NIS2UmsuCG: Cybersicherheit als Chefsache und die neue Schulungspflicht der Geschäftsleitung

Mit der Verkündung des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung am 5. Dezember 2025 ist das sogenannte NIS2-Umsetzungsgesetz (NIS2UmsuCG) am 6. Dezember 2025 in Kraft getreten. Dieses Gesetz markiert eine tiefgreifende Modernisierung des deutschen Cybersicherheitsrechts. Es erweitert den Kreis der regulierten Einrichtungen drastisch von vormals etwa 4.500 auf nunmehr rund 29.500 bis 30.000 Organisationen, die künftig durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) beaufsichtigt werden. Die neuen Pflichten gelten grundsätzlich sofort nach Inkrafttreten des Gesetzes, ohne allgemeine Umsetzungsfristen.

Für Geschäftsleitungen und Compliance-Verantwortliche, von Unternehmen, die unter die neuen Kategorien der „wichtigen Einrichtungen“ oder „besonders wichtigen Einrichtungen“ fallen, bedeutet dies einen Paradigmenwechsel. Cybersicherheit wird zur strategischen Kernaufgabe und zum integralen Bestandteil der Unternehmensführung und des Risikomanagements. Es ist unerlässlich, die strategische Tragweite und die unmittelbar anwendbaren Compliance-Vorgaben zu verstehen.

Cybersicherheit als nicht delegierbare Führungsverantwortung

Ein zentraler Paradigmenwechsel des neuen Cybersicherheitsrechts liegt in der gestärkten Verantwortung und Haftung der Geschäftsleitung. Die Leitungsorgane sind gesetzlich verpflichtet, die Maßnahmen zum Risikomanagement umzusetzen und deren Einhaltung zu überwachen, um zu gewährleisten, dass Cybersicherheit ein integraler Bestandteil der Geschäftsführung und des Risikomanagements ist. Die Verletzung dieser Pflichten kann künftig zur persönlichen Haftung der Geschäftsleitung für schuldhaft verursachte Schäden nach den anwendbaren gesellschaftsrechtlichen Regeln führen. Damit wird Cybersicherheit endgültig auf eine Stufe mit anderen Compliance-Bereichen wie dem Finanzwesen oder dem Nachhaltigkeitsmanagement gehoben. Die betroffenen Unternehmen müssen drei zentrale Compliance-Pflichten erfüllen: die Registrierung als NIS-2-Unternehmen, die Meldung erheblicher Sicherheitsvorfälle an das BSI und die Implementierung und Dokumentation von Risikomanagementmaßnahmen.

Die Pflicht zur regelmäßigen Schulung der Geschäftsleitung

Um der gestiegenen Kontroll- und Haftungsverantwortung gerecht werden zu können, sieht das Gesetz eine regelmäßige Schulungspflicht für die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen vor. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu eine vorläufige Handreichung veröffentlicht, die als Orientierungsrahmen dient und das Verständnis des BSI vom Umfang und Anspruch dieser Schulungen widerspiegelt.

Inhalt der Schulung nach dem BSI

Die Schulungen müssen die Geschäftsleitungen befähigen, ausreichende Kenntnisse und Fähigkeiten in drei Kernbereichen zu erlangen, um informierte Entscheidungen treffen zu können:

  1. Erkennung und Bewertung von Risiken: Die Leitungsebene muss strategisch in der Lage sein, Cybersicherheitsrisiken sinnvoll einzuschätzen, indem sie das unternehmerische Thema mit Blick auf potenzielle Schadensauswirkungen (finanziell, reputativ, betrieblich) und Eintrittswahrscheinlichkeiten versteht.
  2. Kenntnisse über Risikomanagementmaßnahmen: Die Geschäftsleitung muss die technischen und organisatorischen Maßnahmen im Unternehmen, insbesondere die Mindestanforderungen des § 30 Abs. 2 BSIG-E (z.B. Sicherheit der Lieferkette, Backup-Management, Multi-Faktor-Authentifizierung), kennen und deren Wirkweise auf Managementebene verstehen.
  3. Beurteilung der Auswirkungen: Die Geschäftsleitung muss die Auswirkungen von Risiken und den implementierten Maßnahmen auf die betrieblichen Abläufe, die Verfügbarkeit, Integrität und Vertraulichkeit der Dienste sowie die wirtschaftliche Stabilität beurteilen können.

