18.März 2026 | Robert | Thema: IT-Sicherheit

NIS2 Geschäftsführerhaftung: Was KMU jetzt wissen und tun müssen

Schlagwörter: EU-Richtlinie | IT-Sicherheit | Tipps

NIS2 Geschäftsführerhaftung – persönliche Haftung, Bußgelder bis 10 Mio. € und BSI-Registrierungspflicht für KMU

Seit dem 6. Dezember 2025 gilt in Deutschland das NIS2-Umsetzungsgesetz – und es hat es in sich. Denn zum ersten Mal ist IT-Sicherheit keine reine IT-Frage mehr. Die NIS2 Geschäftsführerhaftung ist jetzt gesetzlich verankert: Wer als Geschäftsführer*in die vorgeschriebenen Sicherheitsmaßnahmen nicht nachweisbar umsetzt, riskiert persönliche Konsequenzen. Dieser Beitrag erklärt, wer betroffen ist, was konkret zu tun ist und warum jetzt der richtige Zeitpunkt zum Handeln ist.

Was ist NIS2 und warum betrifft es euer Unternehmen?

NIS2 ist die europäische Richtlinie zur Netz- und Informationssicherheit. Deutschland hat sie mit dem neuen BSI-Gesetz (BSIG) in nationales Recht umgesetzt. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) trat am 6. Dezember 2025 in Kraft – ohne jegliche Übergangsfrist.

Der entscheidende Unterschied zur bisherigen Rechtslage: Der Anwendungsbereich wurde massiv ausgeweitet. Nicht nur klassische Kritische Infrastrukturen sind betroffen, sondern Unternehmen aus 18 Sektoren – darunter Produktion, Logistik, IT-Dienstleistungen, Energie und Gesundheitswesen.

Betroffen seid ihr, wenn folgende Punkte zutreffen:

  • mindestens 50 Mitarbeiter*innen oder ein Jahresumsatz ab 10 Mio. €
  • Tätigkeit in einem der 18 regulierten Sektoren

Wichtig: Es gibt keine offizielle Benachrichtigung durch das BSI. Unternehmen müssen eigenständig prüfen, ob sie betroffen sind. Wer das versäumt, befindet sich faktisch bereits in einer Compliance-Lücke.

NIS2 Geschäftsführerhaftung: Was Führungskräfte jetzt persönlich riskieren

Bisher war IT-Sicherheit ein Thema, das irgendwo in der IT-Abteilung erledigt wurde. Das ist vorbei. NIS2 schreibt ausdrücklich fest, dass die Geschäftsleitung persönlich verantwortlich ist –
für die strategische Steuerung, die Bereitstellung von Budget und die regelmäßige Überprüfung der Wirksamkeit von Sicherheitsmaßnahmen.

Wenn euer Unternehmen einen meldepflichtigen Sicherheitsvorfall erleidet und die vorgeschriebenen Maßnahmen nicht nachweisbar umgesetzt wurden, drohen:

  • Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist
  • Persönliche Haftung der Geschäftsführer*innen nach § 38 BSIG
  • Reputationsschäden, die in KMU oft schwerer wiegen als das Bußgeld selbst

Besonders kritisch: Die Haftung lässt sich nicht an die IT-Abteilung oder externe Dienstleister delegieren. Sie verbleibt bei der Geschäftsleitung – auch dann, wenn die operative Umsetzung ausgelagert ist.

Sieben Maßnahmen, die KMU jetzt konkret umsetzen müssen

Das Gesetz definiert zehn Kernmaßnahmen nach § 30 BSIG, die ihr nachweisbar implementiert haben müsst. Hier die sieben wichtigsten für KMU:

1. Risikomanagement aufbauen

Ihr braucht eine dokumentierte Analyse eurer IT-Risiken. Das ist keine einmalige Übung, sondern ein laufender Prozess. Ausgangspunkt ist eine strukturierte Gap-Analyse: Wo stehen wir gerade und was fehlt noch?

2. Meldepflichten organisieren

Bei einem erheblichen Sicherheitsvorfall gelten feste Fristen: 24 Stunden für die Erstmeldung ans BSI, 72 Stunden für den Detailbericht, 30 Tage für den Abschlussbericht. Die internen Prozesse dafür müssen stehen – bevor etwas passiert.

3. Beim BSI registrieren

Besonders wichtige Einrichtungen mussten sich bis zum 6. März 2026 registrieren. Wer das noch nicht getan hat, sollte das umgehend nachholen. Die Registrierung erfolgt über das Meldeportal des BSI.

4. Multi-Faktor-Authentifizierung einführen

MFA für alle Admin-Konten ist Pflicht. Außerdem: Legacy-Authentifizierung abschalten und Conditional-Access-Richtlinien einrichten. Das sind Quick Wins, die ihr sofort angehen könnt – und die gleichzeitig das Angriffspotenzial deutlich senken. Mehr dazu in unserem Angebot zur Multi-Faktor-Authentifizierung.

5. Backup und Business Continuity sicherstellen

Eine 3-2-1-Backup-Strategie mit Offline-Kopien ist verpflichtend. Mindestens genauso wichtig: regelmäßige Wiederherstellungstests. Ein Backup, das nicht getestet wurde, ist kein Backup. Unser Managed Backup-Angebot deckt genau diese Anforderungen ab.

6. Lieferkettensicherheit nachweisen

Eure IT-Dienstleister*innen und Lieferant*innen müssen vertraglich auf Sicherheitsstandards verpflichtet werden. Das betrifft auch Managed Service Provider – wählt also sorgfältig, wer Zugang zu euren Systemen bekommt. Sicherheitsanforderungen gehören in jeden Dienstleistungsvertrag.

