Im Unterschied zur Datenschutz-Grundverordnung (DSGVO) ist die Network and Information Security Directive 2 (NIS2) eine EU-Richtlinie. Die Mitgliedsstatten der Europäischen Union müssen diese Richtlinien in nationales Recht überführen. Dies eröffnet den Staaten zwar einen gewissen Gestaltungsspielraum, verpflichtet sie aber gleichzeitig, Mindeststandards verbindlich in Gesetzesform zu übertragen. Für Unternehmen bedeutet das: Sie müssen die geplanten nationalen Vorschriften genau beobachten und zeitnah umsetzen, sobald sie in Kraft treten.
NIS2 als dringend notwendiger Impuls
Die ursprüngliche Frist zur Umsetzung der NIS2-Richtlinie in Deutschland lief im Oktober 2024 ab. Die Vorgängerregierung arbeitete bis März 2025 an einem NIS2-Umsetzungsgesetz (NIS2UmsuCG), das jedoch aufgrund der Regierungs¬umbildung bisher nicht verabschiedet wurde. Nun beginnt das Verfahren im neuen Bundestag erneut. Unternehmen sollten diese Übergangsphase nutzen, um sich mit den NIS2-Anforderungen vertraut zu machen und erste Maßnahmen einzuleiten. „Denn: Da es eine verabschiedete NIS2-Richtline der EU gibt, gilt: Aufgeschoben ist nicht aufgehoben! Das NIS2-Umsetzunggesetz in Deutschland und den anderen EU-Mitgliedsstatten wird kommen“, erklärt RA Erich Beer, Head of Legal beim Compliance-Spezialisten Ratisbona Compliance aus Regensburg.
„Aufgeschoben ist nicht aufgehoben! Das NIS2-Umsetzunggesetz in Deutschland und den anderen EU-Mitgliedsstatten wird kommen.“
Erweiterter Anwendungsbereich und konkrete Pflichten
NIS2 aktualisiert und stärkt die Cyber-Sicherheitsstandards in der EU im Vergleich zu NIS1. Anwendungsbereiche werden erweitert, zudem ist eine strengere Meldepflicht für Sicherheitsvorfälle und eine engere Zusammenarbeit zwischen den EU-Mitgliedstaaten vorgeschrieben. „Damit wird den wachsenden und sich verändernden Cyber-Bedrohungen mit einer einheitlichen und robusten Verteidigungslinie begegnet“, so Beer weiter. Waren bislang vor allem „kritische Infrastrukturen“ betroffen, werden künftig mehrere Zehntausend Unternehmen die neuen Vorschriften umsetzen müssen. Dazu zählen unter anderem:
- Risikomanagement: Etablierung eines strukturierten Prozesses zur Identifikation, Bewertung und Steuerung von Cyberrisiken.
- Schulungspflichten: Pflicht¬unterweisungen für Geschäftsleitungen und leitende Mitarbeitende im Bereich Cybersicherheit.
- Maßnahmenkatalog: Verpflichtung zu technischen, organisatorischen und operativen Maßnahmen nach internationalen Standards.
Haftungsrisiken für die Geschäftsleitung
Mit NIS2 hebt die EU die Verantwortung für das Thema Cybersicherheit auch klar auf die Chefetage. „Nachdem die Geschäftsführung (vgl. § 43 Abs.2 GmbHG) grundsätzlich unterschiedliche Sorgfalts- und Treupflichten treffen, insbesondere in Bezug auf die sogenannte Legalitätspflicht sowie die Compliance-Überwachungspflicht, hat die Geschäftsführung dafür Sorge zu tragen hat, dass gesetzgeberische Vorgaben (rechtzeitig) umgesetzt und geeignete Maßnahmen getroffen werden, um eine unternehmerische Gefährdung zu vermeiden“, ordnet Beer ein. „Für den Fall einer schuldhaften Pflichtverletzung und hierdurch bedingten Schaden kommt eine Haftung des Geschäftsführers als Organ, die sogenannte Innenhaftung, durchaus in Betracht – und zwar ungeachtet eines möglichen Bußgeldes zu Lasten des Unternehmens.“ Gerade Inhaber und Geschäftsführer sollten sich daher bereits jetzt mit dem Thema NIS2 beschäftigen, um weder die Sicherheit des eigenen Unternehmens noch Bußgelder zu riskieren.
Lieferkettenprüfung und Dokumentationspflicht
Ein weiterer Grund, der für eine zeitnahe Beschäftigung mit NIS2 spricht, ist strategischer Natur: „NIS2 wird zu dem Cybersicherheitsstandard in der EU werden“, ist sich Christian Volkmer, Geschäftsführer der Ratisbona Compliance, sicher. „Das Thema adressiert neben den unmittelbar betroffenen Unternehmen auch diejenigen Firmen, die mittelbar, etwa als Zulieferer, betroffen sind.“ Denn der NIS2-Pflichtenkatalog erstreckt sich auch über die Lieferkette. Betroffene Unternehmen müssen nicht nur Ihre eigene IT-Infrastruktur, sondern auch jene der Dienstleister und Zulieferer in Risikoanalysen und Sicherheitsmaßnahmen einbeziehen. Nachgelagerte Unternehmen, die keine NIS2-Compliance nachweisen können, müssen daher mittelfristig mit Wettbewerbsnachteilen rechnen.
Fazit: Durch proaktives Handeln sichern Sie nicht nur Ihre Unternehmensprozesse, sondern reduzieren auch das persönliche Haftungsrisiko auf Geschäftsleitungsebene. Setzen Sie jetzt die richtigen Prioritäten und bereiten Sie Ihr Unternehmen auf das Inkrafttreten von NIS2 vor.
