Cybersecurity

NIS2-Checkliste: Was IT-Leiter bis zur Umsetzung erledigt haben müssen

Die NIS2-Richtlinie verschärft die Cybersecurity-Anforderungen drastisch — inklusive persönlicher Geschäftsführerhaftung. Ein Umsetzungsfahrplan.

CIO-Wissen Redaktion· 2026-03-26 ·3 Min.

Die NIS2-Richtlinie (EU 2022/2555) weitet den Kreis der betroffenen Unternehmen massiv aus: Statt bisher weniger tausend Betreiber kritischer Infrastruktur fallen nun geschätzt über 30.000 Unternehmen in Deutschland unter die verschärften Cybersecurity-Pflichten. Die Umsetzung in deutsches Recht verzögert sich zwar, aber die Anforderungen sind klar — und die Geschäftsführung haftet persönlich.

Sind Sie betroffen?

NIS2 unterscheidet zwischen "wesentlichen" und "wichtigen" Einrichtungen. Betroffen sind Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in 18 Sektoren:

  • Wesentlich (strengere Aufsicht): Energie, Transport, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung, Weltraum
  • Wichtig: Post, Abfall, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung

Neu und oft übersehen: Die Lieferketten-Klausel. Auch Zulieferer betroffener Unternehmen müssen Sicherheitsstandards nachweisen. Ein mittelständischer IT-Dienstleister mit 60 Mitarbeitenden, der Krankenhäuser betreut, fällt damit unter NIS2.

Meldepflichten: 24 Stunden, nicht 72

NIS2 verschärft die Meldepflichten bei Sicherheitsvorfällen erheblich:

  • 24 Stunden: Erste Meldung an BSI (Frühwarnung) — auch am Wochenende
  • 72 Stunden: Detaillierte Vorfallsmeldung mit erster Bewertung der Auswirkungen
  • 1 Monat: Abschlussbericht mit Ursachenanalyse und ergriffenen Maßnahmen

Das bedeutet: Sie brauchen einen Incident-Response-Prozess, der rund um die Uhr funktioniert. Eine Meldung um 3 Uhr morgens am Sonntag muss genauso möglich sein wie am Dienstag um 10 Uhr. Wer keine 24/7-Bereitschaft hat, braucht einen externen Incident-Response-Dienstleister.

Die persönliche Haftung der Geschäftsführung ist der eigentliche Gamechanger von NIS2. Cybersecurity ist damit keine IT-Aufgabe mehr — es ist Chefsache. Und zwar nicht optional.

Technische und organisatorische Maßnahmen

NIS2 fordert einen risikobasierten Ansatz mit mindestens diesen Elementen:

  • Risikoanalyse: Systematische Bewertung der IT-Risiken, mindestens jährlich aktualisiert
  • Incident Handling: Dokumentierte Prozesse für Erkennung, Reaktion und Wiederherstellung
  • Business Continuity: Backup-Management, Disaster Recovery, Krisenmanagement
  • Supply Chain Security: Sicherheitsanforderungen an Lieferanten und Dienstleister vertraglich festlegen
  • Kryptografie und Verschlüsselung: Angemessener Einsatz nach Stand der Technik
  • Zugangskontrolle: Multi-Faktor-Authentifizierung für privilegierte Zugänge, Zero-Trust-Ansätze
  • Schulungen: Regelmäßige Cybersecurity-Awareness für alle Mitarbeitenden, speziell für die Geschäftsleitung

Geschäftsführerhaftung — das unterschätzte Risiko

NIS2 macht Cybersecurity zur persönlichen Verantwortung der Geschäftsleitung:

  • Genehmigungspflicht: Die Geschäftsführung muss Risikomanagement-Maßnahmen formell genehmigen
  • Schulungspflicht: Geschäftsführer müssen selbst an Cybersecurity-Schulungen teilnehmen
  • Persönliche Haftung: Bei Pflichtverletzungen können Geschäftsführer persönlich haftbar gemacht werden
  • Bußgelder: Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes für wesentliche Einrichtungen

Das ist kein theoretisches Risiko. Die Aufsichtsbehörden erhalten mit NIS2 deutlich erweiterte Befugnisse für Audits und Durchsetzung.

Was das für Ihre IT-Strategie bedeutet

  1. Führen Sie sofort eine Betroffenheitsprüfung durch — prüfen Sie Sektor, Unternehmensgröße und Lieferkettenbeziehungen
  2. Implementieren Sie einen 24/7-fähigen Incident-Response-Prozess — intern oder über einen MSSP
  3. Dokumentieren Sie Ihre Risikoanalyse formal und lassen Sie sie von der Geschäftsführung unterzeichnen
  4. Buchen Sie eine Cybersecurity-Schulung für Ihre Geschäftsleitung — die Teilnahme ist Pflicht, nicht Kür
  5. Überprüfen Sie alle Lieferantenverträge auf Cybersecurity-Klauseln — NIS2 macht Sie für Ihre Lieferkette mitverantwortlich

Weitere Artikel

Compliance

AI Act Compliance: Was IT-Leiter jetzt umsetzen müssen

Die EU-KI-Verordnung ist in Kraft. Ein pragmatischer Leitfaden für Risikoklassifizierung, Fristen und die ersten konkreten Compliance-Schritte.

Daten & Analytics

Datenqualität als KI-Fundament: Warum Garbage In, Garbage Out teurer wird

KI-Modelle sind nur so gut wie ihre Daten. Wie Sie Datenqualität messbar machen und systematisch verbessern — bevor Ihre KI-Projekte daran scheitern.

Cloud-Strategie

FinOps im Mittelstand: Cloud-Kosten verstehen, steuern, optimieren

Cloud-Ausgaben wachsen schneller als der Nutzen? FinOps bringt Transparenz und Kostenkontrolle — ohne die Agilität zu opfern.