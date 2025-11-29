Cyberangriffe treffen Unternehmen immer häufiger und entwickeln sich zum zentralen Geschäftsrisiko. Aktuell schärfen die NIS2-Richtlinie und der Entwurf eines neuen BSI-Gesetzes die Verantwortung der Chefetagen und verpflichten Geschäftsleiter zu regelmäßigen Schulungen im Cyberrisikomanagement.
»Die neue Schulungspflicht macht Cybersecurity zur Kernaufgabe der Geschäftsleitung und rückt die persönliche Verantwortung in den Mittelpunkt«, weiß Rechtsanwalt André Schenk, Gründungspartner der Hamburger Wirtschaftskanzlei SBS Legal. Wer die Vorgaben unterschätzt, riskiert hohe Bußgelder und Regressansprüche.
Was es mit der NIS2-Richtlinie auf sich hat
Die NIS2-Richtlinie der Europäischen Union setzt einen einheitlichen Rahmen für Cybersicherheit in 18 Sektoren. Sie richtet sich an besonders wichtige Einrichtungen und wichtige Einrichtungen ab mittlerer Unternehmensgröße mit mehr als 50 Beschäftigten oder einem Umsatz ab 10 Millionen Euro. Im Zentrum stehen ein belastbares Risikomanagement und klare Meldewege bei Sicherheitsvorfällen, die das Management führend verantwortet.
Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz überträgt der deutsche Gesetzgeber diese Vorgaben in das BSI-Gesetz (BSIG). Das BSIG konkretisiert technische und organisatorische Maßnahmen und umfasst Risikoanalyse, Notfall- sowie Wiederanlaufpläne, Lieferkettensicherheit, Schulungen zur Cyberhygiene, Personalsicherheit und Zugriffskontrollen. Außerdem richtet das BSIG den Blick direkt auf die Geschäftsleitung und verankert ihre Aufgaben im Cyberrisikomanagement. Die Vorgaben führen dazu, dass Vorstände und Geschäftsführer das Thema Cybersicherheit kontinuierlich auf der Agenda halten müssen. BSIG E verlangt unter anderem auch die Teilnahme an Schulungen, die Überwachung der Schutzmaßnahmen und die Einbindung der richtigen Fachleute im Unternehmen.
BSI-Leitfaden macht Cyber-Schulung und Krisensimulation zur Chefsache
»Die Geschäftsleitung trägt die Verantwortung für den Kurs im Cyberrisikomanagement und benötigt fundierte Entscheidungsgrundlagen durch gezielte Schulung«, erklärt Rechtsanwalt André Schenk von SBS Legal. Die vorläufige Orientierungshilfe des BSI vom 30. September 2025 konkretisiert die Schulungspflicht – ersetzt aber keine unternehmensspezifische, rechtssichere Umsetzung, für die die Geschäftsleitung begleitende Rechtsberatung in Anspruch nehmen sollte.
Sie definiert die Mitglieder der obersten Geschäftsleitung als Adressaten und empfiehlt darüber hinaus die Einbindung von Führungskräften mit Verantwortung für Informationstechnologie. Der Gesetzgeber legt ein Mindestintervall von drei Jahren fest, das BSI empfiehlt je nach Risikolage häufigere Formate bis zu jährlichen Terminen.
Inhaltlich legt der Leitfaden einen Schwerpunkt auf ein Verständnis der NIS2-Regulierung, der Pflichten aus dem BSIG sowie der Auswirkungen von Sicherheitsvorfällen auf Geschäftsprozesse. Dazu kommen Übungen mit Fallstudien, Planspielen und Simulationen von Cyberangriffen, die die Handlungsfähigkeit der Leitungsorgane stärken. »Gut vorbereitete Geschäftsleiter erleben eine Krisensimulation als Chance und üben Abläufe, bevor der Ernstfall eintritt«, erläutert Schenk.
