NIS2 in Deutschland: CEO-Haftung greift, Registrierung bis 6. März 2026

NIS2 verschiebt Cybersicherheitsverantwortung verbindlich auf die Chefetage: In Deutschland gilt das NIS2-Umsetzungsgesetz seit dem 6. Dezember 2025 ohne Übergangsfrist. Die Registrierung betroffener Unternehmen ist bis zum 6. März 2026 fällig. Die Geschäftsleitung haftet persönlich für das Risikomanagement und die Überwachung der Maßnahmen, inklusive verpflichtender Schulungen für Führungskräfte im Turnus von mindestens zwei Jahren.

Strategisch relevant: NIS2 verankert Governance, Rollen und Nachweisführung auf Board-Level und weitet den Kreis betroffener Sektoren massiv aus. Parallel ist seit dem 2. Februar 2025 der EU AI Act in Kraft. Das Zusammenspiel erhöht den Druck auf C-Level, KI- und Cyberrisiken integriert zu steuern — von Risikoanalyse und Lieferkette bis Schulung und Incident Response.

Was sich ändert: Governance-Pflichten auf Vorstandsebene

Die Leitungsorgane müssen Cybersicherheitsrisiken nicht nur kennen, sondern Verantwortung übernehmen. Dazu gehören Genehmigung und regelmäßige Überprüfung der Sicherheitsmaßnahmen, die klare Zuweisung von Zuständigkeiten sowie dokumentierte Entscheidungs- und Kommunikationswege. Die Pflicht zur regelmäßigen Fortbildung der Führung — mindestens alle zwei Jahre — ist explizit festgeschrieben (Art. 20 NIS2-Logik, in Deutschland durch das NIS2-Umsetzungsgesetz flankiert). Fehlende Nachweise gelten als Compliance-Verstoß.

• Risikobewertungen und Policies: Definition, Aktualisierung, Freigabe durch die Geschäftsleitung
• Cyberhygiene und technische Baselines: Patch-Management, Zugriffsschutz, Backup-Strategie
• Incident Response und Notfallpläne: Prozesse, Eskalationswege, regelmäßige Tests
• Lieferkettensicherheit: Anforderungen an Dienstleister, vertragliche und operative Kontrollen
• Schulung und Awareness: Pflichtschulungen, insbesondere für Führungskräfte alle zwei Jahre

Risikosteuerung, Dokumentation, Lieferkette: Was jetzt Pflicht ist

Operativ darf delegiert werden — die Gesamtverantwortung bleibt beim Vorstand. NIS2 verlangt eine schlüssige Governance-Struktur: Rollen, Assets, Prozesse und Kontrollen müssen konsistent dokumentiert und auf Audits vorbereitet sein. Entscheidend ist die Nachweisfähigkeit: Wer genehmigt welche Maßnahme, wann wurden Risiken bewertet, wie werden Lieferanten qualifiziert, wie laufen Meldungen und wie wird Wirksamkeit überprüft? Unklare Rollen oder lückenhafte Dokumentation sind per se ein Compliance-Mangel.

Für die Lieferkette gilt: Sicherheitsanforderungen sind vertraglich zu verankern und praktisch zu prüfen. Bei Managed Services, Cloud und kritischen Zulieferern sind abgestufte Kontrollen notwendig — von Mindeststandards bis Penetrationstests und Exit-Szenarien.

Fristen, Haftung, Aufsicht: Der Rechtsrahmen in Deutschland

Das deutsche NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Betroffene Unternehmen müssen sich bis zum 6. März 2026 registrieren. Bei Nichteinhaltung drohen aufsichtsrechtliche Maßnahmen; die Geschäftsleitung haftet persönlich für Versäumnisse beim Risikomanagement, bei der Genehmigung und Überwachung der Maßnahmen. Die operative Umsetzung kann übertragen werden, nicht jedoch die Gesamtverantwortung. In der Praxis bedeutet das: Pflichtverletzungen ohne ausreichende Sorgfalt können zivil- und öffentlich-rechtliche Konsequenzen bis hin zur persönlichen Inanspruchnahme nach sich ziehen.

Die Aufsicht legt dabei besonderes Augenmerk auf Governance-Nachweise und die Wirksamkeit der Maßnahmen — reine Papier-Compliance genügt nicht. Unternehmen, die bislang auf freiwillige Standards setzten, benötigen jetzt formelle Prozesse, klare Verantwortlichkeiten und belastbare Metriken.

EU AI Act: Doppelter Regulierungsdruck auf KI und Cyber

Seit dem 2. Februar 2025 gilt der EU AI Act. Er führt u. a. Pflichten zur KI-Kompetenz und zu Sorgfalt bei Input- und Output-Nutzung ein und ergänzt damit NIS2-Anforderungen an Governance und Schulung. Für Unternehmen heißt das: KI-Einsatz und Cybersicherheit müssen integriert gesteuert werden — dieselben Gremien, dieselben Nachweislogiken, abgestimmte Policies. Gerade bei generativen KI-Diensten überschneiden sich Risiken (Datenschutz, Urheberrecht, Halluzinationen) mit Cyberangriffsflächen (Prompt Injection, Datenabfluss). Der Vorstand muss Prioritäten setzen, Mindeststandards definieren und Kontrollen entlang der Wertschöpfung verankern.

So What? Konsequenzen für CEO, CFO und Aufsichtsrat

NIS2 macht Cybersicherheit zum Corporate-Governance-Thema mit persönlichem Risiko. Für CEO und CFO verschiebt sich der Fokus von Budgetfreigaben zu nachweisbarer Wirksamkeit: Risiken quantifizieren, Kontrollen priorisieren, Lieferanten steuern, Schulungen messen. Der Aufsichtsrat sollte Cyber- und KI-Transformation als Dauerthema verankern, KPI-gestützte Berichte einfordern und die Qualifikation der Geschäftsleitung regelmäßig bewerten. Wer Fristen reißt oder Nachweise nicht führen kann, geht ins Haftungsrisiko — unabhängig davon, ob ein Vorfall eingetreten ist.

Fazit: Jetzt Governance industrialisieren

Entscheider sollten NIS2 und den EU AI Act als Steilvorlage nutzen, Governance zu industrialisieren: Verantwortlichkeiten auf Board-Level festschreiben, ein unternehmensweites Kontrollsystem etablieren, Lieferkette absichern, Schulungsprogramme mit Zweijahres-Takt verpflichtend machen und die Registrierung fristgerecht abschließen. Kurzfristig braucht es einen Gap- und Risiko-Assessment gegen NIS2-Anforderungen, mittelfristig ein Evidence-Backlog mit klaren Eigentümern, KPIs und Audit-Trail. Wer das bis Q2 2026 auf Kurs bringt, reduziert Haftungsrisiken und schafft gleichzeitig die Basis für effizientere, sicherere Digitalisierung.