NIS2 – Neue Cybersecurity-Pflichten, Haftungsrisiken und Herausforderungen
Cyberangriffe gehören heute zu den zentralen Risiken moderner Staaten und Unternehmen. Besonders gefährdet sind die sogenannten kritischen Infrastrukturen.
1. Was sind kritische Infrastrukturen?
Der Begriff der kritischen Infrastruktur geht zurück auf die EU-Richtlinie 2008/114/EG. Sie definiert kritische Infrastruktur als Anlagen oder Systeme, die für die Aufrechterhaltung wesentlicher gesellschaftlicher Funktionen unverzichtbar sind und deren Störung erhebliche Auswirkungen auf einen Mitgliedstaat hätte.
2. Warum NIS2? – Erweiterung & Verschärfung der Vorgängerrichtlinie
Die ursprüngliche NIS-Richtlinie von 2016 war der erste europäische Versuch, ein Mindestsicherheitsniveau zu schaffen. Deutschland hatte viele Anforderungen bereits vorweggenommen, etwa im IT-Sicherheitsgesetz und den BSI-Prüfungen. Am 13.11.2025 hat der Bundestag das NIS2-Umsetzungsgesetz beschlossen und damit ein Jahr nach Ablauf der Frist die NIS2-RL umgesetzt. Ziel der NIS2-Richtlinie ist es, die Resilienz und Cybersicherheit in allen EU Mitgliedstaaten deutlich zu stärken. Dazu wurde der Begriff der kritischen Infrastruktur erweitert, sodass nun wesentlich mehr Unternehmen strenge Sicherheitsvorgaben erfüllen müssen. Das deutsche Umsetzungsgesetz passt das BSI-Gesetz entsprechend an und führt erweiterte Meldepflichten, umfassende Risikomanagementanforderungen sowie neue Leitungs- und Aufsichtspflichten – auch für nachgelagerte Bundesbehörden – ein.
Mit NIS2, der Richtlinie (EU) 2022/2555, reagiert die EU auf die deutlich gestiegene Bedrohungslage und erweitert sowohl:
– den sachlichen Anwendungsbereich,
– den persönlichen Anwendungsbereich,
– die technischen und organisatorischen Pflichten,
– die Governance-Anforderungen,
– und die Befugnisse der Aufsichtsbehörden.
3. Erweiterter Anwendungsbereich
3.1 Mehr Sektoren – insgesamt 18 Bereiche
NIS2 unterscheidet zwei Kategorien:
– wesentliche Einrichtungen (z. B. Energie, Verkehr, digitale Infrastruktur, öffentliche Verwaltung)
– wichtige Einrichtungen (z. B. Abfall, Chemie, Lebensmittelproduktion)
Beide Kategorien haben nahezu identische Pflichten – die Aufsicht ist jedoch für wesentliche Einrichtungen strenger.
3.2 Ausweitung auf mittelgroße Unternehmen
Neu ist: Die Schwelle liegt bei 50 Beschäftigten und 10 Mio. € Umsatz.
Damit wächst der Kreis der betroffenen Unternehmen von einigen Hundert auf mehrere Tausend in Deutschland
4. Kernpflichten der Richtlinie – Artikel 21 und 23 NIS2
4.1 Artikel 21 NIS2 – Risikomanagementmaßnahmen
Art. 21 enthält einen umfassenden Pflichtenkatalog aus zehn Mindestmaßnahmen, darunter:
– Risikoanalyse
– Incident-Response & Krisenmanagement
– Notfall- und Wiederanlaufpläne
– Lieferkettensicherheit
– Sichere Systementwicklung
– Schwachstellenmanagement
– Wirksamkeitsprüfungen
– Cyberhygiene & Schulungen
– Kryptografie Multi-Faktor-Authentifizierung & sichere Kommunikation
– Besonders relevant: Lieferkettensicherheit (Art. 22) – erstmals explizit als Pflicht aufgenommen.
4.2 Artikel 23 – Meldepflichten
Bei erheblichen Vorfällen gilt ein mehrstufiges Meldewesen:
– Early Warning nach 24 Stunden
– ausführliche Meldung nach 72 Stunden
– Abschlussbericht nach spätestens einem Monat
Die Meldung erfolgt an das CSIRT des jeweiligen Mitgliedstaats (in Deutschland: BSI-CSIRT).
5. Governance-Pflichten & verschärfte Managerhaftung
Dies ist einer der radikalsten Schritte der NIS2-Richtlinie.
5.1 Artikel 20 NIS2: Cybersicherheit als Leitungspflicht
Die Leitungsorgane müssen:
– alle Sicherheitsmaßnahmen genehmigen
– die Umsetzung überwachen
– persönliche Verantwortung tragen
– regelmäßige Schulungen absolvieren
Das ist ein Paradigmenwechsel: Cybersicherheit ist nicht mehr delegierbares IT Thema, sondern rechtliche Führungsaufgabe.
5.2 Deutsches Umsetzungsgesetz – § 38 BSIG-E
Der deutsche Gesetzgeber übernimmt Art. 20 nicht nur – er verschärft ihn.
§ 38 BSIG-E regelt:
-Überwachungspflicht der Geschäftsleitung
– Billigungspflicht für alle Maßnahmen nach § 30 BSIG-E
– persönliche Innenhaftung bei Pflichtverletzungen
– verpflichtende Schulungen für Geschäftsleiter
– Und: Die Verantwortung kann nicht delegiert werden. Das erklärt der Gesetzgeber ausdrücklich in der Begründung.
