NIS-2 und KRITIS-Dachgesetz: Doppelter Fristendruck für deutsche Firmen

Deutsche Unternehmen stehen vor einem entscheidenden Doppelschlag an Compliance-Fristen. Während die Registrierungspflicht nach dem NIS-2-Umsetzungsgesetz in weniger als zwei Wochen abläuft, hat der Bundestag gleichzeitig den Weg für das neue KRITIS-Dachgesetz freigemacht. Diese doppelte Belastung stellt vor allem Rechtsabteilungen und Geschäftsführungen vor enorme Herausforderungen.

Die akute Priorität: NIS-2-Registrierung bis 6. März

Das NIS-2-Umsetzungsgesetz hat seit Dezember 2025 den Kreis der regulierten Unternehmen von etwa 4.500 auf rund 30.000 erweitert. Die Frist zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) endet am 6. März 2026. Unternehmen, die noch nicht registriert sind, müssen jetzt schnell handeln.

Der Prozess ist zweistufig: Zuerst muss ein Organisationskonto über „Mein Unternehmenskonto“ mit ELSTER-Zertifikat eingerichtet werden. Anschließend folgt die Dateneingabe im BSI-Meldeportal. Die Konsequenzen einer Versäumnis sind gravierend. „Es geht hier nicht um eine Formsache“, warnt ein auf IT-Recht spezialisierter Anwalt aus Frankfurt. „Neben hohen Bußgeldern besteht das größte Risiko in der bereits geltenden Meldepflicht für Sicherheitsvorfälle.“ Seit Dezember 2025 müssen Vorfälle innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (Detaillierte Meldung) gemeldet werden – eine Pflicht, die auch für unregistrierte Firmen gilt.

Die nächste Herausforderung: KRITIS-Dachgesetz verabschiedet

Während die Wirtschaft mit den Cyber-Vorgaben kämpft, hat der Bundestag am 29. Januar 2026 das KRITIS-Dachgesetz beschlossen. Dieses setzt die EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER) in nationales Recht um und legt den Fokus auf physische Sicherheit.

Betreiber kritischer Infrastrukturen müssen ihre Anlagen künftig besser vor Sabotage, Naturkatastrophen und Stromausfällen schützen. Anders als bei NIS-2 ist hier nicht das BSI, sondern das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zuständig. Die Analyse der Branchenverbände nach der Parlamentsabstimmung zeigt: Die Registrierungsfrist für diese physischen Resilienz-Pflichten endet am 17. Juli 2026.

Damit entsteht eine klare Trennung der Zuständigkeiten und Fristen:
* 6. März 2026: Fristende für die Cyber-Sicherheitsregistrierung (NIS-2/BSI).
* 17. Juli 2026: Fristende für die Physische-Resilienzregistrierung (KRITIS-DachG/BBK).

Persönliche Haftung und Folgen für das Personalwesen

Ein zentraler und für Führungskräfte brisanter Punkt beider Gesetze ist die verschärfte persönliche Haftung von Geschäftsleitungen. Der bisherige Schutz durch die „corporate veil“ – die Haftungsbeschränkung auf die Gesellschaft – ist in puncto Compliance-Versagen durchbrochen.

Geschäftsführer und Vorstände können persönlich zur Verantwortung gezogen werden, wenn sie keine angemessenen Risikomanagement-Maßnahmen umsetzen. Diese Haftung kann nicht durch die Gesellschaft übernommen werden. Das hat direkte Auswirkungen auf Anstellungsverträge und D&O-Versicherungen der Führungsetage.

Personalabteilungen und Geschäftsführer sollten jetzt ihre Anstellungsverträge prüfen – die neuen Haftungsregeln durch NIS‑2 und das KRITIS‑Dachgesetz können veraltete Vertragsklauseln offenlegen und persönliche Risiken erhöhen. Ein kostenloses E‑Book liefert 19 fertige Musterformulierungen, erklärt, welche Klauseln Sie umgehend anpassen müssen, und zeigt, wie Sie Bußgelder und Haftungsfallen vermeiden. Kostenloses E‑Book zum Arbeitsvertrag herunterladen

Für Personalabteilungen kommen neue Schulungspflichten hinzu. Das NIS-2-Gesetz verpflichtet die Geschäftsleitung zu regelmäßigen Schulungen in Cybersicherheit. Nur so können Risiken bewertet und Gegenmaßnahmen überwacht werden. Fehlt der Nachweis über diese Schulungen, kann dies im Falle eines Sicherheitsvorfalls als Nachweis für Fahrlässigkeit gewertet werden.

Strategische Empfehlungen für Unternehmen

Angesichts des sich verdichtenden regulatorischen Umfelds sollten Unternehmen jetzt handeln:

1. NIS-2-Status prüfen: Klären Sie umgehend, ob Ihr Unternehmen registriert ist. Falls nicht, starten Sie sofort den MUK/ELSTER-Prozess.
2. Notfallpläne überarbeiten: Stellen Sie sicher, dass die für NIS-2 erforderlichen Meldeketten rund um die Uhr funktionieren. Für die Meldung von Vorfällen gibt es keine Schonfrist.
3. Auf KRITIS-Dachgesetz vorbereiten: Betreiber kritischer Infrastruktur sollten jetzt mit der Analyse beginnen, welche physischen Sicherheitsmaßnahmen bis Juli umgesetzt werden müssen.
4. Schulungen der Führungsebene dokumentieren: Die Personalabteilung muss sicherstellen, dass alle Vorstands- und Geschäftsführungsmitglieder ihre verpflichtenden Cybersicherheitsschulungen für 2026 geplant oder absolviert haben.

Die Gleichzeitigkeit von NIS-2 und dem KRITIS-Dachgesetz markiert das Ende freiwilliger Selbstregulierung. Resilienz ist für deutsche Unternehmen kein IT-Ziel mehr, sondern ein strikter gesetzlicher Auftrag – mit persönlichen Konsequenzen für die Verantwortlichen.