NIS2-Portal startet: Betriebsräte erhalten umfassende IT-Sicherheitsrechte

Die neue Meldepflicht für Cyberangriffe macht IT-Sicherheit zum Top-Thema für Wirtschaftsausschüsse. Seit dieser Woche müssen Betriebsräte über alle wesentlichen Cyberrisiken informiert werden – mit weitreichenden Konsequenzen für die Unternehmensführung.

BERLIN – Ein neues Gesetz verändert die Machtbalance in deutschen Unternehmen grundlegend. Seit Dienstag, dem 6. Januar 2026, ist das zentrale Meldeportal des Bundesamts für Sicherheit in der Informationstechnik (BSI) aktiv. Damit tritt die EU-Richtlinie NIS2 in ihre entscheidende operative Phase. Für etwa 30.000 deutsche Unternehmen beginnt nun der Ernstfall: Sie müssen sich registrieren und schwere IT-Sicherheitsvorfälle innerhalb von 24 Stunden melden. Doch die größte Veränderung spielt sich in den Betriebsräten ab. Arbeitsrechtler bestätigen: Der Wirtschaftsausschuss erhält umfassende Auskunftsrechte zu Cyberrisiken und möglichen Millionenstrafen.

Vom Technik- zum Wirtschaftsthema: Die neue Realität

Bisher war IT-Sicherheit oft Sache der Technikabteilung. Das hat sich mit einem Schlag geändert. Die NIS2-Richtlinie führt zu drastischen Geldstrafen: bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Damit wird aus einem technischen Problem ein existenzielles Wirtschaftsrisiko.

„Diese Strafen transformieren IT-Sicherheit in eine wirtschaftliche Angelegenheit im Sinne von § 106 BetrVG“, erklärt ein auf Arbeitsrecht spezialiserter Anwalt. „Der Status der NIS2-Compliance, die Registrierung beim BSI und die Risikobewertung sind jetzt offenlegungspflichtig.“ Betriebsräte können diese Informationen direkt einfordern. Management und Vorstände dürfen sie nicht länger zurückhalten.

Betriebsrat fragt – Management muss antworten

Welche Daten stehen dem Wirtschaftsausschuss konkret zu? Die Liste ist lang und detailliert. Analysten beobachten bereits in dieser Woche erste Anfragen aus betroffenen Branchen wie Energie, Verkehr und digitaler Infrastruktur.

• Die Bestätigung des Registrierungsstatus beim BSI.
• Die aktuelle Risikobewertung nach Artikel 21 der NIS2-Richtlinie.
• Details zu Budgets für IT-Sicherheitsupgrades.
• Eine Haftungsanalyse für verantwortliche Führungskräfte.

Besonders brisant: Jeder meldepflichtige Vorfall muss dem Ausschuss mitgeteilt werden. Denn ein Cyberangriff bedeutet meist Produktionsausfall, Risiko für Geschäftsgeheimnisse oder drohende Bußgelder. All das betrifft die wirtschaftliche Lage des Unternehmens unmittelbar.

Passend zum Thema Wirtschaftsausschuss: Betriebsräte stehen jetzt vor neuen Informationspflichten – welche Fragen sollten Sie der Geschäftsleitung stellen? Ein kostenloser Guide liefert 25 Kontrollfragen, Mustervorlagen und Checklisten, mit denen Sie Cyberrisiken, BSI-Registrierung und Investitionspläne systematisch prüfen können. Ideal für Ausschussmitglieder, die NIS2-konform handeln und klare Auskunftsanträge formulieren wollen. Jetzt kostenlosen Wirtschaftsausschuss-Guide herunterladen

Persönliche Haftung und Investitionszwang

Eine Besonderheit des neuen Rechts: Die persönliche Haftung der Geschäftsführung. Sie müssen IT-Sicherheitsmaßnahmen persönlich absegnen – diese Aufgabe ist nicht delegierbar. Für den Wirtschaftsausschuss wird dies zum Hebel, um Transparenz bei Investitionsplänen zu erzwingen.