Die Dokumentation der Schulungen gewinnt vor diesem Hintergrund besondere Bedeutung. Teilnahmeunterlagen, Anwesenheitslisten und Materialien dienen als Nachweis gegenüber Aufsichtsbehörden und Prüfstellen und schaffen zugleich Transparenz im Unternehmen. Wer strukturierte Nachweise führt, stärkt seine Position in Haftungssituationen und zeigt gelebte Governance.
NIS2-Verstöße führen zu hohen Bußgeldern und persönlichen Haftungsrisiken
Verstöße gegen die Vorgaben aus NIS2 und BSIG E können zu erheblichen Bußgeldern führen. Für besonders wichtige Einrichtungen sieht der Entwurf Obergrenzen von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes vor. In vielen Konstellationen drohen darüber hinaus Regressansprüche an die Geschäftsführer oder die Vorstände der Gesellschaft auf Grundlage der Sorgfaltspflichten nach Aktienrecht und GmbH-Recht.
Aus Sicht von SBS Legal entwickelt sich damit eine neue Haftungsfalle im Management. »Cybersicherheit gehört zur unternehmerischen Kernstrategie und zur persönlichen Risikosteuerung der Organmitglieder«, betont André Schenk. Er rät Geschäftsleitungen zu einem strukturierten Programm aus Schulungen, Notfallübungen und klaren Zuständigkeiten, das die Anforderungen von NIS2 mit den eigenen Geschäftsmodellen verbindet.
Die Anwaltskanzlei hat sich unter anderem auf das Internetrecht spezialisiert und ist im Zuge aller Anforderungen der NIS2-Richtlinien nebst Schulungen einer der ersten Ansprechpartner, wenn es um rechtliche Sicherheit geht. »Für jeden, der jetzt professionelle Unterstützung sucht, haben wir ein Kontingent an kostenlosen Erstberatungen eingerichtet«, weist der Rechtsanwalt auf das derzeitige Angebot der Kanzlei hin. Zahlreiche Unternehmen und Betriebe haben dies bereits in Anspruch genommen und sich damit für NIS2 sowie die Zukunft gewappnet. »Es sind nur noch wenige Plätze frei, daher sollten Interessenten rechtzeitig Kontakt aufnehmen«, fügt Schenk abschließend hinzu.
Orientierungshilfe des BSI vom 30. September 2025
Die Orientierungshilfe des BSI vom 30. September 2025 bietet eine Handlungshilfe für Autoren branchenspezifischer Sicherheitsstandards (B3S) und beschreibt die Anforderungen an Systeme und Prozesse zur Angriffserkennung bei KRITIS-Betreibern. Diese Hilfestellung ist eine wichtige Ressource für Unternehmen, die in der Industrie 4.0 tätig sind, um die Cybersicherheits-Regulierung zu verstehen und ihre Cyber-Sicherheitsstrategie proaktiv zu entwickeln.
https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/Kritische-Infrastrukturen/KRITIS-Nachweise/OH_Nachweise/orientierungshilfe_node.html
585 Artikel zu „NIS2“
Trends 2025 | News | Trends Security | IT-Security | Whitepaper
NIS2 kommt – Wie ist die Sicherheitslage im Mittelstand?
