NIS 2: Geschäftsführer müssen jetzt handeln–oder sie haften

Cyber Security wird durch NIS-2 zur Chefsache

Die Bedrohungslage im Cyber-Raum wächst rasant: Attacken auf die kritische Infrastruktur in Europa oder jüngst die Cyber-Angriffe auf deutsche Flughäfen zeigen, wie verletzlich Wirtschaft und Verwaltung sind. Gleichzeitig hat Deutschland die Frist zur Umsetzung der NIS-2-Richtlinie in nationales Recht verpasst – ein Vertragsverletzungsverfahren der EU ist die Folge. Mit dem inzwischen vorgelegtenRegierungsentwurfliegt zwar ein erster Gesetzentwurf vor, die endgültige Verabschiedung steht jedoch noch aus.

Für Unternehmen bedeutet das: Sie stehen auch ohne fertiges deutsches Gesetz unter Zugzwang. Die NIS-2-Pflichten gelten, und wer jetzt nicht handelt, riskiert Bußgelder, persönliche Haftung der Geschäftsführer und gravierende Reputationsschäden.

Vermeiden Sie Cyber-Risiken und Haftung, indem Sieüber die wichtigsten Entwicklungen zur Cyber Security von Fachexperten auf dem Laufenden bleiben. BeimManagementforum“KI-basierte Cyber Security”beleuchten wir nicht nur Haftungsfragen für Geschäftsführer, sondern auch praxisnahe Ansätze zum Schutz vor Cyber-Angriffen mit KI.

Was ist NIS-2 und wasändert sich konkret?

Die NIS-2-Richtlinie („Network and Information Security“) ersetzt ihre Vorgängerin NIS-1 und erweitert den Anwendungsbereich massiv: Statt rund 4.500 sind künftig etwa 30.000 Unternehmen in Deutschland verpflichtet, verbindliche Sicherheitsmaßnahmen umzusetzen, Vorfälle zu melden und das Managementfür Cyber-Risiken persönlich in die Verantwortung zu nehmen.

Neue betroffene Sektoren: 

• Energie, Gesundheit, Verkehr, Finanzen (bisherige KRITIS-Sektoren) 
• Produktion und Fertigung 
• Logistik und Transport 
• Digitale Dienste und Plattformen 
• Öffentliche Verwaltung auf zentraler und regionaler Ebene 
• Abfallwirtschaft, Post- und Kurierdienste, Weltraumsektor 

Größen- und Abgrenzungskriterien: 

• Umsatz- und Mitarbeitergrößen werden durch NIS-2 definiert; typischerweise betreffen sie mittlere und große Unternehmen in kritischen Sektoren. 
• Kleinere Unternehmen ohne relevante IT-Infrastruktur oder kritische Dienste fallen in der Regel nicht unter die Richtlinie– dieBSI-Betroffenheitsprüfungbietet hier Orientierung. 

Kernpflichten der NIS-2: 

• Risikomanagement&Sicherheitsmaßnahmen nach Stand der Technik 
  • Unternehmen müssensystematisch Risiken für ihre IT und Netzwerke erkennen, bewerten und abwehren. 
  • Dazu gehört z.?B. die Absicherung von Servern, Netzwerken, Cloud-Systemen oder auch der Lieferkette. 
  • Stand der Technikbedeutet: bewährte Sicherheitslösungen einsetzen (Firewalls, Multi-Faktor-Authentifizierung, Verschlüsselung, Notfallpläne, Schulungen). 
• Meldepflichten bei Sicherheitsvorfällen (dreistufiges Verfahren) 
  • Alle relevanten Vorfälle müssenzeitnah an die zuständigen Behörden gemeldetwerden. 
  • Dreistufig bedeutet: Je nach Schweregrad des Vorfalls gibt esunterschiedliche Fristen und Meldewege. 
  • Ziel: Behörden sollen sofort über größere Cyber-Angriffe oder Störungen informiert werden, um Schäden zu begrenzen. 
• Stärkere Aufsicht&Bußgeldandrohung 
  • Das BSI und andere Aufsichtsbehördenkontrollieren, ob Unternehmen die Vorschriften einhalten. 

Haftung und Verantwortung– Geschäftsführung im Fokus

Mit NIS-2 wird Cyber-Sicherheit endgültig zur Chefsache. Die Richtlinie verpflichtet die oberste Leitungsebene, Risiken aktiv zu steuern und Sicherheitsmaßnahmen umzusetzen.

Persönliche Haftung

Geschäftsführer haften direkt und persönlich bei Verstößen. Das kann konkret bedeuten: 

• Bußgelder: bis zu 10?Mio.?EUR oder 2?% des Jahresumsatzes, je nachdem, welcher Betrag höher ist. 
• Rücktrittsrisiko oder zivilrechtliche Ansprüche von Kunden, Partnern oder Investoren, wenn die Geschäftsführung ihre Pflicht zur Cyber-Sicherheit nicht erfüllt hat. 

