NIS2 gilt seit Oktober 2024 — umgesetzt durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in deutsches Recht. Viele Geschäftsführer im Mittelstand wissen noch nicht, ob ihr Unternehmen betroffen ist — oder dass sie als Führungskraft persönlich haften, wenn sie es sind. Das ist keine Zukunftsfrage. Die Pflichten gelten jetzt.
Sind Sie betroffen?
Mittelständler mit 50 bis 249 Mitarbeitern sind in den meisten Sektoren direkt erfasst. Auch kleinere Unternehmen können unter NIS2 fallen, wenn sie Dienstleistungen für kritische Infrastrukturbetreiber erbringen. Der Mittelstand ist als Zulieferer und Dienstleister für regulierte Branchen zunehmend direkt betroffen — auch wenn das eigene Unternehmen selbst keine kritische Infrastruktur betreibt.
Das IT-Sicherheitsgesetz 2.0 und das BSI IT-Grundschutz-Kompendium bilden den deutschen Rahmen, in dem NIS2 konkretisiert wird. Wenn Sie 50 oder mehr Mitarbeiter haben und in einem der erfassten Sektoren tätig sind — Energie, verarbeitendes Gewerbe, IT-Dienstleistungen, Lebensmittel, Abfallentsorgung — gehen Sie von einer Betroffenheit aus, bis Sie das Gegenteil bestätigt haben.
Was NIS2 von Ihnen fordert
- Dokumentierte Risikoanalyse und Informationssicherheitskonzept
- Erstmeldung eines erheblichen Sicherheitsvorfalls innerhalb von 24 Stunden an das BSI
- Supply-Chain-Sicherheit: Ihre Dienstleister sind Ihr Risiko
- Persönliche Managementverantwortung — das NIS2UmsuCG hält Geschäftsführer explizit persönlich haftbar
Die 24-Stunden-Meldefrist ist keine theoretische Anforderung. Ohne klare Incident-Response-Struktur, definierte Eskalationswege und einen vorab identifizierten BSI-Ansprechpartner ist diese Frist in der Praxis kaum einzuhalten.
Die persönliche Haftung der Geschäftsführung
Anders als die DSGVO, die primär das Unternehmen als Verantwortlichen adressiert, hält das NIS2UmsuCG die Geschäftsführung explizit und persönlich für Compliance-Versäumnisse haftbar. Das ist eine grundlegende Neuerung gegenüber der bisherigen IT-Sicherheitsgesetzgebung — und die meisten Unternehmer sind sich darüber noch nicht bewusst.
Die praktische Konsequenz: Wenn ein erheblicher Vorfall eintritt und Ihr Unternehmen nicht nachweisen kann, dass angemessene Sicherheitsmaßnahmen ergriffen wurden, folgt daraus eine persönliche Haftungsexposition für den Geschäftsführer. Keine Unternehmensgröße schützt davor.
Was ein technischer Audit leistet
Ihre Microsoft 365-Umgebung ist wahrscheinlich Ihre größte Angriffsfläche und die häufigste Quelle von Sicherheitslücken. Ein technischer Audit zeigt, welche NIS2-relevanten Kontrollen aktiv sind und welche fehlen — und erzeugt Dokumentation, die Sie bei einer BSI-Prüfung vorlegen können.
Viele Lücken lassen sich durch reine Konfigurationsänderungen schließen. Der erste Schritt ist zu wissen, wo sie sind.
Unsicher, ob NIS2 für Ihr Unternehmen gilt? Jetzt kostenfreies Erstgespräch buchen — wir klären Ihren Geltungsbereich in einem Termin.