Forschungstag IT-Sicherheit

NIS2-Informationsdossier für Unternehmen

Unabhängige Orientierung · Keine Rechtsberatung · Keine Verbindung zum BSI

NIS2 für Geschäftsführung und C-Level

Orientierung und Einordnung

  • Für wen relevant: Unternehmen mit Bezug zu Geschäftsführung und C-Level.
  • Häufige Prüffelder: Nachweisführung, Verantwortlichkeiten und Risikosteuerung.
  • Hinweis: Diese Seite bietet eine sachliche Orientierung und ersetzt keine rechtliche oder fachliche Einzelfallprüfung.

Sie müssen keine Firewall konfigurieren.
Sie müssen aber nachweisen, dass Sie Ihre Leitungs- und Überwachungspflichten erfüllt haben.

Genau hier liegt das Risiko: NIS2 macht IT-Security zur Geschäftsführungsaufgabe. Nicht zum Technikprojekt. Nicht zum Papier-Tiger für die Compliance-Abteilung.

Wenn Ihr Unternehmen betroffen ist und nach einem Vorfall keine belastbaren Beschlüsse, Risikobewertungen und Maßnahmen nachweisen kann, stehen nicht nur Bußgelder im Raum. Sondern Geschäftsführerhaftung, Regress und im Extremfall ein Tätigkeitsverbot.

Anforderungen an Geschäftsleitung und Management

NIS2 verschiebt die Verantwortung nach oben. In die Geschäftsleitung. In Ihren Verantwortungsbereich.

Der entscheidende Punkt ist nicht, ob Ihr IT-Leiter „irgendetwas macht“. Entscheidend ist, ob Sie als Geschäftsführung ein angemessenes Risikomanagement veranlasst, überwacht und dokumentiert haben.

Der Gesetzgeber formuliert es klar:

„Geschäftsleitungen, die ihre Pflichten nach Absatz 1 verletzen, haften für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts.“

Übersetzt aus dem Juristen-Jargon:

  • Sie können persönlich haften, wenn Sie Ihre Pflichten verletzen.
  • Die Haftung richtet sich nach Gesellschaftsrecht – also nach den Regeln, die Geschäftsführer und Vorstände ohnehin treffen.
  • Unwissen schützt nicht, wenn Sie kein wirksames Steuerungs- und Kontrollsystem aufgebaut haben.
  • Technische Delegation entlastet Sie nicht automatisch. Delegation braucht Kontrolle. Kontrolle braucht Nachweise.

Das operative Problem: C-Level versteht die technischen Details oft nicht. Muss es auch nicht im Detail.
Aber Sie müssen wissen, was Sie abzeichnen, welche Risiken akzeptiert werden und welche Maßnahmen budgetiert werden müssen.

Genau hier liegt der Kern der Verantwortung der Geschäftsleitung: Nicht der einzelne Patch ist Ihr Thema. Sondern die beweisbare Leitung eines funktionierenden Sicherheitsprogramms.

Warum technische Delegation nicht entlastet

Die meisten NIS2-Inhalte sind für Techniker geschrieben. Voll mit Controls, Frameworks, ISO-Verweisen und Tool-Namen.

Für die Geschäftsführung ist das gefährlich.

Denn eine 80-seitige ISO-Vorlage schützt Sie nicht, wenn niemand beantworten kann:

  • Welche NIS2-Pflichten treffen unser Unternehmen konkret?
  • Welche kritischen Risiken sind aktuell offen?
  • Welche Maßnahmen wurden beschlossen?
  • Welche Budgets wurden freigegeben?
  • Welche Restrisiken wurden bewusst akzeptiert?
  • Wer kontrolliert die Umsetzung?
  • Wo ist der prüffähige Nachweis?

Eine neue Firewall löst das Problem ebenfalls nicht.
Sie kauft Technik. Keine Organhaftungs-Entlastung.

In der Praxis bleiben bei diesen Fragen häufig operative Lücken:

  • Tools ersetzen keine Geschäftsleitungsbeschlüsse.
  • Templates ersetzen keine Risikobewertung.
  • ISO-Ordner ersetzen keine gelebte Umsetzung.
  • IT-Berichte ersetzen keine haftungsfeste Board-Dokumentation.