Pflicht zur Schulung

Die Geschäftsführung muss sich regelmäßig schulen lassen: 

• Risiken aus Cyber-Angriffen erkennen 
• Risikomanagementmaßnahmen verstehen und überwachen 
• Meldeprozesse bei Sicherheitsvorfällen kennen und implementieren 
• Sensibilisierung für digitale Lieferketten entwickeln 

Kontrollmechanismen und Nachweis der Sorgfaltspflicht

Um die persönliche Haftung zu minimieren, sind transparente Nachweise erforderlich: 

• Dokumentation aller implementierten Sicherheitsmaßnahmen 
• Regelmäßige interne Audits und Statusberichte an den Vorstand 
• Protokollierung der Risikobewertungen und der Umsetzung von Verbesserungsmaßnahmen 
• Nachweis der Schulung und Sensibilisierung der Geschäftsführung 

Keine Delegation möglich

IT-Abteilungen, externe Dienstleister oder Managed Security Services können die Verantwortung nicht übernehmen. Die Geschäftsführung bleibt verantwortlich für die Umsetzung und Überwachung – auch wenn operative Aufgaben ausgelagert sind.

Die Fragen zur persönlichen Verantwortung und Haftung sind komplex. Auf unseremManagementforum“KI-basierte Cyber Security”diskutieren Fachexperten, IT-Sicherheitsbehörden und Rechtsanwälte praxisnah, wie Unternehmen ihre Pflichten umsetzen und Risiken minimieren können.

Was bedeutet das für mittelständische Unternehmen?

Gerade mittelständische Unternehmen sind von NIS-2 betroffen, weil sie häufig kritische Produkte oder Dienstleistungen bereitstellen, digitale Dienste nutzen und in komplexe Lieferketten eingebunden sind. Gleichzeitig verfügen sie meist nicht über die Ressourcen großer Konzerne, um umfassende Cyber-Security-Teams aufzubauen.

Für den Mittelstand bringt NIS-2 daher erhebliche Herausforderungen mit sich: 

• Kosten&Ressourcen: Investitionen in Monitoring, Meldeketten, Schulungen, Incident-Response-Prozesse. 
• Fachkräftemangel: Eigene Security-Teams schwer realisierbar; Lücken müssen über externe Dienstleister oder automatisierte Lösungen geschlossen werden. 
• Komplexe IT-Landschaften: Mischung aus Legacy-Systemen, Cloud-Lösungen und externen Dienstleistern erschwert einheitliche Sicherheitsprozesse. 
• Lieferkettenabhängigkeiten: Auch Partner und Zulieferer müssen regelkonform sein. 

Hier können KI-basierte Lösungen wie unserevollautonome KI-basierte Cyber Securityunterstützen, indem sie Sicherheitsvorfälle frühzeitig erkennen, automatisch reagieren und Berichte für die Geschäftsführung erzeugen.

Lösungsansätze: Wie Unternehmen jetzt reagieren können

Der erste Schritt ist eine strukturierte Bestandsaufnahme: 

1. Betroffenheitsanalyse starten:BSI bietet eine interaktive Prüfung. 
2. Sicherheitsprozesse und Meldeketten definieren:Verantwortlichkeiten klar zuordnen. 
3. Investitionen in Cyber-Resilienz tätigen:Monitoring, Awareness, Incident Response. 
4. KI-basierte Lösungen einsetzen:Systeme wievollautonome KI-basierte Cyber-Abwehrerkennen Anomalien frühzeitig und reagieren automatisch. 
5. Schulungen und Dokumentation:Nachweisüber implementierte Sicherheitsmaßnahmen für die Geschäftsführung sicherstellen. 

Was Sie jetzt tun können

Die Anforderungen von NIS-2 sind komplex. Die Haftungsrisiken für Geschäftsführer sind hoch. Genau deshalb laden wir Sie ein zu unseremManagementforum“KI-basierte Cyber Security”.

Dort erhalten Sie: 

• Praxisberichte aus betroffenen Unternehmen 
• Experteneinschätzungen zu Haftungsfragen und Umsetzungspflichten 
• Konkrete Handlungsempfehlungen für Ihr Unternehmen 

Jetzt Ticket sichern. 

Hinweis: Dieser Blogartikel dient ausschließlich Informationszwecken und stellt keine rechtliche Beratung dar. Für verbindliche Auskünfte zu Ihren Pflichten nach NIS-2, Haftungsfragen oder rechtlichen Konsequenzen wenden Sie sich bitte an einen qualifizierten Rechtsanwalt oder die zuständigen Behörden. Die LMIS AG übernimmtkeine Haftung für Entscheidungen oder Maßnahmen, die auf Grundlage dieses Artikels getroffen werden. 

Die LMIS AG ist ein IT-Unternehmen mit Spezialisierung auf Softwareentwicklung, Managed Applications und Künstliche Intelligenz. Seit 2000 begleitet LMIS Unternehmen beim strategischen Einsatz von KI, der Digitalisierung betrieblicher Prozesse und dem sicheren Betrieb cloudbasierter Anwendungen – mit maßgeschneiderten Lösungen im Bereich Business-IT und intelligenter Unternehmenssoftware.Mit 75 Mitarbeitern unterstützt die LMIS AG mittelständische und große Unternehmen dabei, Wettbewerbsvorteile durch Digitalisierung zu realisieren, dem Fachkräftemangel mit smarter Technologie zu begegnen und sich gegen Cyber-Risiken abzusichern. Für ihre Innovationsleistung wurde dieLMIS AG mit dem Osnabrücker Wirtschaftspreis ausgezeichnet. Der Unternehmenssitz befindet sich im Coppenrath INNOVATION CENTRE in Osnabrück.

Hauptsitz

Hamburger Str. 24

D-49084 Osnabrück

Tel: +49(0)541 200 690-0

Mail: info@LMIS.de

Internet: https://LMIS.de

Posted by on 2. Oktober 2025.

Tags: neuer-ffnung, weihnachten

Categories: Allgemein

No Responses Yet

You must be logged in to post a comment.