Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Kraft. Ohne Übergangsfrist, ohne Kulanzperiode. Für rund 30.000 Unternehmen in Deutschland bedeutet das: Cybersicherheit ist ab sofort eine Führungspflicht mit persönlicher Haftung. Wer das als IT-Thema behandelt, unterschätzt fundamental, was auf dem Spiel steht.

Vom Regulierungsrahmen zur Managementrealität

Die EU-Richtlinie NIS2, in deutsches Recht umgesetzt durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), markiert einen historischen Bruch in der deutschen Regulierungslandschaft. Erstmals haftet die Geschäftsführung persönlich für das Versagen von Cybersicherheitsmaßnahmen. §38 BSIG-neu macht dies explizit: Leitungsorgane sind verpflichtet, die Umsetzung zu überwachen und können bei Versagen persönlich haftbar gemacht werden. Das ist keine abstrakte Rechtskonstruktion. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann nach §38 BSIG Tätigkeitsverbote für natürliche Personen in Managementfunktionen anordnen. Dieses Instrument ist bewusst gewählt worden, um das Thema Cybersicherheit strukturell aus der IT-Abteilung auf die Führungsebene zu heben.

Wer betroffen ist und wie stark

Der Geltungsbereich von NIS2 ist gegenüber der Vorgängerrichtlinie drastisch ausgeweitet worden. Waren bisher rund 4.500 Organisationen reguliert, sind es nun etwa 29.500 bis 30.000 Unternehmen in 18 Sektoren, von Energie, Wasser und Gesundheit über das verarbeitende Gewerbe bis hin zu digitaler Infrastruktur und Forschungseinrichtungen. Betroffen sind grundsätzlich alle Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in den definierten Sektoren. Das Gesetz unterscheidet zwischen „besonders wichtigen Einrichtungen“ (große Unternehmen in Hochkritikalitätssektoren) und „wichtigen Einrichtungen“ (mittlere Unternehmen und weitere Sektoren). Für erstere gelten Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent. Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Unternehmen, die sie versäumt haben, befinden sich bereits in einem bußgeldriskanten Zustand.

NIS2 auf einen Blick:

In Kraft seit: 6. Dezember 2025 (NIS2UmsuCG, BGBl. 2025 I Nr. 301)

– Betroffene Unternehmen in Deutschland: ca. 29.500–30.000
– Sektoren: 18, darunter Energie, Gesundheit, Verkehr, Wasser, IT, Produktion
– Schwellenwert: ab 50 Mitarbeiter oder 10 Mio. € Jahresumsatz in relevanten Sektoren
– Bußgeld (besonders wichtige Einrichtungen): bis 10 Mio. € oder 2 % Jahresumsatz
– Persönliche Haftung der Geschäftsleitung: §38 BSIG-neu

Die zehn Maßnahmenbereiche: Was nachweisbar umgesetzt sein muss

§30 BSIG-neu definiert zehn Kernbereiche des Risikomanagements, die Unternehmen implementieren und entscheidend dokumentieren müssen. Darunter fallen Risikoanalyse und Sicherheitskonzept, Incident Management, Business Continuity, Lieferkettensicherheit, Kryptographie und Verschlüsselung sowie Zugangs- und Berechtigungsmanagement. Das Adjektiv „nachweisbar“ ist hier programmatisch: Wer die Maßnahmen umsetzt, ohne Dokumentation zu führen, erfüllt NIS2 nicht.

Besonders relevant für die Praxis ist Maßnahmenbereich 8: Kryptographie und Verschlüsselung. Er betrifft direkt das Management digitaler Zertifikate und kryptographischer Schlüssel, ein Bereich, in dem viele Unternehmen keine dokumentierten, überprüfbaren Prozesse haben. Hier konvergiert NIS2 mit den operativen Anforderungen des Certificate Lifecycle Managements.

Governance als Kernaufgabe: Was Unternehmen jetzt brauchen

NIS2-Compliance beginnt nicht mit einer technischen Maßnahme. Sie beginnt mit einer Governance-Entscheidung: Wer ist verantwortlich? Welche Prozesse sind dokumentiert? Wie wird die Geschäftsleitung regelmäßig über den Sicherheitsstatus informiert? Wie ist die Eskalation geregelt? In der Praxis empfiehlt sich ein gestuftes Vorgehen. Der erste Schritt ist ein strukturiertes GAP-Assessment gegen die Anforderungen von ISO 27001, NIST CSF und NIS2. Es liefert eine dokumentierte Analyse des Ist-Zustands, eine Reifegradmessung und einen priorisierten Maßnahmenplan, das Fundament für nachweisbares Handeln.

Unternehmen, die diesen Weg noch nicht gegangen sind, sollten jetzt handeln. Nicht weil das BSI morgen vor der Tür steht, sondern weil die Dokumentation des eigenen Sicherheitsstatus im Ernstfall, bei einem Vorfall, bei einer Prüfung, bei einem Rechtsstreit, den Unterschied zwischen nachgewiesener Sorgfalt und persönlicher Haftung ausmacht.

Fazit: NIS2 als Katalysator für reife Sicherheitskultur

NIS2 ist unbequem. Es erfordert Zeit, Ressourcen und die Bereitschaft, Cybersicherheit als strategisches Managementthema zu behandeln. Aber es bietet auch eine Chance: Organisationen, die den durch NIS2 erzwungenen Reifegrad nutzen, um Cybersicherheit dauerhaft auf Vorstands- und Geschäftsführerebene zu verankern, werden besser geschützt, haften seltener und gewinnen das Vertrauen von Kunden, Partnern und Versicherern. Der erste Schritt ist immer derselbe: ein ehrliches Lagebild. Ohne das bleibt NIS2 eine abstrakte Pflicht. Mit ihm wird sie zur Grundlage nachhaltiger Resilienz.