Das typische Ergebnis in mittelständischen Unternehmen: ein Flickenteppich.

Ein bisschen Endpoint-Security. Ein paar Backups. Ein alter Notfallplan. Ein externer Dienstleister. Viel Hoffnung. Wenig Beweis.

Und genau das reicht bei einem Sicherheitsvorfall nicht.

Wenn der Angriff kommt, fragt niemand zuerst nach Ihrer Firewall-Marke.
Gefragt wird:

Was wusste die Geschäftsführung?
Was wurde beschlossen?
Was wurde unterlassen?
Warum wurde kein Budget freigegeben?
Warum gab es keine Kontrolle?

Prüfpunkte für eine belastbare Geschäftsführungsdokumentation

  1. Betroffenheit und Haftungslandkarte in 48 Stunden klären: Lassen Sie sofort prüfen, ob Ihr Unternehmen unter NIS2 fällt und welche Rolle Sie einnehmen: wesentliche Einrichtung, wichtige Einrichtung, Lieferant oder kritischer Dienstleister. Ergebnis muss ein kurzer Geschäftsführungsvermerk sein. Keine Studie. Kein Beraterroman. Eine Seite: Betroffenheit, Pflichten, Verantwortliche, Fristen, Haftungsrisiken.

  2. Board-tauglichen NIS2-Risikobericht beschließen: Fordern Sie von IT, Datenschutz, Compliance und externen Dienstleistern einen monatlichen Management-Report. Maximal 5 Seiten. Inhalte: Top-10-Risiken, offene Schwachstellen, Business Impact, Maßnahmenstatus, Budgetbedarf, Restrisiken. Alles in Euro, Ausfallzeit und Haftungsrelevanz übersetzt. Keine technischen Rohdaten. Keine CVE-Listen ohne Entscheidungsvorlage.

  3. Geschäftsführungsbeschluss mit Budget, Verantwortlichkeit und Kontrolltermin dokumentieren: Fassen Sie einen formalen Beschluss. Darin stehen: genehmigte Maßnahmen, verantwortliche Personen, Fristen, Budget, Eskalationswege und nächster Review-Termin. Das ist Ihr Schutzschild. Nicht perfekt. Aber prüffähig. Ohne diesen Nachweis stehen Sie im Ernstfall mit leeren Händen da.

Checkliste: NIS2-Dokumentation für Geschäftsführung und Management

Die Checkliste gibt eine strukturierte Übersicht der Punkte, die für eine nachvollziehbare Geschäftsführungsdokumentation im NIS2-Kontext relevant sind: Risikobewertung, Beschlussfassung, Budgetverantwortung und Kontrollnachweise. Sie bietet eine erste Orientierung, ersetzt jedoch keine rechtliche oder haftungsrechtliche Einzelfallprüfung.

Verwandte Seiten

NIS2 für Awareness und Mitarbeiterschulung

Orientierung für Unternehmen, die NIS2-Schulungen, Awareness-Maßnahmen und Phishing-Tests nachvollziehbar planen und dokumentieren möchten.

NIS2 für Chemie und Pharma

Einordnung für Chemie- und Pharmaunternehmen zu NIS2-Betroffenheit, Schutz sensibler Produktionsdaten und Anforderungen an die Lieferkettensicherheit.

NIS2 für E-Commerce und Handel

Orientierung für Online-Händler und E-Commerce-Betreiber zu NIS2-Anforderungen, Kundendatenschutz und sicherer Zahlungsabwicklung.

FAQ

Bin ich von NIS2 betroffen?

Ob Ihr Unternehmen betroffen ist, hängt von Branche, Unternehmensgröße, kritischen Dienstleistungen und Lieferkettenrollen ab. Eine strukturierte Prüfung ist sinnvoll.

Reicht eine einmalige Maßnahme aus?

Nein. NIS2 erfordert fortlaufendes Risikomanagement, regelmäßige Überprüfung und dokumentierte Verbesserungen.

Ersetzt diese Seite eine Beratung?

Nein. Dieses Informationsangebot ersetzt keine Rechtsberatung, IT-Sicherheitsberatung oder behördliche Auskunft.