Eine neue Studie offenbart eine deutliche Diskrepanz in der Informationssicherheit des deutschen Mittelstands. Die Erhebung wurde kurze Zeit vor der Verabschiedung von NIS2 im Bundestag durchgeführt. Während die Unternehmen ihren eigenen Reifegrad als hoch einschätzen, stand dies im Kontrast zu einer hohen Zahl schwerwiegender Sicherheitsvorfälle und erheblicher Unsicherheit bezüglich der EU-Regulierung NIS2. Die Studie »Lage…
News | Business | Favoriten der Redaktion | Geschäftsprozesse | IT-Security | Services | Strategien
NIS2-Umsetzung: Bundestag beschließt endlich Cybersicherheitsgesetz
Die Cybersicherheitslage Deutschlands ist angespannt: Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im digitalen Raum verwundbar [1]. Mit dem im Deutschen Bundestag verabschiedeten Gesetz zur Umsetzung der europäischen NIS2-Richtlinie wird das nationale IT-Sicherheitsrecht umfassend modernisiert: Die Richtlinie erhöht die Anforderungen an die Cybersicherheit bestimmter Unternehmen sowie der Bundesverwaltung. Das Bundesamt für Sicherheit in…
News | Business | IT-Security | Services
NIS2-Umsetzung: Mehr digitale Resilienz für Europa
Experten begrüßen Kabinettsbeschluss – Dänemark als mögliches Vorbild für nächste Schritte? Ende Juli hat die Bundesregierung den Kabinettsbeschluss zur Umsetzung der EU-NIS2-Richtlinie gefasst und damit den Weg für strengere IT-Sicherheitsanforderungen in Deutschland geebnet. Doch während Deutschland hierbei noch ganz am Anfang steht, hat unser Nachbarland Dänemark die Richtlinie bereits vollständig in nationales Recht umgesetzt…
News | Favoriten der Redaktion | IT-Security | Services | Strategien | Tipps
NIS2: Strategien für KMU mit begrenzten IT-Ressourcen und Fachkräftedilemma
Noch nicht Gesetz – aber längst relevant: Zwar hat sich in Deutschland die Überführung der EU-Cybersicherheits-Richtlinie NIS2 in nationales Recht verzögert, dennoch ist es nur eine Frage der Zeit. Entsprechend wächst der Handlungsdruck für Unternehmen – insbesondere im Mittelstand. Wer sich heute schon vorbereitet, schützt nicht nur seine IT-Systeme, sondern den Fortbestand des Unternehmens. …
News | Business | Favoriten der Redaktion | Infrastruktur | Kommentar | Services | Tipps
IT-Sicherheitsrecht: NIS2-Regierungsentwurf ist ein großer Schritt auf dem Weg zur Cybernation
Mit dem Regierungsentwurf des Gesetzes zur Umsetzung der NIS2-Richtlinie wird das deutsche IT-Sicherheitsrecht umfassend modernisiert und der angespannten Bedrohungslage im Cyberraum Rechnung getragen. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) fällt dabei eine Schlüsselrolle zu. Der Gesetzesentwurf sieht unter anderem vor, das BSI-Gesetz (BSIG) zu novellieren und den Kreis der regulierten Organisationen um…
News | Favoriten der Redaktion | Infrastruktur | IT-Security | Kommentar | Tipps
NIS2: Der Kabinettsbeschluss ist da – und lässt einige Fragen offen
Die Bundesregierung hat endlich geliefert: Der Kabinettsbeschluss zur Umsetzung der NIS2-Richtlinie ist verabschiedet worden. Ulrich Plate, Leiter der Kompetenzgruppe KRITIS bei eco – Verband der Internetwirtschaft e.V., begrüßt diesen Schritt: »Damit kehrt das Thema Cybersicherheit endlich auf die politische Bühne zurück – überfällig angesichts der sicherheitspolitischen Lage. Die EU-Richtlinie verlangt nicht weniger als eine strukturelle…
News | Business | Favoriten der Redaktion | Infrastruktur | IT-Security | Kommentar | Tipps
NIS2 führt zu höherer Cybersicherheit in der deutschen Wirtschaft
Ausnahmeregelungen sind zu schärfen oder zu streichen. Unternehmen sollten klare Vorgaben haben, wie Nachweise für die Umsetzung zu erbringen sind. Das Bundeskabinett hat das nationale Umsetzungsgesetz der europäischen NIS2-Richtlinie beschlossen. Dazu sagt Marc Fliehe, Fachbereichsleiter Digitalisierung und Bildung beim TÜV-Verband: »Deutschland ist Ziel hybrider Angriffe und Cyberattacken auf Unternehmen, kritische Infrastrukturen und politische Institutionen gehören…
News | TechTalk | IT-Security
TechTalk: NIS2 und DORA sind für Betreiber von Rechenzentren äußerst relevant
Welche Relevanz haben Regularien wie NIS2 und DORA für Betreiber von Rechenzentren, und wie kommt da TÜV SÜD konkret ins Spiel? Darüber haben wir auf der Tech Show Frankfurt 2025 mit Richard Skalt gesprochen. Herausgekommen ist dieses Video.