Deutschland geht sogar weiter: Wichtige und besonders wichtige Einrichtungen sollen Schulungen auch für Beschäftigte anbieten.
6. Deutsches Umsetzungsgesetz – § 30 BSIG-E
§ 30 BSIG-E spiegelt fast 1:1 den Pflichtenkatalog des Art. 21 NIS2 wider.
Er enthält:
– Mindestpflichten
– Dokumentationspflichten
– Öffnungsklauseln für Standards
– Ermächtigung für zusätzliche Verordnungen
Damit kann die Bundesregierung später z. B. ISO-Normen, BNetzA-Kataloge oder EU-Durchführungsrechtsakte unmittelbar verbindlich machen.
7. Ausweitung der BSI-Aufsicht & Aufsichtslücken
NIS2 und BSIG-E geben dem BSI erheblich erweiterte Befugnisse:
– unangekündigte Vor-Ort-Prüfungen
– Systemaufsicht auch ohne konkreten Verdacht
– Anforderung von Audit-Berichten und Zertifizierungen
– Einsicht in Schulungsnachweise
– Anordnung zusätzlicher Sicherheitsmaßnahmen
– im Extremfall: Suspendierung der Geschäftsleitung und Betriebsuntersagung (§§ 61, 62 BSIG-E) Das ist der härteste Eingriff, den das BSI je erhalten hat.
Aufsichtslücken
Allerdings ist fraglich, ob das BSI diese neue Breite leisten kann.
Warum?
Bisher: wenige Hundert KRITIS-Betreiber
Künftig: mehrere Tausend Unternehmen
Gleichzeitig: nur begrenzte Ressourcen
8. BSI-Handreichung 2025 – Konkretisierung der Schulungspflicht
Das BSI hat bereits vor Inkrafttreten des Gesetzes eine Handreichung veröffentlicht, die wichtige Leitplanken setzt:
– Schulungen „mindestens alle drei Jahre“, risikobasiert auch häufiger alle Mitglieder der Geschäftsleitung müssen teilnehmen
– Dokumentation erforderlich
– hybride Schulungsformate empfohlen
– auch „direkt unterhalb der Geschäftsleitung“ angesiedelte Führungskräfte sollten einbezogen werden
9. Kritik an der Schulungspflicht & der verschärften Managerhaftung
– Hoher Aufwand
Besonders in kleinen und mittleren Unternehmen wird die Pflichtschulung als bürokratisch empfunden.
– Unbestimmte Rechtsbegriffe
Was sind „ausreichende Kenntnisse“? Wann genügt die Schulung den Anforderungen?
– Faktisch geringe Durchsetzbarkeit der Managerhaftung
Große Unternehmen werden ungern ihre Vorstände verklagen – der PR Schaden wäre enorm.
– Arbeitsrechtliche Fragen
Schulungspflichten für Beschäftigte können Konflikte auslösen:
Müssen Schulungen in der Arbeitszeit stattfinden? Was tun bei Verweigerung?
– Nützlichkeit vs. Symbolwirkung
Kritiker sagen, Schulungen allein verhindern keine Cyberangriffe. Befürworter entgegnen: Bewusstsein in der Führungsebene ist der wichtigste Faktor der Cyberresilienz. Die Norm dient als präventives Druckinstrument. Schon die Möglichkeit einer persönlichen Haftung führt dazu, dass Geschäftsleiter mehr Ressourcen in Sicherheit investieren
10. Quellen
– Teichmann: Haftungsfalle Cybersecurity: NIS2-Schulungspflicht als persönliche Verantwortung der Geschäftsleiter:
https://beck online.beck.de/Dokument?vpath=bibdata%2Fzeits%2Fccz%2F2025%2Fcont %2Fccz.2025.265.1.htm&pos=2&hlwords=on
– § 14 Cybersecurity Compliance, Hessel in Marly, Praxishandbuch Softwarerecht, 8. Auflage 2024:
https://beck online.beck.de/Dokument?vpath=bibdata%2Fkomm%2Fmarlyhdbswr_8%2Fc ont%2Fmarlyhdbswr.glsect14.gliii.gl2.glb.htm&pos=3&hlwords=on
– Kapitel 10. Ziviles Haftungsrecht, Lapp in Kipker, Cybersecurity, 2. Auflage 2023:
https://beck online.beck.de/Dokument?vpath=bibdata%2Fkomm%2Fkipkerhdbcybersec_2 %2Fcont%2Fkipkerhdbcybersec.gl10.gla.glvi.gl4.htm&pos=1&hlwords=on
– Digitale Resilienz durch Open Source? Rechtliche Handlungsspielräume in einer vernetzten Welt, Hendrik Schöttle in Bernzen/Heinze/Steinrötter, DSRI Herbstakademie 2025:
https://beck online.beck.de/Dokument?vpath=bibdata%2Fkomm%2Fdsri2025hdb_1%2Fc ont%2Fdsri2025hdb.glud11.glud2.gl3.gl3.gl2.htm&pos=7&hlwords=on
– Bundestag beschließt NIS2-Umsetzungsgesetz, ZD-Aktuell 2025, 01469:
https://beck online.beck.de/Dokument?vpath=bibdata%2Fzeits%2Fzdaktuell%2F2025%2F cont%2Fzdaktuell.2025.01469.htm&pos=10&hlwords=on