NIS2-Richtlinie

NIS2 in der Praxis: Die 9 Pflichten der Geschäftsführung in Klartext

Stand: 15. Juli 20254 Min Lesezeit

Was drin steht

  • Wer unter NIS2 fällt, hat 21 Pflichten aus Art. 21 — neun davon liegen explizit in der Verantwortung der Geschäftsleitung und können nicht delegiert werden.
  • Die neun: Risikomanagement-Konzept, Vorfalls-Behandlung, Backup + Krise, Lieferanten-Sicherheit, Beschaffungs-Sicherheit, Wirksamkeits-Messung, Mitarbeiter-Schulung, Krypto + MFA, sichere Kommunikation.
  • Persönliche Haftung der Geschäftsleitung ist neu: bei groben Verstößen kann die Aufsicht die Eignung in Frage stellen, bis hin zum vorübergehenden Tätigkeits-Verbot.
  • Die Erst-Aufnahme braucht 6–12 Monate plus externe Begleitung — wer noch nicht angefangen hat, sollte das Quartal 3 2025 als Start-Quartal setzen, bevor das deutsche Umsetzungs-Gesetz scharf wird.
  • Vorteil 2026er Sicht: viele Mittelständler haben durch ISO 27001 oder TISAX schon 60–80 % der NIS2-Substanz — die Lücke ist meist überschaubarer als der erste Eindruck.

Wer unter NIS2 fällt, weiß jetzt: er ist drin. Die nächste Frage ist nicht „bin ich betroffen“, sondern „was muss ich konkret tun“. Art. 21 der EU-Richtlinie nennt 21 Pflichten — neun davon liegen ausdrücklich in der persönlichen Verantwortung der Geschäftsleitung. Wer das ernst nehmen will, ohne sich von Beratern in eine Endlos-Schleife treiben zu lassen, braucht eine pragmatische Liste, was wirklich zu tun ist.

Hier kommt diese Liste, in der Reihenfolge, in der wir sie mit Mandanten typisch durchgehen.

Vorab: Was die Geschäftsleitung persönlich verantwortet

Art. 20 NIS2 verpflichtet die Geschäftsleitung persönlich. Das ist eine bewusste Verschärfung gegenüber der alten NIS1-Richtlinie. Konkret heißt das:

  • Die Geschäftsleitung muss die Sicherheits-Maßnahmen genehmigen,
  • Sie muss ihre Umsetzung überwachen,
  • Sie muss geschult sein in IT-Sicherheit (regelmäßige Schulungen mit Nachweis),
  • Sie kann bei groben Verstößen persönlich zur Haftung gezogen werden — bis hin zum vorübergehenden Tätigkeits-Verbot.

Wer das nicht ernst nimmt, hat ein persönliches Problem — nicht „nur“ ein Unternehmens-Problem. Das ist der wichtigste Unterschied zu DSGVO oder anderen Compliance-Bereichen.

Pflicht 1 — Risikomanagement-Konzept

Schriftliches Dokument, das beschreibt, wie die IT- und Informations-Risiken im Unternehmen identifiziert, bewertet und behandelt werden. Mindest-Inhalt:

  • Risiko-Inventar (welche Assets sind kritisch — Server, Datenbanken, Kunden-Daten, Lieferanten-Schnittstellen),
  • Bedrohungs-Analyse (welche Angriffs-Vektoren sind realistisch — Phishing, Ransomware, Insider-Threat, DDoS),
  • Behandlungs-Plan pro Risiko (mitigieren, akzeptieren, transferieren),
  • Verantwortlichkeiten (wer macht was),
  • Review-Zyklus (mindestens jährlich, plus bei größeren Änderungen).

Realistischer Aufwand: 4–8 Wochen für die Erst-Aufnahme bei Mittelständlern, mit externer Begleitung. Pflege jährlich plus bei Ereignissen.

Pflicht 2 — Vorfalls-Behandlung mit dokumentierter Meldekette

Vorfälle müssen erkannt, dokumentiert, gemeldet und nachbehandelt werden. Die NIS2-Meldekette ist hart getaktet:

  • 24 Stunden — Erst-Meldung an das BSI (oder zuständige sektorale Behörde),
  • 72 Stunden — vorläufiger Vorfalls-Bericht mit ersten Einschätzungen,
  • 30 Tage — Abschluss-Bericht mit Ursachen-Analyse und Maßnahmen.

Was du brauchst: einen Incident-Response-Plan, ein Vorfalls-Buch, einen klar benannten Incident-Manager (intern oder extern), ein Bereitschafts-Konzept (24/7-Erreichbarkeit für kritische Vorfälle).

Pflicht 3 — Backup- und Krisen-Konzept

Backups müssen regelmäßig erstellt, getestet und vor Ransomware geschützt werden. Drei Anforderungen:

  • 3-2-1-Regel: 3 Kopien, 2 verschiedene Medien, 1 davon offline oder geographisch getrennt,
  • Wiederherstellungs-Tests: mindestens jährlich, besser quartalsweise — ein nicht-getestetes Backup ist kein Backup,
  • Ransomware-Schutz: Backups in unveränderlicher Form (immutable backups), nicht von der produktiven Umgebung aus löschbar.

