offenlegung von Cyberangriffen. Vertragliche Schweigepflichten gegenüber Lieferanten gelten nicht mehr.

Seit dem 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft. Es beendet die Praxis, Sicherheitsvorfälle mit Verweis auf Geheimhaltungsverträge zu vertuschen. Für rund 30.000 Unternehmen – vorher waren es nur 4.500 – gelten nun verschärfte Meldepflichten. „Wer schweigt, gefährdet das gesamte Ökosystem“, warnt BSI-Präsidentin Claudia Plattner.

Der Kern des Konflikts: Neue Meldepflichten kollidieren mit alten Vertragsklauseln. Unternehmen müssen signifikante Vorfälle jetzt innerhalb von 24 Stunden erstmelden und nach 72 Stunden detailliert berichten. Diese gesetzliche Pflicht hat nun Vorrang vor vertraglichen Geheimhaltungsvereinbarungen (NDAs) mit IT-Dienstleistern.

Mit dem neuen NIS‑2‑Umsetzungsgesetz steigen Meldepflichten und Haftungsrisiken – viele Organisationen sind dafür nicht ausreichend vorbereitet. Das kostenlose E‑Book erklärt kompakt, welche Sofortmaßnahmen Sie jetzt umsetzen müssen, wie Meldeprozesse sicher gestaltet werden und welche technischen wie organisatorischen Prioritäten Ihre IT‑Abteilung setzen sollte, um Bußgelder und Image‑Schäden zu vermeiden. Enthalten sind praxisnahe Checklisten und Handlungsempfehlungen für kleine und mittelständische Betriebe. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Rechtsexperten sind sich einig. „Die Meldepflicht gegenüber dem BSI sticht vertragliche Schweigepflichten“, erklärt eine Analyse der Kanzlei Dentons. Das Verschweigen eines Vorfalls ist damit kein Kavaliersdelikt mehr, sondern ein klarer Gesetzesverstoß. Große Tech-Anbieter wie Microsoft müssen ihre Standardverträge nun anpassen.

Geschäftsführer haften persönlich

Der stärkste Hebel für mehr Transparenz ist die neu eingeführte persönliche Haftung. Laut Gesetz müssen Geschäftsführer und Vorstände die Umsetzung von Sicherheitsmaßnahmen überwachen. Kommt es durch verschleppte Meldungen zu Schäden, haften sie mit ihrem Privatvermögen.

„Für das Management gibt es keine glaubhafte Unwissenheit mehr“, warnt die Kanzlei Taylor Wessing. Die Drohkulisse zeigt Wirkung. Branchenkreise berichten, dass Energie- und Wasserunternehmen seit Anfang Dezember massenhaft Lieferverträge neu verhandeln.

„Safe Harbor“ für Informationsaustausch

Das Gesetz stärkt auch die freiwillige Zusammenarbeit. Durch eine explizite Förderung in § 4 erhalten Unternehmen eine Art rechtlichen Schutzraum, wenn sie Bedrohungsinformationen teilen. Dies soll den Austausch in Foren wie der „UP KRITIS“-Partnerschaft erleichtern, der bisher oft aus Sorge um Geschäftsgeheimnisse stockte.

„Die Kooperation von Staat und Wirtschaft ist eine gesetzlich geforderte Überlebensstrategie“, so Plattner. Der Paradigmenwechsel ist vollzogen: von „Sicherheit durch Verschleierung“ hin zu „Sicherheit durch Transparenz“.

Praxistest startet im Januar

Die Bewährungsprobe steht noch aus. Ab dem 6. Januar 2026 müssen sich tausende Unternehmen im neuen BSI-Registrierungsportal als „wichtige“ Einrichtung eintragen. Die kommenden Wochen dürften von rechtlichen Grauzonen und Neuverhandlungen geprägt sein.

Doch die Richtung ist klar. Im Zweifel entscheidet nun die Sicherheit – und nicht mehr der Geheimhaltungsvertrag. Ein notwendiger Schritt, wie es scheint, nach den Supply-Chain-Angriffen der vergangenen Jahre.

PS: Geschäftsführer haften nun persönlich – sind Ihre Meldewege und Nachweisdokumentationen dafür vorbereitet? Dieser Gratis‑Report zeigt praxisnahe Maßnahmen, einfache Checklisten sowie Prioritäten für die bevorstehenden Registrierungsfristen im BSI‑Portal und erklärt, wie Sie Informationsaustausch sicher und rechtssicher organisieren. Ideal für Entscheider, die Haftungsrisiken minimieren und gleichzeitig die Cyber‑Resilienz des Unternehmens stärken wollen. Gratis E‑Book: Cyber Security Awareness Trends herunterladen