News | IT-Security | Kommentar | Strategien
NIS2 braucht praxisnahe Vorgaben und eine klare Verantwortungsverteilung
Umsetzung NIS2-Richtlinie: VOICE warnt vor Bürokratielast und fordert praxisnahe Vorgaben im Referentenentwurf für mehr IT-Sicherheit. Unklare Regeln, unterschätzte Kosten und fehlende Kontrollen gefährden Umsetzbarkeit für Unternehmen. Der aktuelle Referentenentwurf des Bundesministeriums des Innern (BMI) zur Umsetzung der NIS2-Richtlinie bietet wichtige Chancen für mehr Cybersicherheit, lässt aber an entscheidenden Stellen noch Fragen offen: Kosten werden aus…
News | IT-Security | Strategien | Ausgabe 5-6-2025 | Security Spezial 5-6-2025
NIS2: Von der Compliance-Last zum Katalysator – Die intrinsische Motivation für Informationssicherheit
Unternehmen müssen investieren und innovative Technologien einsetzen, um ihre IT-Infrastruktur vor Cyberangriffen zu schützen. Regulatorische Anforderungen wie NIS2 sollten nicht als Last, sondern als Chance gesehen werden.
News | IT-Security | Kommentar | Strategien | Ausgabe 3-4-2025 | Security Spezial 3-4-2025
Intrinsischen Sicherheitsansatz verwirklichen – Europäische Sicherheitsvorgaben und NIS2-Regularien
Prof. Dr. Dennis-Kenji Kipker ist wissenschaftlicher Direktor des cyberintelligence.institute und einer der führenden Cybersecurity-Experten hierzulande. Mit »manage it« spricht er über die EU NIS2-Richtlinie, wann diese eingeführt werden soll und was das vor allem für KRITIS-Unternehmen bedeutet.
News | IT-Security | Künstliche Intelligenz | Strategien
Politischer Stillstand als Chance: Jetzt in vier Schritten NIS2-Umsetzung erfolgreich vorbereiten
Deutschland ist zu spät. Die NIS2-Richtlinie hätte laut den gesetzlichen Vorgaben der Europäischen Union schon im Oktober 2024 in nationales Recht umgesetzt werden müssen. Selbst ohne den Bruch der Ampelregierung und Neuwahlen wäre das NIS2-Umsetzungsgesetz (NIS2UmsuCG) erst Anfang 2025 verabschiedet worden; jetzt wird nicht vor Ende dieses Jahres damit gerechnet. Betroffene Organisationen erhalten damit eine…
News | Infrastruktur | IT-Security | Kommunikation
Mit NIS2 gegen IT-Risiken: Schutz wesentlicher Dienste und kritischer Infrastrukturen
Das Ziel der europäischen Richtlinie NIS2 ist es, die Sicherheit von Netzwerken und Informationssystemen in der Europäischen Union zu stärken. Die Richtlinie definiert ihren Anwendungsbereich präzise und schließt bestimmte Felder der öffentlichen Verwaltung explizit aus, darunter diejenigen, die direkt mit nationaler und öffentlicher Sicherheit, Verteidigung oder Strafverfolgung verbunden sind. Gleichzeitig umfasst sie öffentliche Verwaltungsbereiche,…
News | Business | Digitalisierung | IT-Security | Strategien | Tipps
Deep Observability und fünf weitere Schritte zur NIS2-Konformität
Deep Observability ist für die Anforderungen von NIS2 ein absolutes Must-have. Die unfreiwillige Schonfrist hält weiter an; noch immer gibt es kein genaues Datum, ab dem die EU-Richtlinie NIS2 offiziell greifen soll. Trotzdem müssen sich Unternehmen – sofern noch nicht geschehen – auf diesen Tag vorbereiten, denn es steht eine Menge auf der Maßnahmenagenda.…
