Zurück zum Blog
Compliance 7 Min. Lesezeit

NIS2: Was Geschäftsführer jetzt wissen müssen

Die NIS2-Richtlinie ist in Kraft. Betroffene Unternehmen haften persönlich — und müssen Mitarbeiter nachweislich schulen. Wer jetzt nicht handelt, riskiert empfindliche Strafen.

10 Mio. €

Max. Bußgeld für wesentliche Einrichtungen

100.000+

Betroffene Unternehmen in Deutschland

Okt. 2024

Umsetzungsfrist in nationales Recht

Denis Esagh

Denis Esagh

Gründer & IT-Sicherheitsexperte

20. Januar 2026

NIS2 — die größte Cybersecurity-Reform der EU

Die EU-Richtlinie NIS2 (Network and Information Security 2) ist seit Oktober 2024 in nationales Recht umzusetzen. Sie erweitert den Kreis der betroffenen Unternehmen erheblich und verschärft die Anforderungen massiv.

Das Wichtigste vorab: NIS2 betrifft deutlich mehr Unternehmen als NIS1 — und die persönliche Haftung der Geschäftsleitung ist neu.

Wer ist betroffen?

NIS2 unterscheidet zwischen „wesentlichen" und „wichtigen" Einrichtungen:

Wesentliche Einrichtungen (ab 250 MA oder 50 Mio. € Umsatz):

Energie, Transport, Banken, Finanzmarktinfrastruktur, Gesundheit, Trinkwasser, digitale Infrastruktur

Wichtige Einrichtungen (ab 50 MA oder 10 Mio. € Umsatz):

Post, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste

„Unternehmen, die unter NIS2 fallen und keine Maßnahmen ergreifen, riskieren Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes." — EU-Kommission

Persönliche Haftung der Geschäftsleitung

Das ist neu und weitreichend: NIS2 sieht persönliche Haftung für Geschäftsführer vor. Wer Sicherheitsmaßnahmen fahrlässig vernachlässigt, kann:

Bußgelder von bis zu 10 Mio. € (wesentliche) bzw. 7 Mio. € (wichtige Einrichtungen)

Vorübergehenden Ausschluss von Führungspositionen

Persönliche strafrechtliche Konsequenzen in besonders schweren Fällen

Die Schulungspflicht nach Artikel 20

Artikel 20 NIS2 schreibt explizit vor: Mitglieder der Geschäftsleitung müssen an Cybersicherheitsschulungen teilnehmen und dafür sorgen, dass regelmäßige Schulungen für alle Mitarbeiter stattfinden.

Das bedeutet konkret:

  • Nachweisbare, regelmäßige Schulungen für Führungskräfte und Mitarbeiter
  • Dokumentation aller Trainingsmaßnahmen
  • Risikobasierte Sicherheitskonzepte und -richtlinien
  • Meldepflichten bei Sicherheitsvorfällen (innerhalb 24h)
  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen

Was jetzt zu tun ist

Starten Sie jetzt mit einer Gap-Analyse: Welche Anforderungen erfüllt Ihr Unternehmen bereits, wo gibt es Lücken? HumanVector unterstützt Sie dabei mit praxisnahen Workshops und einer strukturierten NIS2-Readiness-Bewertung.

NIS2ComplianceGeschäftsführerhaftungEU-Recht

Weitere Beiträge

Phishing

Phishing 2025: So raffiniert sind moderne Angriffe geworden

Lesen
KI-Bedrohungen

Deepfakes im Unternehmensalltag: Die unterschätzte Bedrohung

Lesen

Bereit für mehr Sicherheit?

Sprechen Sie uns an — kostenlos und unverbindlich.

Demo anfragen