Das BSI empfiehlt, Schulungen mindestens alle drei Jahre durchzuführen, wobei die Dauer im Durchschnitt bei etwa vier Stunden liegen kann. Die Schulungen sollten praxisnah mit Szenarien, Übungen und Fallstudien gestaltet werden, um die Beurteilungskompetenz zu fördern.

Compliance-Handlungsdruck: Registrierung und Überwachung

Neben der Schulungspflicht müssen Compliance-Verantwortliche die unmittelbaren Pflichten adressieren. Die Registrierungspflicht ist gesetzlich vorgeschrieben. Das BSI sieht hierfür einen zweistufigen Prozess vor: Zunächst muss eine Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erfolgen. Das BSI empfiehlt, diesen MUK-Account bis spätestens Ende 2025 anzulegen, um sich ab Anfang 2026 im neu entwickelten BSI-Portal zu registrieren.

Darüber hinaus wird das Melderegime für erhebliche Sicherheitsvorfälle von einer einstufigen zu einer dreistufigen Pflicht verschärft, die eine Erstmeldung innerhalb von 24 Stunden, einen vollständigen Bericht innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats erfordert. Bei Verstößen drohen besonders wichtigen Einrichtungen Bußgelder von bis zu 20 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Die Besonderheiten und Belastungen für KMU

Das in Kraft getretene NIS2-Umsetzungsgesetz stellt betroffene Kleine und Mittlere Unternehmen (KMU) vor erhebliche regulatorische Herausforderungen. Eine Kurzstudie untersuchte die Auswirkungen von NIS 2 auf KMU im Rahmen der Mittelstand-Digital Begleitforschung.

Insbesondere mittlere Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz bzw. einer Bilanzsumme von über 10 Millionen Euro fallen typischerweise in die Kategorie der „wichtigen Einrichtungen“ und unterliegen damit den neuen Compliance-Pflichten. Die strategische Aufgabe der Geschäftsleitung ist es nun, diesen neuen Rahmen nicht nur als Pflicht, sondern als notwendige Investition in die Resilienz des Unternehmens zu begreifen.

Die NIS-2-Richtlinie führt zu einer massiven Zunahme der regulierten Adressaten. Während etwa 30.000 Unternehmen in Deutschland direkt von den Pflichten betroffen sind, könnte sich der Anwendungsbereich der Kurzstudie zufolge indirekt auf mehr als 200.000 weitere Unternehmen ausdehnen. Diese mittelbare Betroffenheit entsteht, weil direkt regulierte Einrichtungen – die zur Absicherung ihrer Lieferkette verpflichtet sind – vertragliche Anforderungen an die betriebliche Cybersicherheit ihrer Zulieferer und Dienstleister weitergeben müssen. Dies betrifft Unternehmen, die IT-Hardware oder -Software, Cloud-Dienstleistungen oder Managed Security Services anbieten. Auch wenn diese Unternehmen formal nicht der NIS-2 unterliegen, müssen sie faktisch NIS-2-konforme Sicherheitsstrukturen vorweisen, um wettbewerbsfähig zu bleiben.

Die Umsetzung der NIS-2-Vorgaben ist für KMU mit besonderen Herausforderungen verbunden, da sie oft unter komplexen Anforderungen, Rechtsunsicherheit, dem akuten Fachkräftemangel und begrenzten Ressourcen leiden. Die Kurzstudie schätzt den jährlichen Erfüllungsaufwand auf etwa 86.000 Euro, zuzüglich eines ähnlich hohen einmaligen Aufwands für die Einführung der Systeme und Prozesse. Diese Kosten können kurzfristig die Wettbewerbsfähigkeit und Innovationskraft belasten. Langfristig würden jedoch die Vorteile überwiegen, da ein höheres Sicherheitsniveau die erheblichen wirtschaftlichen Schäden durch Cyberangriffe verringert.

