NIS2-Gesetz: Ab sofort haften Chefs persönlich für IT-Sicherheit

Ab dieser Woche gilt für deutsche Unternehmen verschärftes Cybersicherheitsrecht. Das NIS2-Umsetzungsgesetz ist in Kraft, eine Schonfrist gibt es nicht mehr. Für Geschäftsführer und Vorstände bedeutet das: IT-Sicherheit ist jetzt unabweisbare Chefsache – mit persönlicher Haftung.

Neue Pflicht: Sicherheitsunterweisung für die Chefetage

Die größte Neuerung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) betrifft die Unternehmensspitze. Nach dem neuen Paragrafen 38 des BSI-Gesetzes sind Vorstände und Geschäftsführer persönlich verantwortlich für die Umsetzung von Cybersicherheitsmaßnahmen. Diese Pflicht können sie nicht mehr an die IT-Abteilung delegieren.

NIS2 macht IT‑Sicherheit zur Chefsache – und Vorstände haften persönlich, wenn Schulungen und Meldeprozesse fehlen. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt konkret, welche Maßnahmen Geschäftsführer jetzt sofort anordnen müssen: dokumentierte Management‑Schulungen, praxisnahe Mitarbeiterszenarien, technische Basisschutzmaßnahmen und klare Meldeabläufe für die 24/72‑Stunden‑Fristen. Mit Checklisten und Schulungsvorlagen, die Sie direkt übernehmen können. Jetzt kostenloses Cyber‑Security‑E‑Book herunterladen

Konsequenz: Die Gesetzeslage schreibt jetzt regelmäßige, nachweisbare Schulungen für das gesamte Management vor. Laut Handreichung des Bundesamts für Sicherheit in der Informationstechnik (BSI) müssen diese Schulungen über Grundlagenwissen hinausgehen. Führungskräfte müssen lernen, Risiken zu identifizieren, Sicherheitspraktiken zu bewerten und die Auswirkungen von Vorfällen auf ihr Geschäft einzuschätzen.

Rechtsexperten sehen darin eine Ausweitung des klassischen Arbeitsschutzes in den Vorstandssaal. Während die Sicherheitsunterweisung nach dem Arbeitsschutzgesetz für Mitarbeiter längst Pflicht ist, muss sich nun auch die C-Level-Ebene speziell schulen lassen. Können Unternehmen im Schadensfall die Teilnahme nicht nachweisen, kann das als Fahrlässigkeit gewertet werden – und zur persönlichen Haftung der Verantwortlichen führen.

„Diese Kompetenzverpflichtung soll die Ausrede ‚Das wusste ich nicht‘ unmöglich machen“, analysieren Branchenkenner. Juristen raten Führungskräften, die ersten Schulungsmodule noch im ersten Quartal 2026 zu absolvieren.

Cyber-Hygiene wird Pflicht für alle Mitarbeiter

Im Schatten der Management-Pflichten kodifiziert das Gesetz auch umfangreiche Schulungspflichten für die Belegschaft. Artikel 21 der umgesetzten EU-Richtlinie schreibt Schulungen zu Cyber-Hygiene für alle Mitarbeiter verbindlich vor.

IT-Sicherheit wird damit Teil der jährlichen Pflichtunterweisung, ähnlich wie Brandschutz oder Ergonomie. Auf dem Lehrplan stehen das Erkennen von Phishing-Angriffen, der Umgang mit sicherer Authentifizierung wie Multi-Faktor-Authentifizierung (MFA) und Meldewege für Auffälligkeiten.

Für die schätzungsweise 30.000 betroffenen „wichtigen“ oder „besonders wichtigen“ Unternehmen bedeutet das: Ihre Lernmanagementsysteme (LMS) müssen sofort aktualisiert werden. Compliance-Beauftragte betonen, dass jede Unterweisung lückenlos dokumentiert werden muss. Bei einer Prüfung muss das Unternehmen nachweisen können, dass ein Mitarbeiter vor einem Vorfall über die relevanten Protokolle instruiert wurde.