Wer noch klassisches Tape-Backup nutzt oder Cloud-Backups ohne Versionierung, sollte das aktualisieren.

Pflicht 4 — Lieferanten-Sicherheit

Du musst die Sicherheit deiner Lieferanten in dein eigenes Risikomanagement einbeziehen. Praktisch:

  • Lieferanten-Inventar mit Kritikalitäts-Einstufung,
  • Sicherheits-Anforderungen vertraglich vereinbaren (oft als Anhang oder eigenes Sicherheits-Konzept),
  • Regelmäßige Überprüfung (Audits, Fragebögen, Zertifikats-Updates),
  • Vorfall-Meldepflicht für Lieferanten gegenüber dir.

Indirekter Effekt: deine Lieferanten werden bei dir nach Nachweisen fragen. Wer selbst Lieferant für NIS2-pflichtige Kunden ist, sollte das Lieferanten-Sicherheits-Konzept proaktiv aufbauen — sonst fliegt man irgendwann aus der Lieferanten-Liste.

Pflicht 5 — Sicherheit in Beschaffung, Entwicklung, Wartung

Was beschafft, entwickelt oder gewartet wird, muss sicher gestaltet sein. Praktisch:

  • Sicherheits-Kriterien bei der Software-/Hardware-Beschaffung (CVE-Historie, Update-Disziplin, Hersteller-Reputation),
  • Eigene Software wird nach Secure-Coding-Standards entwickelt (OWASP-Bewusstsein),
  • Patch-Disziplin: Sicherheits-Updates werden zeitnah eingespielt (kritische CVEs innerhalb von 30 Tagen, idealerweise 7),
  • Test-Umgebungen sind von der Produktiv-Umgebung getrennt.

Pflicht 6 — Wirksamkeits-Messung

Du musst regelmäßig prüfen, ob deine Maßnahmen wirklich wirken. Typische Werkzeuge:

  • Penetrations-Tests (mindestens jährlich, bei größeren Änderungen häufiger),
  • Audits (intern oder durch externe Prüfer),
  • Vulnerability-Scans (regelmäßig automatisiert),
  • Phishing-Tests an die eigene Belegschaft.

Wichtig: Wirksamkeits-Messung ist nicht „einmal gemacht, alles gut“. Es ist ein Zyklus — Messung, Befund, Nachbesserung, neue Messung.

Pflicht 7 — Mitarbeiter-Schulung

Belegschaft muss in IT-Sicherheit geschult werden — regelmäßig, dokumentiert, mit Wirksamkeits-Prüfung (z.B. Phishing-Tests).

Mindest-Inhalte:

  • Passwort-Hygiene + MFA,
  • Phishing-Erkennung,
  • Datenschutz-Grundlagen + Umgang mit personenbezogenen Daten,
  • Meldewege bei verdächtigen Vorfällen,
  • Sichere Nutzung mobiler Geräte (BYOD, Reise-Disziplin).

Frequenz: jährlich mindestens, bei Onboarding sofort. Für die Geschäftsleitung selbst: regelmäßig nachweisliche IT-Sicherheits-Schulung.

Pflicht 8 — Krypto + MFA

Verschlüsselung muss eingesetzt werden, wo es um Vertraulichkeit geht:

  • Daten im Transit: TLS 1.2 oder neuer für alle Web-Verbindungen, E-Mail-Verschlüsselung wo angemessen,
  • Daten at Rest: Datenbank-Verschlüsselung, Disk-Encryption auf Laptops und mobilen Geräten,
  • MFA: für alle Admin-Zugänge zwingend, für alle Mitarbeiter-Zugänge wo möglich, idealerweise per Hardware-Token oder Passkey statt SMS.

Pflicht 9 — Sichere Kommunikation

Interne und externe Kommunikationswege müssen sicher gestaltet sein. Praktisch:

  • Sichere Chat-Tools für interne Kommunikation (statt offene Plattformen),
  • Sichere Dateiübertragungs-Wege (statt E-Mail-Anhang für kritische Dokumente),
  • Sichere Notfall-Kommunikation (alternative Kanäle, wenn die primären ausfallen).

Reihenfolge in der Praxis

Wer alles auf einmal angeht, blockiert sich. Empfohlene Reihenfolge für Quartal-Setups:

  1. Quartal 1: Risikomanagement-Konzept + Vorfalls-Behandlung (Pflicht 1+2). Ohne diese Basis sind die anderen Pflichten nicht zuordenbar.
  2. Quartal 2: Backup + Krypto + MFA (Pflicht 3+8). Technische Quick-Wins mit hoher Schutz-Wirkung.
  3. Quartal 3: Lieferanten-Sicherheit + Beschaffung (Pflicht 4+5). Braucht Zeit, weil Verträge angepasst werden müssen.
  4. Quartal 4: Schulung + Wirksamkeits-Messung + sichere Kommunikation (Pflicht 6+7+9). Aufbau der Routinen.

