NIS2-Gesetz: CEOs haften ab sofort persönlich für Cyber-Sicherheit

Deutschlands Vorstände und Geschäftsführer stehen unter Druck. Seit Anfang Dezember gilt das verschärfte IT-Sicherheitsgesetz – ohne Übergangsfrist. Wer jetzt Pflichten vernachlässigt, riskiert hohe Geldstrafen und persönliche Haftung.

Die Schonfrist ist vorbei. Während viele Unternehmen in die Weihnachtsruhe gehen, herrscht in deutschen Vorstandsetagen Alarmstimmung. Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft und stellt die Compliance-Landschaft auf den Kopf. Rund 29.500 Unternehmen sind nun erfasst – sechsmal so viele wie unter dem alten IT-Sicherheitsgesetz.

„Die Zeit der Vorbereitung ist vorbei. Wir befinden uns jetzt in der Durchsetzungsphase”, warnt ein Sprecher einer führenden Compliance-Beratung. Ein gefährlicher Irrglaube hält sich hartnäckig: Viele Manager denken, sie hätten bis 2026 Zeit. Doch während das Registrierungsportal erst im Frühjahr 2026 schließt, gilt die persönliche Haftung bereits jetzt.

Die Schonfrist ist vorbei – und Vorstände tragen jetzt persönliche Haftung für IT-Sicherheitsmängel. Viele Entscheider sind unsicher, wie sie die neuen Registrierungs- und Meldepflichten (Erstmeldung binnen 24 Stunden, detaillierter Bericht binnen 72 Stunden) rechtssicher umsetzen sollen. Unser kostenloses E‑Book erklärt kompakt und praxisnah, welche organisatorischen Maßnahmen Geschäftsführer jetzt sofort einführen müssen – inklusive Checklisten für Vorstandssitzungen und Vorlagen für das „Mein Unternehmenskonto” (MUK). Jetzt kostenloses Cyber‑Security-E‑Book für Geschäftsführer herunterladen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) drängt zur Eile. Noch vor Jahresende sollten betroffene Unternehmen ihr „Mein Unternehmenskonto” (MUK) einrichten. Bei nur acht verbleibenden Tagen melden Rechtsberater einen Ansturm der als „wichtig” oder „essenziell” eingestuften Unternehmen.

Paragraf 38: Der Albtraum jedes Vorstands

Herzstück der neuen Haftungsregeln ist der überarbeitete BSI-Akt, konkret Paragraf 38. Die Botschaft des Gesetzgebers ist eindeutig: Cybersicherheit ist Chefsache und darf nicht delegiert werden.

Vorstände und Geschäftsführer müssen Sicherheitsmaßnahmen nicht nur absegnen, sondern auch deren Umsetzung überwachen. Bei Versäumnissen haften sie persönlich. Eine aktuelle Analyse des Fachverlags Haufe zeigt die drastischen Konsequenzen:

• Persönliches finanzielles Risiko: Die Haftungsobergrenzen sind hoch. Herkömmliche D&O-Versicherungen (Directors and Officers) decken regulatorische Strafen oder grobe Fahrlässigkeit oft nicht ab.
• Pflichtschulungen: Das Management muss sich regelmäßig in Cybersicherheit fortbilden. Unwissenheit schützt nicht vor Strafe.
• Drakonische Geldbußen: Für „essenziellen Einrichtungen” drohen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Bei „wichtigen Einrichtungen” sind es 7 Millionen Euro oder 1,4 Prozent.

„Der Gesetzgeber hat klargestellt: Wer das Unternehmen führt, trägt auch das Risiko”, erklärt ein Compliance-Partner einer Münchner Großkanzlei. Das BSI erhält sogar eine „Atomoption”: Bei anhaltender Nichtbefolgung kann es Geschäftsführer vorübergehend von ihren Aufgaben suspendieren.

Wettlauf gegen die Zeit: Registrierung vor Jahresende

Während die inhaltlichen Pflichten bereits gelten, läuft die administrative Maschinerie an. Das BSI hat einen zweistufigen Registrierungsprozess gestartet, der die deutsche Industrie vor Herausforderungen stellt.

Zuerst müssen sich Unternehmen über das „Mein Unternehmenskonto” authentifizieren – idealerweise noch in diesem Jahr. Bis März 2026 folgt die formale Registrierung als betroffenes Unternehmen.

Berichte von Proliance 360 zeigen ein gemischtes Bild: Während große KRITIS-Betreiber (Kritische Infrastrukturen) vorbereitet sind, kämpfen neu erfasste „wichtige Einrichtungen”. Dazu zählen Abfallentsorger, Lebensmittelhersteller oder Chemieproduzenten. Viele mittelständische Unternehmen mit über 50 Mitarbeitern oder mehr als 10 Millionen Euro Umsatz realisieren erst jetzt ihren Status.

Die bewusst gesetzte „Null-Übergangsfrist” nach der Verabschiedung im Bundestag und Bundesrat im November soll für schnelle Umsetzung sorgen.

Berater ausgebucht, BSI im Anmarsch

Die Reaktion der Wirtschaft schwankt zwischen Resignation und hektischer Aktivität. Verbände kritisieren den engen Zeitplan, denn der finale Gesetzestext lag erst Wochen vor Inkrafttreten vor.

„Wir sehen einen massiven Engpass auf dem Beratermarkt”, stellt ein Analyst von Bird & Bird fest. Unternehmen, die ihre Lieferketten prüfen müssen – eine Kernanforderung von NIS2 –, finden kaum noch Kapazitäten vor Q2 2026.

Experten erwarten, dass das BSI im ersten Quartal 2026 zwei Schwerpunkte setzt: die Durchsetzung der Registrierungspflicht für die rund 25.000 neu regulierten Unternehmen und die Überprüfung der neuen Meldepflichten. Bei schwerwiegenden Cyber-Vorfällen muss binnen 24 Stunden eine Erstmeldung und innerhalb von 72 Stunden ein detaillierter Bericht folgen.

Die Botschaft an Deutschlands Führungsetagen in dieser Weihnachtszeit ist unmissverständlich: Die Tage, in denen IT-Sicherheit an den CIO delegiert und vergessen werden konnte, sind vorbei. Cybersicherheit ist ab sofort eine persönliche, nicht übertragbare Pflicht – und die Uhr tickt bereits.

PS: Sie wollen schnell handeln, bevor Bußgelder oder persönliche Haftung Realität werden? Das kostenlose E‑Book bietet konkrete Sofortmaßnahmen, praxisnahe Checklisten zur Risikobewertung und Vorlagen, mit denen Sie Meldewege, Pflichtschulungen und Verantwortlichkeiten im Unternehmen sofort organisieren können. Ideal für Geschäftsführer, Compliance-Verantwortliche und IT-Leads, die NIS2 jetzt umsetzen müssen. Jetzt kostenlosen Cyber‑Security-Leitfaden herunterladen