NIS-2-Gesetz: Cyber-Pflichten treffen jetzt 30.000 deutsche Firmen

Ab sofort haften Geschäftsführer persönlich für IT-Sicherheit – die dreimonatige Schonfrist zur Registrierung nach dem neuen IT-Sicherheitsgesetz ist am 6. März ausgelaufen. Für rund 25.000 bisher nicht regulierte mittelständische Unternehmen bedeutet dies einen tiefgreifenden Wandel: Cybersicherheit ist keine freiwillige IT-Aufgabe mehr, sondern eine strikte gesetzliche Verpflichtung mit harten Strafen.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind und welche neuen Gesetze die Haftungsrisiken für die Geschäftsführung nun massiv verschärfen, erklärt dieser Experten-Report. Was Geschäftsführer über Cyber Security 2024 wissen müssen

Persönliche Haftung und Millionenstrafen drohen

Unternehmen, die die Frist verpasst haben, handeln jetzt ordnungswidrig. Die Konsequenzen können existenzbedrohend sein. Das NIS-2-Umsetzungsgesetz sieht Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist. Die größte Neuerung ist jedoch die persönliche Haftung der Führungsebene. Geschäftsführer und Vorstände können bei Versäumnissen im Risikomanagement oder bei der Registrierung mit ihrem Privatvermögen haften. Die Gesetzeslage ist eindeutig: Die Unternehmensleitung muss Sicherheitsmaßnahmen aktiv absegnen, deren Umsetzung überwachen und regelmäßige Schulungen absolvieren.

Der Mittelstand rückt in den Fokus

Bislang galten die strengen IT-Sicherheitsvorschriften primär für Betreiber Kritischer Infrastrukturen (KRITIS) wie große Energieversorger oder Krankenhäuser. Mit NIS-2 weitet sich der Kreis dramatisch aus. Künftig sind alle Unternehmen mit mehr als 50 Beschäftigten oder einem Umsatz bzw. einer Bilanzsumme über 10 Millionen Euro betroffen. Damit unterliegt plötzlich der gesamte klassische deutsche Mittelstand der Aufsicht des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Betroffen sind Branchen wie die Lebensmittelproduktion, die chemische Industrie, Abfallwirtschaft, Post- und Kurierdienste sowie digitale Dienstleister. Für viele produzierende Mittelständler mit hochdigitalisierten Fertigungsstraßen bedeutet das: Sie müssen nun dieselben Standards einhalten wie ein großer Stromnetzbetreiber.

Neben der IT-Infrastruktur rückt auch der Einsatz künstlicher Intelligenz zunehmend in den Fokus der Regulierungsbehörden und bringt neue Kennzeichnungspflichten sowie Bußgeldrisiken mit sich. Dieser kostenlose Leitfaden hilft Ihnen, KI-Systeme richtig zu klassifizieren und rechtssicher zu dokumentieren. Gratis E-Book zur EU-KI-Verordnung herunterladen

Meldepflicht binnen 24 Stunden

Die Registrierung im BSI-Portal ist nur der erste Schritt. Das Gesetz verlangt den Aufbau umfassender technischer und organisatorischer Schutzmaßnahmen. Dazu gehören Risikoanalysen, Notfallpläne und strenge Sicherheitsvorgaben für die Lieferkette.

Besonders herausfordernd sind die kurzen Fristen für die Meldung von Vorfällen. Bei einem signifikanten IT-Sicherheitsvorfall muss innerhalb von 24 Stunden eine erste Warnung an das BSI gehen. Nach 72 Stunden muss ein detaillierter Bericht folgen, der finale Report ist binnen eines Monats fällig. Das Institut der Wirtschaftsprüfer (IDW) hat dazu ein umfangreiches Praxis-Papier veröffentlicht, das Unternehmen bei der Umsetzung unterstützen soll.

Fachkräftemangel belastet den Mittelstand

Die Umstellung verläuft nicht reibungslos. Viele mittelständische Unternehmen sind unsicher über ihre konkreten Pflichten. IT-Dienstleister verzeichnen seit Jahresbeginn eine Flut an Anfragen. Das größte Problem ist der akute Mangel an internem IT-Sicherheits-Know-how. Die Einrichtung audit-fester Prozesse und permanenter Überwachungssysteme überfordert viele Firmen. Sie sind zunehmend auf externe Sicherheitsdienstleister und Compliance-Berater angewiesen.

Experten sehen in der Regulation jedoch eine notwendige, wenn auch kostspielige, Reifeprüfung für den Mittelstand. Angesichts der wachsenden Bedrohung durch Ransomware-Angriffe werden grundlegende Schutzmaßnahmen zur wirtschaftlichen Überlebensfrage. Cybersicherheit ist kein optionaler IT-Kostenpunkt mehr, sondern fixer Bestandteil der Geschäftstätigkeit in Europa.

Nächste Welle: Der EU Cyber Resilience Act steht bevor

Die NIS-2-Registrierung ist nur der Anfang. Der nächste regulatorische Meilenstein ist bereits in Sicht: der EU Cyber Resilience Act (CRA). Diese Verordnung tritt ab September 2026 schrittweise in Kraft und stellt Produktsicherheit in den Vordergrund. Sie legt Mindeststandards für die Cybersicherheit aller Produkte mit digitalen Elementen fest, die in der EU verkauft werden. Für den deutschen Mittelstand heißt das: Die Ära freiwilliger IT-Sicherheit ist endgültig vorbei. Agilen Compliance-Strukturen gehört die Zukunft.