Jahres-Routine danach: jährliches Audit + Risiko-Review, Schulungs-Auffrischung, Backup-Tests, Pen-Tests, Lieferanten-Re-Check.

Was Hannes daraus macht

NIS2-Beratung im engeren Sinne ist nicht unser Hauptfeld — dafür gibt es spezialisierte Berater. Was wir liefern: jede unserer Plattformen ist mit Standards gebaut, die auch NIS2-Substanz haben — MFA, dokumentierte Backup-Konzepte, Verschlüsselung in Transit und at Rest, EU-Hosting in Falkenstein, Audit-Logs für alle relevanten Aktionen, Update-Disziplin. Wer als Mandant unter NIS2 fällt, bekommt von uns die technische Plattform mitgeliefert — die organisatorischen Pflichten (Konzepte, Schulungen, Geschäftsführer-Verantwortung) gehören in deine Hand oder zum NIS2-Spezialisten.

Wer wissen will, ob er unter NIS2 fällt: NIS2-Anwendungsbereich für KMU. Wer die technischen Grundlagen seiner Site checken lassen will: frag Hannes.

Häufige Fragen

Reicht ISO 27001 für alle 21 NIS2-Pflichten?
ISO 27001 deckt einen Großteil ab — vor allem im Bereich ISMS, Risikomanagement, Lieferanten-Sicherheit. Aber: NIS2 verlangt zusätzlich konkrete Meldepflichten an das BSI mit harten 24h/72h/30d-Fristen, eine persönliche Geschäftsführer-Verantwortung und spezifische Vorfalls-Behandlungs-Konzepte. ISO 27001 ist eine sehr gute Basis und deckt etwa 70–80 % ab — die Lücken muss man gezielt schließen.
Was kostet eine NIS2-Einführung typischerweise?
Stark abhängig von Größe und Ist-Stand. Wer ISO 27001 schon hat, kommt auf wenige Wochen Zusatz-Aufwand für die NIS2-spezifischen Ergänzungen. Wer bei Null startet, redet von einem Projekt über 6–12 Monate mit interner Kapazität plus externer Begleitung. Spezialisierte NIS2-Beratung liegt branchenüblich im mittleren fünfstelligen Bereich für die Einführung.
Wer ist Aufsichts-Behörde in Deutschland?
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist die zentrale Aufsicht für wesentliche Einrichtungen. Bei wichtigen Einrichtungen sind teilweise sektorale Behörden zuständig — z.B. BNetzA für Telekom, BaFin für Banken. Die Vorfalls-Meldungen gehen ans BSI-Meldeportal.
Wie konkret ist die persönliche Geschäftsführer-Haftung?
Sehr konkret. Art. 20 NIS2 sieht vor, dass die Aufsicht bei groben Verstößen die Eignung der Geschäftsleitung in Frage stellen kann — bis hin zum vorübergehenden Tätigkeits-Verbot. Das ist neu und in Deutschland kontrovers diskutiert. Wer die Sicherheits-Maßnahmen formal genehmigt und überwacht hat, hat seine Pflicht erfüllt. Wer es signiert hat, ohne hinzuschauen, kann persönlich belangt werden.
Können wir die Pflichten an einen externen IT-Dienstleister auslagern?
Operative Umsetzung ja, Verantwortung nein. Du kannst die operative IT, das Monitoring, die Vorfalls-Behandlung an externe Anbieter delegieren — die Letztverantwortung der Geschäftsleitung bleibt aber bei dir. Ein guter externer Dienstleister liefert die Dokumentation und Reports, die du brauchst, um deine Verantwortung wahrzunehmen.
Was, wenn wir kleiner werden und unter die NIS2-Schwellen rutschen?
Du fällst dann formal aus der Pflicht. Praxis-Empfehlung: die aufgebauten Konzepte beibehalten — sie sind als Premium-Standard wertvoll und schützen das Unternehmen weiter. Außerdem: wenn ihr wieder wächst, müsst ihr nicht von vorn beginnen.
Wie hoch sind die Bußgelder konkret?
Für wesentliche Einrichtungen: bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, je nachdem was höher ist. Für wichtige Einrichtungen: bis 7 Mio. EUR oder 1,4 %. Zusätzlich können bei groben Verstößen die persönlichen Konsequenzen für die Geschäftsleitung kommen — die sind aus Mittelständler-Sicht oft schwerer als die Geldstrafen.

Das regeln wir — so sieht das bei uns aus.

Unsicher, wo deine Seite steht? Frag Hannes — er schaut sie sich an und sagt dir ehrlich, was zu holen ist.

Weiterlesen

20.01.2026NIS2-Sanktionen 2026: Was BSI und Aufsicht in den ersten Verfahren wirklich angesetzt haben15.09.2025NIS2-Berichtspflichten: Die 24-, 72- und 30-Tage-Kette in Klartext22.04.2025NIS2 für den Mittelstand: Wann ein KMU reinrutscht — und wann nicht