Ein Mitarbeiter eines mittelständischen Unternehmens im Gesundheitswesen weist darauf hin, dass aufgrund der Unternehmensgröße (über 100 Beschäftigte) und der Branchenzugehörigkeit eine Verpflichtung zur Registrierung und Meldung nach dem BSIG bzw. im Kontext der NIS2-Richtlinie bestehen könnte. Der unmittelbare Vorgesetzte lehnt eine entsprechende Prüfung oder Umsetzung jedoch ab – mit dem Argument, dies sei mit zusätzlichem Aufwand verbunden. Der Hinweisgeber sieht sich dadurch in der ordnungsgemäßen Erfüllung seiner arbeitsvertraglichen Pflichten behindert und nutzt den vorgesehenen Meldekanal im Kontext des Hinweisgeberschutzgesetzes (HinSchG).
Unternehmerisches Risiko
Die Situation ist aus mehreren Gründen kritisch: Zum einen besteht bei Vorliegen der Voraussetzungen im NIS2-Kontext eine klare gesetzliche Verpflichtung zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese ist nicht optional, sondern integraler Bestandteil der regulatorischen Anforderungen. Bereits die vorbereitenden Schritte zur Registrierung sind strukturell vorgesehen und notwendig, um die Pflichten überhaupt erfüllen zu können.
Zum anderen zeigt der Fall ein typisches Organisationsversagen: Entscheidungen über Compliance-relevante Themen werden auf operativer Ebene blockiert – ohne Einbindung der Geschäftsleitung. Dabei liegt die Verantwortung für die Einhaltung der NIS2-Anforderungen ausdrücklich auf Leitungsebene. Die Konsequenzen können erheblich sein:
- Bußgelder bei unterlassener Registrierung
- persönliche Haftungsrisiken für die Geschäftsführung
- strukturelle Schwächen im Risikomanagement
- Reputations- und Vertrauensverlust
Besonders kritisch: Das bewusste Ignorieren gesetzlicher Pflichten kann im Ernstfall als Pflichtverletzung gewertet werden.
Lösung
Durch die eingegangene Meldung konnte der Sachverhalt rechtzeitig geprüft werden. Ergebnis: Das Unternehmen fällt aufgrund von Größe und Sektor eindeutig in den Anwendungsbereich der NIS2-Regulierung. Es wurde daher empfohlen,
- die erforderliche Registrierung im BSI-Portal vorzunehmen,
- die entsprechenden Pflichten technisch und organisatorisch zu verankern,
- und die notwendigen Präventions- und Sicherheitsmaßnahmen einzuleiten.
Parallel wurde der verantwortliche Vorgesetzte intern zur Rechenschaft gezogen. Die Blockadehaltung hätte andernfalls zu einem erheblichen Schaden für das Unternehmen führen können.
Einordnung für die Praxis
Der Fall verdeutlicht ein häufig unterschätztes Risiko: Nicht fehlendes Wissen ist das Problem – sondern fehlende Umsetzung trotz vorhandener Hinweise. Ein funktionierendes Hinweisgebersystem entfaltet seinen Mehrwert genau in solchen Situationen. Es schafft Transparenz, ermöglicht Eskalation und schützt Unternehmen vor internen Fehlentscheidungen. Gleichzeitig zeigt sich: Compliance darf nicht von Einzelpersonen oder Hierarchieebenen abhängig sein. Sie muss strukturell abgesichert und von der Geschäftsleitung getragen werden.