„Wenn ein Unternehmen nicht genug Geld für IT-Sicherheit nach Stand der Technik bereitstellt, riskiert es nicht nur Strafen, sondern auch Betriebsstilllegungen“, warnt eine Compliance-Expertin. Der Ausschuss kann nun einen detaillierten Investitionsplan verlangen. Dieser muss zeigen, wie Sicherheitslücken aus der ersten NIS2-Prüfung geschlossen werden. Wer diese Informationen verweigert, verschleiert womöglich Daten zur wirtschaftlichen Zukunftsfähigkeit.

Paradigmenwechsel für die Mitbestimmung

Die Ereignisse dieser Woche markieren einen historischen Wendepunkt. Bisher konzentrierten sich Betriebsräte bei IT-Themen vor allem auf Datenschutz und Mitarbeiterüberwachung (§ 87 Abs. 1 Nr. 6 BetrVG). Jetzt geht es um die Abwehr existenzieller Bedrohungen.

Marktbeobachter ziehen einen Vergleich zur DSGVO 2018, sehen aber höhere Einsätze. Während die Datenschutzgrundverordnung Privatsphäre schützte, sichert NIS2 die Verfügbarkeit kritischer Systeme. Für den Wirtschaftsausschuss bedeutet das: IT-Sicherheitsberichte werden so selbstverständlich wie Quartalszahlen. Das „Technische“ wird zum „Wirtschaftlichen“ – und erfordert neues IT-Wissen in den Gremien.

Hinzu kommt der Timing-Faktor: Die regulären Betriebsratswahlen stehen im Frühjahr 2026 an. Amtsinhaber wollen jetzt Kompetenz beweisen. Sie müssen zeigen, dass sie Arbeitsplätze schützen, indem sie das Unternehmen gegen digitale Angriffe wappnen. Die Fähigkeit, die Cyberstrategie des Arbeitgebers zu prüfen, wird zum entscheidenden Merkmal erfolgreicher Mitbestimmung.

Was kommt jetzt auf die Unternehmen zu?

Die nächsten Wochen werden unruhig. Experten rechnen mit einer Flut von „Aufklärungsanträgen“ der Wirtschaftsausschüsse an die Geschäftsführung. Gleichzeitig bearbeitet das BSI die seit Dienstag eingegangenen Registrierungen. Die Rückmeldungen zur Einstufung als „wichtige“ oder „besonders wichtige“ Einheit müssen ebenfalls an den Betriebsrat weitergegeben werden.

Bis März 2026 dürften sich die ersten Konflikte um die Tiefe der geforderten Informationen entzünden. Wird das Management technische Details mit Verweis auf Sicherheitsbedenken zurückhalten? Die vorherrschende Rechtsauffassung gibt den Betriebsräten Recht: Deren Schweigepflicht (§ 79 BetrVG) sei Schutz genug für eine vollständige Offenlegung der Risikobewertungen.

Bis zum Frühjahr werden sich in großen deutschen Unternehmen standardisierte Berichtsvorlagen für „IT-Sicherheit & Wirtschaftsrisiko“ etablieren. Die Widerstandsfähigkeit gegen Cyberangriffe ist damit dauerhaft im wirtschaftlichen Dialog zwischen Arbeitgebern und Betriebsräten verankert. Ein neues Kapitel der deutschen Mitbestimmung hat begonnen.

PS: Sie möchten als Mitglied im Wirtschaftsausschuss den Überblick behalten, wenn es um BSI-Registrierung, Risikobewertung und Investitionspläne geht? Der kostenlose PDF-Guide bietet konkrete Kontrollfragen, Protokollvorlagen und eine Checkliste nach § 106 BetrVG, damit Sie fundierte Auskunftsanträge stellen und Entscheidungen transparent dokumentieren können. Guide für Wirtschaftsausschüsse kostenlos anfordern