News | IT-Security | Services | Strategien
Das Potenzial von NIS2 erkennen
Wie Unternehmen NIS2-Compliance gezielt umsetzen und Cybersecurity als strategischen Vorteil nutzen können. Während die Umsetzung der EU-Richtlinie NIS2 in Deutschland voraussichtlich bis Mai 2025 auf sich warten lässt, steigt das Risiko durch Cyberangriffe weiter – mit potenziellen Folgen wie Produktionsausfällen und hohen Wiederherstellungskosten. Dennoch wird Cybersicherheit in vielen Unternehmen oft als Kostenfaktor betrachtet und…
News | IT-Security | Tipps
NIS2-Umsetzung gescheitert: Cybersicherheit als Business-Enabler
Die Umsetzung der NIS2-Richtlinie in Deutschland ist vorerst gescheitert – und Cyberkriminelle aus aller Welt jubeln. Während andere EU-Länder längst klare Vorgaben geschaffen haben, bleibt Deutschland in der Ungewissheit stecken. Der Preis dafür ist hoch: Teile unserer kritischen Infrastrukturen und Unternehmen bleiben ungeschützt, während Hacker sich über die anhaltenden Sicherheitslücken freuen. Unternehmen, die gehofft hatten,…
News | IT-Security | Kommentar
NIS2-Compliance: Cybersicherheit braucht eine proaktive Vorgehensweise
Für zahlreiche deutsche Unternehmen war das Jahr 2024 war im Hinblick auf ihre Cybersicherheit herausfordernd: laut des Berichts des Bundesamtes für Sicherheit in der Informationstechnik (BSI) haben die Aggressivität sowie die Raffiniertheit, mit der Cyberkriminellen vorgehen, erheblich zugenommen [1]. So sind die Häufigkeit und Komplexität von Ransomware-Angriffen stark gestiegen. Um angesichts dieser Bedrohungen das Gesamtniveau…
News | Favoriten der Redaktion | IT-Security | Tipps
NIS2-Richtlinie: Das müssen Unternehmen 2025 beachten
148 Milliarden Euro – so hoch lagen 2023 laut Branchenverband Bitkom e.V. die gesamtwirtschaftlichen Schäden durch Cyberangriffe in Deutschland [1]. Dies ist eine erschreckende Zahl, die verdeutlicht, wie stark Unternehmen bedroht sind. Was ist, wenn zum Beispiel ein mittelständisches Logistikunternehmen Opfer eines Angriffs wird, bei dem sensible Kundendaten und Lieferpläne kompromittiert werden? Die Folgen können weitreichend sein:…
News | IT-Security | Kommunikation | Services | Tipps
Fünf Tipps, wie Sie Ihre E-Mail-Security NIS2-compliant machen
E-Mail ist der wichtigste Kommunikationskanal in Unternehmen und gleichzeitig der beliebteste Angriffsvektor für Cyberkriminelle. Daher spielt E-Mail-Security eine zentrale Rolle für die Cybersicherheit. Mit der neuen NIS2-Richtlinie wachsen die Mindestanforderungen an Risikomanagement und Schutzmaßnahmen. Was müssen Unternehmen tun, um ihre E-Mail-Landschaft NIS2-compliant zu machen? Mit der NIS2-Richtlinie will die EU die Cybersicherheit wichtiger…
News | IT-Security | Ausgabe 11-12-2024 | Security Spezial 11-12-2024
Bewusstsein für Cybersicherheit – NIS2 macht Cybersicherheit zur Chefsache
Unternehmen die etablierte Standards wie ISO 27001, BSI-Grundschutz oder NIST bereits erfüllen, haben einen überschaubaren Weg zur NIS2-Compliance vor sich. Thomas Sandner, Senior Regional Technical Sales Director Germany, Veeam erklärt im Interview welche Auswirkungen NIS2 hat.