BSI-Portal startet mit strengen Meldefristen

Das operative Herzstück der neuen Regelung schlägt ab dieser Woche. Am Dienstag, den 6. Januar 2026, startet das BSI sein zentrales NIS2-Meldeportal. Über diese Plattform laufen die neuen, dreistufigen Meldepflichten für signifikante Sicherheitsvorfälle.

Der Zeitplan im Ernstfall ist straff:
1. Frühwarnung (24 Stunden): Ein erster Bericht muss innerhalb von 24 Stunden nach Kenntnisnahme vorliegen.
2. Vorfallmeldung (72 Stunden): Eine detailliertere Einschätzung zu Schwere und Auswirkungen folgt binnen 72 Stunden.
3. Abschlussbericht (1 Monat): Eine umfassende Analyse von Ursache und Gegenmaßnahmen ist innerhalb eines Monats fällig.

Das Portal ist über „Mein Unternehmenskonto“ (MUK) mit ELSTER-Technologie erreichbar. Unternehmen, die ihren Zugang noch nicht eingerichtet haben, sollten dies umgehend nachholen. Das BSI hat klargestellt, dass fehlende Zugangsdaten keine Entschuldigung für verspätete Meldungen sind.

Dramatisch erweiterter Geltungsbereich

Die vollständige Umsetzung markiert das Ende eines langen Gesetzgebungsverfahrens. Nach der Verabschiedung im Bundestag und Bundesrat trat das Gesetz am 6. Dezember 2025 in Kraft. Deutschland gehörte damit zu den späteren EU-Mitgliedern bei der Umsetzung – was vielen Unternehmen nur eine kurze Vorbereitungszeit ließ.

Die Ausweitung des Geltungsbereichs ist dramatisch. Bisher unterlagen nur rund 4.500 Einrichtungen den strengen IT-Sicherheitsvorschriften. Die neue Regelung betrifft nun etwa 30.000 Unternehmen. Darunter fallen viele „Hidden Champions“ und Zulieferer, die sich bisher nicht als kritische Infrastruktur verstanden.

Die Reaktionen aus der Wirtschaft sind gemischt. Während Anbieter von Cybersicherheitslösungen eine steigende Nachfrage nach Audits und Schulungsplattformen verzeichnen, beklagen Verbände den bürokratischen Aufwand. Die geforderte Lieferkettensicherheit dürfte einen Kaskadeneffekt auslösen: Auch nicht regulierte Kleinunternehmen müssen ihre Standards erhöhen, um als Zulieferer wettbewerbsfähig zu bleiben.

2026 wird zum Jahr der Durchsetzung

Im Laufe des Jahres 2026 wird der Fokus von der Vorbereitung auf die Durchsetzung übergehen. Das BSI kann mit gestärkten Aufsichtsbefugnissen stichprobenartig prüfen und Nachweise für die Umsetzung – insbesondere der Management-Schulungen – verlangen.

Die Strafen bei Verstößen sind empfindlich. Für „besonders wichtige“ Einrichtungen können Geldbußen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes fällig werden. Für „wichtige“ Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 % des Umsatzes. Noch bedrohlicher wirkt die Möglichkeit, Führungskräfte bei anhaltenden Verstößen zeitweise von ihrer Tätigkeit auszuschließen – eine Maßnahme, die den Charakter der „Chefsache“ unterstreicht.

Mit dem Start des BSI-Portals ist die Infrastruktur für diese neue Ära der digitalen Rechenschaftspflicht komplett. Die Botschaft an Deutschlands Manager ist klar: Die Zeit der theoretischen Vorbereitung ist vorbei. Jetzt zählt dokumentierte Compliance.

PS: Cyber‑Hygiene und Anti‑Phishing stehen jetzt auf Prüflisten – das BSI verlangt nachweisbare Schulungen. Wenn Sie Abläufe, LMS‑Module und Reporting schnell verbessern wollen, liefert das Gratis‑E‑Book praxisnahe Maßnahmen, Vorlagen für Trainingsnachweise und einfache Schutzmaßnahmen, die sofort Wirkung zeigen – auch ohne große IT‑Investitionen. Empfohlen für Geschäftsführer, Compliance‑Leads und IT‑Verantwortliche, die NIS2‑Pflichten nachweisen müssen. Gratis‑E‑Book „Cyber Security Awareness Trends“ anfordern