Kolumne für Netzwerk Südbaden, Ausgabe August 2025 unter dem Titel „Cybersicherheit wird Chefsache“
Mit NIS2 verschärft die Europäische Union die Anforderungen an Cybersicherheit. EU-weit ist die Richtlinie in Kraft, in Deutschland steht die Umsetzung in nationales Recht noch aus. Wer künftig nicht vorbereitet ist, riskiert Bußgelder – und als Chef persönliche Haftung.
Als sich bei einem Medizintechnikhersteller der erste Kunde nach einem NIS2-Nachweis erkundigte, war die Reaktion zögerlich. NIS2? Das gilt doch nur für kritische Infrastruktur. Doch ein Blick in die Vorgaben brachte Klarheit: Auch Unternehmen außerhalb der bisherigen sogenannten KRITIS-Regelung müssen künftig hohe Anforderungen erfüllen – inklusive klarer Verantwortlichkeiten auf Führungsebene. Das Unternehmen zählte zu den „wichtigen Einrichtungen“.
Was viele nicht wissen: Mit NIS2 weitet sich der Anwendungsbereich massiv aus. Rund 30.000 Unternehmen in Deutschland sind von NIS-2 betroffen, darunter viele mittelständische Betriebe in IT, Maschinenbau, Medizintechnik, digitaler Infrastruktur oder Energie. Besonders relevant ist, dass die Verantwortung explizit bei der Geschäftsführung liegt. Und: Viele betroffene Kunden fordern Nachweise über die Sicherheitsmaßnahmen ihrer Dienstleister. Wer hier nicht liefern kann, verliert im Zweifel den Auftrag.
NIS2 verlangt umfassendes Risikomanagement: technische Schutzmaßnahmen, Incident Response, Business Continuity, Backups, Verschlüsselung, Zugangskontrollen und Schulungen. Sicherheitsvorfälle müssen binnen 24 Stunden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden – mit Abschlussbericht binnen 72 Stunden. Wer nicht vorbereitet ist, gerät schnell in Bedrängnis.
Die Sanktionen sind drastisch: Für „wesentliche Einrichtungen“ drohen Strafen von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes, für „wichtige Einrichtungen“ bis zu sieben Millionen Euro beziehungsweise 1,4 Prozent vom Umsatz. Vor allem: Die Leitungsebene wird haftbar. Bei Pflichtverletzung drohen auch persönliche Konsequenzen.
BSI-Präsidentin Claudia Plattner bringt es auf den Punkt: „Die NIS2-Richtlinie macht Cybersicherheit zur Chefinnen- und Chefsache: Geschäftsführungen betroffener Einrichtungen sind verpflichtet, Risikomanagementmaßnahmen umzusetzen, deren Umsetzung zu überwachen und sich zu Cyberrisiken schulen zu lassen.“ Aktuelle BSI-Warnungen verdeutlichen die Dringlichkeit. Wer nicht vorbereitet ist, riskiert neben finanziellen Schäden auch Reputationsverluste – und persönliche Konsequenzen für die Geschäftsleitung.
Der eingangs erwähnte Medizintechnikhersteller setzte auf eine strukturierte Gap-Analyse: Welche Systeme sind kritisch? Was ist geregelt, wo bestehen Lücken? Gemeinsam mit einem spezialisierten IT-Dienstleister entstand ein Maßnahmenplan – von Netzwerksicherheit bis Notfallmanagement. Auch die Geschäftsführung war aktiv eingebunden. Bei vielen anderen Unternehmen ist der Umsetzungsbedarf noch groß – und die Zeit langsam knapp, um Sanktionen zu vermeiden. Noch wurde die Richtlinie nicht in deutsches Recht überführt – doch der Countdown läuft, und mit ihm steigt der persönliche Druck auf Geschäftsführer, die bisher nicht gehandelt haben.
Der Autor
Tobias Leinweber ist Vorstand für Vertrieb, Marketing und Entwicklung der Continum AG. Neben eignen Cloud-Lösungen made in Germany ist der Freiburger Clouddienstleister Azure, AWS- sowie IONOS Partner und unterstützt Unternehmen auf dem sicheren Weg in die Cloud.