Schlussfolgerungen und Handlungsbedarf für Unternehmen

Das Inkrafttreten des NIS2UmsuCG erfordert sofortiges Handeln seitens der Geschäftsleitungen und Compliance-Verantwortlichen, um Haftungsrisiken und Sanktionen zu vermeiden:

  1. Betroffenheit prüfen und Registrierung: Unternehmen müssen selbständig prüfen, ob sie als wichtige oder besonders wichtige Einrichtung gelten. Mit dem vom BSI bereitgestellten NIS2-Betroffenheitsprüfung können Unternehmen vorab prüfen, ob sie von den neuen Pflichten betroffen sind. Die dortige Einschätzung ist jedoch nicht rechtsverbindlich. Die Registrierungspflicht muss erfüllt werden, wobei das BSI einen zweistufigen Prozess vorsieht. Im ersten Schritt erfolgt eine Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK). Im zweiten Schritt ist eine Registrierung im BSI-Portal notwendig. Diese ist seit dem 6. Januar 2026 möglich.
  2. Schulungspflicht umsetzen: Die Geschäftsleitung muss zeitnah die Teilnahme an regelmäßigen Schulungen sicherstellen, die die vom BSI geforderten drei Kernkompetenzen abdecken, und die Teilnahme dokumentieren.
  3. Risikomanagement implementieren und überwachen: Die gesetzlichen Mindestmaßnahmen aus § 30 Abs. 2 BSIG-E müssen eingeführt und ihre Wirksamkeit kontinuierlich überwacht werden. Der vom BSI bereitgestellte Leitfragenkatalog kann als Werkzeug für den strategischen Dialog zwischen Management und Fachabteilungen dienen, um Umsetzungslücken zu erkennen und die Wirksamkeit zu überprüfen.

Die Einhaltung der NIS-2-Vorgaben sollte nicht als bloße Pflichtaufgabe, sondern als notwendige Investition in die Wettbewerbsfähigkeit und Resilienz des Unternehmens verstanden werden. BSI-Präsidentin Claudia Plattner hebt die angespannte Cybersicherheitslage Deutschlands hervor. „Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im digitalen Raum verwundbar. Das novellierte BSI-Gesetz ist eine starke Antwort auf diese Entwicklung: Es wird dazu führen, dass sich die Resilienz unseres Landes spürbar und messbar verbessert.“

Fazit

Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes wird Cybersicherheit zur verbindlichen Managementaufgabe. Die Kombination aus persönlicher Haftung, hohen Sanktionen und der expliziten Schulungspflicht verdeutlicht, dass die Geschäftsleitung die strategische Kontrolle über Cybersicherheitsrisiken übernehmen muss. Wer sich frühzeitig anhand der BSI-Vorgaben orientiert und Compliance-Strukturen anpasst, stärkt nicht nur die Rechtssicherheit, sondern auch die langfristige Widerstandsfähigkeit seines Unternehmens.

Die Umsetzung der NIS2-Vorgaben erfordert angesichts der sofortigen Geltung und der verschärften Haftung der Geschäftsleitung eine sorgfältige und individuelle Abwägung der notwendigen Maßnahmen. Die Herausforderung für Unternehmen besteht darin, die abstrakt formulierten gesetzlichen Anforderungen in konkrete, dokumentierbare und dem individuellen Risiko angemessene Prozesse zu übersetzen.

Unsere spezialisierten Dienstleistungen – von der Risikobewertung über die KRITIS-Beratung bis hin zum Incident Management – helfen Ihnen, potenzielle Risiken zu minimieren, sich optimal auf künftige Prüfungen vorzubereiten und die Konformität mit den Vorschriften der NIS2-Richtlinie sicherzustellen. KINAST ist Ihr Partner für Cybersicherheit und IT-Compliance.

Das könnte Sie auch interessieren..

Meist gelesen

Frankreich plant Beweiserleichterungen bei Urheberrechtsverletzung durch KI
Frankreich plant Beweiserleichterungen bei Urheberrechtsverletzung durch KI
KI-Reallabor abgeschlossen: Was Unternehmen jetzt wissen müssen
LDA Bayern veröffentlicht 15. Tätigkeitsbericht für 2025
KI-Durchführungsgesetz: Streit um die Aufsicht – und die Folgen für Unternehmen
KI-Durchführungsgesetz: Streit um die Aufsicht und die Folgen für Unternehmen