NIS2-Gesetz: Haftungsrisiko für Vorstände beginnt jetzt

Die neue Ära der digitalen Compliance ist da. Seit dem 6. März 2026 müssen rund 30.000 deutsche Unternehmen unter der verschärften NIS2-Richtlinie operieren. Für Vorstände bedeutet das: persönliche Haftung bei IT-Sicherheitslücken.

Frist verstrichen: BSI-Registrierung ist Pflicht

Die Übergangsfrist ist vorbei. Unternehmen aus 18 kritischen Sektoren – von der Fertigung über Lebensmittelproduktion bis zu digitalen Dienstleistern – mussten sich bis zum 6. März beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Betroffen sind Betriebe mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von zehn Millionen Euro. Wer die Frist verpasst hat, begeht bereits eine Ordnungswidrigkeit und riskiert erste behördliche Maßnahmen.

Die neuen gesetzlichen Anforderungen erhöhen den Druck auf die IT-Sicherheit massiv, doch viele Betriebe sind auf die drohenden Risiken noch unzureichend vorbereitet. Dieser kostenlose Leitfaden unterstützt Sie dabei, Ihr Unternehmen mit effektiven Strategien vor kostspieligen Cyberangriffen zu schützen. Experten-Report zur Cyber Security jetzt kostenlos herunterladen

Das deutsche NIS2-Umsetzungsgesetz gilt seit Dezember 2025 ohne Gnadenfrist. Es verlangt von „wesentlichen“ und „wichtigen“ Einrichtungen nachweisbare Risikomanagement- und Sicherheitsmaßnahmen. Die Zeit der Vorbereitung ist endgültig vorbei.

Paradigmenwechsel: Persönliche Haftung der Geschäftsführung

Die größte Neuerung trifft die Chefetagen direkt. Vorstände und Geschäftsführer können nun persönlich für Compliance-Verstöße haftbar gemacht werden. Das Gesetz erlaubt es Unternehmen sogar, Regressansprüche gegen ihre eigenen Manager geltend zu machen, wenn Datenschutzverletzungen auf Fahrlässigkeit oder unterlassene Sicherheitsvorkehrungen zurückgehen.

Die finanziellen Konsequenzen sind drastisch: Für wesentliche Einheiten drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Zudem sind Führungskräfte verpflichtet, an Cybersicherheitsschulungen teilzunehmen. Unwissenheit schützt nicht mehr vor Strafe.

Die Meldepflichten wurden massiv verschärft. Erste Berichte über signifikante Vorfälle müssen innerhalb von 24 Stunden, detaillierte Analysen binnen 72 Stunden und ein abschließender Bericht innerhalb eines Monats bei den Behörden vorliegen. Diese Fristen sind ohne direkte Vorstandskontrolle kaum einzuhalten.

Doppelbelastung: NIS2 trifft auf DSGVO

Die neue Cybersicherheitspflicht überschneidet sich mit der bestehenden Datenschutz-Grundverordnung (DSGVO). Diese doppelte Regulierungslast führt auf EU-Ebene zu Forderungen nach Reformen.

Die deutsche Regierung setzt sich dafür ein, die Compliance-Pflichten von den nutzenden Unternehmen – besonders KMU – zu den Software-Herstellern zu verlagern. Bis zum 11. März läuft eine entsprechende EU-Konsultation. Geht es nach Berlin, sollen Hersteller künftig verbindliche DSGVO-Konformitätserklärungen abgeben müssen.

„Privacy by Design“ würde so zur gesetzlichen Pflicht für Produktentwickler. Für KMU, denen das technische Know-how für Audits bei globalen Anbietern fehlt, wäre das eine spürbare Entlastung. Es würde die Beschaffung von Standardsoftware grundlegend verändern.

Analyse: IT-Sicherheit wird Chefsache

Die Verschmelzung von NIS2, DSGVO und kommenden Regelwerken wie dem KI-Gesetz zeigt: Datenschutz ist kein isoliertes Rechtsproblem mehr, sondern ein Kernbestandteil des unternehmerischen Risikomanagements.

Ein Schwerpunkt liegt auf der Lieferkettensicherheit. Große Unternehmen geben die strengen Anforderungen bereits an ihre Zulieferer weiter. Selbst nicht regulierte KMU müssen nun hohe Standards einhalten, um ihre Verträge zu behalten.

Neben der IT-Sicherheit rückt auch die rechtliche Absicherung von KI-Systemen immer stärker in den Fokus der europäischen Aufsichtsbehörden. Erfahren Sie in diesem kompakten Umsetzungsleitfaden, welche Kennzeichnungspflichten und Fristen Ihr Unternehmen bei der Nutzung von KI jetzt unbedingt einhalten muss. Gratis E-Book zur EU-KI-Verordnung sichern

Zertifizierungen wie ISO 27001 sind ein solides Fundament, reichen 2026 aber allein nicht mehr aus. Es braucht klare Verantwortlichkeiten, reibungslose Kommunikation und einsatzbereite Notfallpläne. IT-Sicherheit ist zur Governance-Frage auf Vorstandsebene geworden.

Ausblick: Was 2026 noch auf Unternehmen zukommt

Die Behörden werden nun die Einhaltung der Registrierungspflicht überprüfen. Nachzügler müssen Lücken sofort schließen, um Haftungsrisiken zu begrenzen.

Die nächste große Herausforderung steht im August 2026 an: Dann tritt der Großteil der Bestimmungen des EU-KI-Gesetzes in Kraft. Es führt für Hochrisiko-Systeme Pflichtprotokollierungen und sechsmonatige Datenspeicherfristen ein. Datenschutz- und IT-Sicherheitsteams müssen eng zusammenarbeiten, um Konflikte mit dem DSGVO-Minimierungsgebot zu vermeiden.

Die Botschaft der Analysten ist klar: Vorstände müssen ihre digitale Compliance-Strategie aktiv steuern. IT-Sicherheit und Datenschutz als integrale Managementaufgabe zu behandeln, ist keine Option mehr, sondern eine rechtliche Notwendigkeit für den Geschäftserfolg.