Die Cybersicherheitslandschaft in Europa erfährt gerade eine radikale Veränderung. Mit der NIS2-Richtlinie (Network and Information Security Directive) verschärft die EU die Anforderungen an die digitale Resilienz massiv. Doch was bedeutet das konkret für den deutschen Mittelstand und die Führungsetagen von Aktiengesellschaften?

 

1. Was ist NIS2 eigentlich?

NIS2 ist die Nachfolgerin der ersten NIS-Richtlinie aus dem Jahr 2016. Ziel ist es, ein einheitlich hohes Sicherheitsniveau für Netz- und Informationssysteme in der gesamten EU zu schaffen. Im Gegensatz zur alten Regelung deckt NIS2 deutlich mehr Branchen ab und führt strenge Aufsichtsmaßnahmen sowie persönliche Haftungsrisiken ein.

 

2. Wer ist betroffen? (Der Anwendungsbereich)

Die Betroffenheit wird nicht mehr nur über die „Kritikalität“ definiert, sondern primär über die Größe des Unternehmens und den Sektor.

Grundsätzlich sind Unternehmen betroffen, die:

 

• • In einem der 18 definierten Sektoren tätig sind (z.B. Energie, Gesundheit, Bankwesen, aber auch Abfallwirtschaft, Lebensmittel und Chemie).

• • Mehr als 50 Mitarbeiter haben oder einen Jahresumsatz/eine Jahresbilanz von über 10 Mio. EUR aufweisen.
    
    

3. Welche Maßnahmen müssen umgesetzt werden?

Unternehmen müssen ein Risikomanagement für die Cybersicherheit implementieren. Dazu gehören unter anderem:

 

• • Kryptografie und Verschlüsselung.

• • Sicherheit der Lieferkette: Unternehmen müssen auch die Sicherheit ihrer Zulieferer prüfen.

• • Business Continuity: Pläne für das Backup-Management und die Krisenbewältigung im Ernstfall.

• • Meldepflichten: Vorfälle müssen innerhalb von 24 Stunden (Frühwarnung) gemeldet werden.
    
    

4. Die Auswirkungen bei Nichtbeachtung

Wer die Maßnahmen ignoriert, spielt mit der Existenz des Unternehmens. Die Konsequenzen sind zweigeteilt:

 

• • Hohe Bußgelder: Ähnlich wie bei der DSGVO drohen Sanktionen von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist).

• • Betriebsunterbrechungen: Ohne Schutz drohen nach Ransomware-Angriffen wochenlange Stillstände.

• • Reputationsverlust: Der Vertrauensverlust bei Kunden und Partnern ist oft schwerwiegender als das Bußgeld selbst.
    
    

5. Fokus Geschäftsführung & Vorstand: Die persönliche Haftung

Dies ist der wohl kritischste Punkt für Aktiengesellschaften und GmbHs. NIS2 macht Cybersicherheit zur Chefsache.

Was die Führungsebene wissen muss:

 

1. 1. Billigungs- und Überwachungspflicht: Die Geschäftsführung muss die Cybersecurity-Maßnahmen nicht nur absegnen, sondern deren Umsetzung aktiv überwachen.
   2. Fortbildungspflicht: Vorstände und Geschäftsführer sind gesetzlich verpflichtet, regelmäßig an Schulungen teilzunehmen, um die Risiken einschätzen zu können.
   3. Persönliche Haftung: Bei schuldhafter Verletzung der Sorgfaltspflichten sieht NIS2 vor, dass die Leitungsorgane mit ihrem Privatvermögen für Schäden haften können, die dem Unternehmen durch die Vernachlässigung der Sicherheit entstehen.
   4. Regressansprüche: Aktiengesellschaften können (und müssen oft) ihre Vorstände in Regress nehmen, wenn Bußgelder aufgrund mangelnder Aufsicht verhängt wurden.
      
      

1.  

1.  

1.  

Wichtig: Eine Delegation der Aufgabe an die IT-Abteilung entbindet die Geschäftsführung nicht von der Gesamtverantwortung.

Fazit:

NIS2 ist kein reines IT-Projekt, sondern ein Compliance- und Haftungsthema. Für Vorstände von Aktiengesellschaften bedeutet dies, dass Cybersecurity fest in die Unternehmensstrategie integriert werden muss, um rechtliche und finanzielle Konsequenzen abzuwenden.

Unsere Empfehlung – Die Cyber-Versicherung

Im Ernstfall zählt jede Minute. Wir bieten Ihnen passgenauen Versicherungsschutz:

Soforthilfe im Notfall 24/7

Direkter Zugang zu einem Krisendienstleister für eine schnelle Experteneinschätzung. Sie erhalten sofortige Unterstützung durch IT-Forensiker, PR-Berater und Datenschutzanwälte zur professionellen Schadenbegrenzung und Ursachenermittlung.

Cyber-Betriebsunterbrechung & Eigenschäden

Schutz und Kostenübernahme bei Geschäftsstillstand durch IT-Ausfälle. Wir erstatten den Ertragsausfall während des Stillstands und übernehmen die immensen Kosten für die Wiederherstellung von Daten und Systemen.

Cyber-Haftpflichtversicherung

Umfassende Absicherung bei Ansprüchen Dritter (z. B. bei DSGVO-Verstößen oder unbewusst weitergegebenen Viren) sowie Abmahnschutz bei Rechtsverletzungen durch Werbung und Marketing.