6. März: Haften Sie persönlich? Sind Sie NIS2-pflichtig?

Marcel Rieger

Managing Director, Cyber Risk

NIS2-Pflicht: Ist Ihr Unternehmen betroffen?

Die neue EU-weite Richtlinie NIS2 (Network and Information Security Directive 2) ist da. Sie soll die IT-Sicherheit in kritischen Sektoren stärken.

Was Sie als Inhaber oder Geschäftsführer im Mittelstand wissen müssen: NIS2 betrifft deutlich mehr Unternehmen als ihre Vorgängerversion. Der 6. März markiert den Beginn eines entscheidenden Prozesses.

Sind Sie NIS2-pflichtig? Ein 5-Minuten Ja/Nein-Check

Viele Mittelständler unterschätzen die Reichweite von NIS2. Es geht nicht nur um Betreiber kritischer Infrastruktur im klassischen Sinne.

Auch Zulieferer, Digitalanbieter oder Unternehmen in speziellen Sektoren können betroffen sein. Eine genaue Prüfung ist unerlässlich, denn Ignorieren kann weitreichende Folgen haben.

• Hat Ihr Unternehmen 50 oder mehr Mitarbeiter UND einen Jahresumsatz von mindestens 10 Millionen Euro?
• Operieren Sie in einem der regulierten Sektoren (z.B. Energie, Verkehr, Banken, Finanzmärkte, Gesundheitswesen, digitale Infrastruktur, Abwasser, Lebensmittel, Spezial-Maschinenbau, Automobilindustrie, Chemische Industrie, Abfallwirtschaft)?
• Sind Sie der einzige Anbieter einer Dienstleistung, deren Ausfall erhebliche Störungen verursachen würde (auch wenn Sie kleiner sind)?

Wenn Sie eine oder mehrere dieser Fragen mit Ja beantwortet haben, besteht eine hohe Wahrscheinlichkeit, dass NIS2 Ihr Unternehmen betrifft. Der 6. März 2026 ist der Stichtag für die Registrierung. Es ist Zeit zu handeln.

Was passiert bei Nichthandeln?

Als Geschäftsführer tragen Sie die volle Verantwortung für die Einhaltung von NIS2 in Ihrem Unternehmen. Bei Nichteinhaltung drohen empfindliche Bußgelder – bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes.

Die Folgen gehen weit darüber hinaus.

• Persönliche Haftung: Die Richtlinie sieht ausdrücklich die Haftung der Geschäftsleitung vor, Sie haften persönlich.
• Schaden an Kundenbeziehungen: Unsicherheit bei Ihren Kunden, sowie potenzieller Vertrauensverlust.
• Produktionsstillstand & Lieferengpässe: Ein Cybervorfall kann Ihre gesamte Produktion lahmlegen und Ihre Lieferketten empfindlich stören.
• Massiver Reputationsverlust: Die Öffentlichkeit und Ihre Geschäftspartner werden über Sicherheitsschwächen informiert.

Diese Risiken sind keine bloßen Gedankenspiele, sondern reale, geschäftsbedrohende Szenarien.

Ihre 3 entscheidenden Schritte zur NIS2-Compliance

Der Gesetzgeber erwartet, dass Sie frühzeitig aktiv werden. Verstreichen Sie die Fristen nicht.

Wir führen Sie durch die notwendigen Schritte:

• Schritt 1: Registrierungspflicht klären & umsetzen (mit Stichtag 06. März). Wir prüfen Ihre Betroffenheit und unterstützen Sie bei der korrekten Registrierung beim BSI.
• Schritt 2: Geschäftsleitung aktiv schulen. Die Richtlinie verlangt explizit, dass die Geschäftsleitung IT-Sicherheitsrisiken versteht und Kompetenzen zur Risikobewertung erwirbt. Wir bieten praxisnahe Workshops, die Sie auf Ihre Haftungsverpflichtungen vorbereiten.
• Schritt 3: Notfallplan erstellen und testen. Ein Cybervorfall ist keine Frage des ob, sondern des wann. Wir helfen Ihnen, einen rechtssicheren und praxistauglichen Notfallplan zu entwickeln, der Ihr Unternehmen im Ernstfall handlungsfähig hält und die nötigen Meldepflichten erfüllt.

NIS2 ist eine Chance

Auch wenn NIS2 zunächst eine Pflicht darstellt – verstehen Sie es als Investition in die Zukunftsfähigkeit Ihres Unternehmens.

Eine gestärkte IT-Sicherheit ist ein Wettbewerbsvorteil und schützt Ihr Geschäftsmodell nachhaltig.