7. Mitarbeitende und Geschäftsleitung schulen

NIS2 schreibt ausdrücklich vor, dass die Geschäftsleitung nachweislich an Schulungen zur IT-Sicherheit teilnimmt. Security-Awareness-Trainings für alle Mitarbeitenden sind kein Nice-to-have mehr – sie sind gesetzliche Pflicht.

Was gilt, wenn wir die Schwellenwerte knapp unterschreiten?

Auch wer formal nicht unter NIS2 fällt, hat guten Grund zum Handeln. Eure Kund*innen und Lieferant*innen, die betroffen sind, müssen Sicherheitsanforderungen vertraglich an euch weitergeben. Wer dann keine Nachweise liefern kann, verliert Aufträge.

Außerdem gilt: Die meisten NIS2-Maßnahmen sind schlicht gute IT-Sicherheitspraxis. Wer sie umsetzt, ist resilienter gegen Ransomware, Phishing und Datenpannen – unabhängig davon, ob das Gesetz formal greift.

NIS2-Compliance mit procado: Von der Betroffenheitsprüfung zum Umsetzungsplan

procado begleitet euch durch den gesamten NIS2-Prozess – strukturiert, KMU-gerecht und prüffest. Unser Angebot umfasst:

  • NIS2-Compliance-Beratung
    Wir prüfen, ob und wie ihr vom Gesetz betroffen seid, führen eine strukturierte Gap-Analyse durch und erstellen einen klaren, priorisierten Umsetzungsplan.
  • Managed Security
    Für Unternehmen ohne eigene IT-Sicherheitsabteilung übernehmen wir den laufenden Betrieb und die Überwachung eurer Sicherheitsinfrastruktur.
  • Externer Informationssicherheitsbeauftragter (ISB)
    NIS2 fordert klare Verantwortlichkeiten. Wer intern keine geeignete Person hat, kann diese Rolle an procado auslagern.

Und für die Schulungspflicht nach NIS2 bietet die procado Akademie passgenaue Formate: vom flexiblen E-Learning Informationssicherheit über Webinare bis hin zu Präsenzschulungen direkt in eurem Unternehmen. Alle Formate inkl. Zertifikatsnachweis – damit ihr die Schulungspflicht lückenlos dokumentieren könnt.

Fazit: NIS2 ist Pflicht – aber auch eine Chance

NIS2 klingt nach Bürokratie. In Wirklichkeit ist es eine Einladung, die eigene IT-Sicherheit endlich professionell aufzustellen. Die meisten der geforderten Maßnahmen sind schlicht gute Praxis. Wer sie jetzt umsetzt, schützt sein Unternehmen, vermeidet Haftungsrisiken – und sichert sich Wettbewerbsvorteile gegenüber denen, die noch warten.

Ihr wollt wissen, ob und wie ihr von NIS2 betroffen seid? Wir helfen euch weiter – mit Betroffenheitsprüfung, Gap-Analyse und einem klaren Umsetzungsplan.

⟶ Jetzt unverbindlich zur NIS2-Beratung anfragen

 

FAQ: NIS2 und Geschäftsführerhaftung

Was ist das NIS2-Umsetzungsgesetz und wann gilt es in Deutschland?

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) setzt die europäische NIS2-Richtlinie in deutsches Recht um und ist seit dem 6. Dezember 2025 in Kraft – ohne Übergangsfrist. Es verpflichtet rund 29.500 Unternehmen in 18 Sektoren zu nachweisbaren Sicherheitsmaßnahmen, Meldepflichten und der Registrierung beim BSI.

Welche Unternehmen sind von NIS2 betroffen?

Betroffen sind Unternehmen in 18 regulierten Sektoren, die mindestens 50 Mitarbeiter*innen beschäftigen oder einen Jahresumsatz von 10 Mio. € und mehr erzielen. Es gibt keine offizielle Benachrichtigung – Unternehmen müssen ihre Betroffenheit selbst prüfen.

Was bedeutet die NIS2 Geschäftsführerhaftung konkret?

§ 38 BSIG verankert die persönliche Haftung der Geschäftsleitung für die Umsetzung der NIS2-Sicherheitsmaßnahmen. Bei nachgewiesenen Verstößen drohen Bußgelder bis 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Die Haftung lässt sich nicht an IT-Abteilungen oder externe Dienstleister delegieren.

Bis wann musste die BSI-Registrierung erfolgen?

Besonders wichtige Einrichtungen mussten sich bis zum 6. März 2026 über das Meldeportal des BSI registrieren. Wer diese Frist versäumt hat, sollte die Registrierung umgehend nachholen, um weiteres Haftungsrisiko zu minimieren.

Wie unterstützt procado bei der NIS2-Compliance?

procado begleitet den gesamten NIS2-Prozess: von der Betroffenheitsprüfung über die Gap-Analyse bis zum Umsetzungsplan. Dazu kommen Managed Security, externer ISB und Schulungsangebote der procado Akademie – inkl. Zertifikatsnachweis für die Schulungspflicht. Mehr unter: procado.de/nis2-compliance

Weitere Links und Hinweise

NIS2-Compliance-Beratung | procado Informationssicherheit
Managed Security | procado MSP
Multi-Faktor-Authentifizierung | procado IT-Lösungen
NIS2-FAQ des BSI (externer Link)

zurück
Themen
procado BLOGt: rss-feed
Schlagwörter
Girls-DayKIprocado-internAkademieDatenschutzEU-RichtlinieIT-SicherheitTippsRechtsprechungMicrosoft 365NewsIT-SupportDSGVOPhishingSocial MediaRechtsgrundlagenkleine ReiheManaged Service ProviderSocial EngeneeringHistorischesJob