excerpt: NIS2 nimmt Geschäftsleitungen die bequeme Distanz zur IT-Sicherheit. Wer Risiken, Meldewege und Schutzmaßnahmen nicht aktiv steuert, behandelt Cybersicherheit nicht mehr als Betriebsproblem, sondern als eigenes Haftungsrisiko.

NIS2 macht Cybersicherheit zur Leitungsaufgabe

Artikel 20 der NIS2-Richtlinie verpflichtet Leitungsorgane, Cybersecurity-Risikomanagementmaßnahmen zu billigen, ihre Umsetzung zu überwachen und sich selbst ausreichend schulen zu lassen. Bei Verstößen können sie haftbar gemacht werden. Damit verschiebt NIS2 Cybersicherheit aus dem Bereich der rein fachlichen Zuständigkeit in den Bereich der Unternehmensführung.

Für Belgien ist diese Verschiebung bereits rechtlich greifbar. Die Richtlinie wurde durch das Gesetz vom 26. April 2024 umgesetzt. Das Centre for Cybersecurity Belgium beschreibt NIS2 als Rahmen für Cybersicherheit, Incident Management, Aufsicht und Sanktionen für Einrichtungen, die wesentliche gesellschaftliche oder wirtschaftliche Dienste erbringen. Safeonweb@Work formuliert die Verantwortung noch direkter: Verantwortliche Personen und gesetzliche Vertreter müssen die Befugnis haben, die Einhaltung sicherzustellen, und können haften, wenn sie dies unterlassen.

Deutschland setzte die Richtlinie später um. Dort trat das NIS2-Umsetzungsgesetz am 6. Dezember 2025 in Kraft. Seitdem gilt auch dort: Cybersicherheit ist nicht nur eine technische Aufgabe, sondern Teil der Geschäftsleitungspflichten. Das BSI spricht ausdrücklich davon, dass NIS2 Cybersicherheit zur Chefinnen- und Chefsache macht. Geschäftsleitungen müssen Risikomanagementmaßnahmen billigen, deren Umsetzung überwachen und sich selbst zu Cybersicherheitsrisiken schulen lassen. Wer diese Pflichten ignoriert, kann das Thema nicht mehr auf IT, Dienstleister oder einzelne Fachabteilungen abschieben.

Viele Unternehmen werden NIS2 zunächst als strengere IT-Regulierung lesen. Dann geht es um Firewalls, Backups, Updates, Zugriffskontrollen, Dienstleister und Meldefristen. Diese Punkte gehören tatsächlich zur Richtlinie. Sie erklären aber nicht, weshalb die Geschäftsleitung ausdrücklich adressiert wird. Technische Maßnahmen wirken nur, wenn eine Organisation weiß, welche Systeme für den Betrieb kritisch sind, wer über Risiken entscheidet, welche Dienstleister eingebunden sind, welche Vorfälle meldepflichtig werden und welche Ressourcen im Ernstfall verfügbar sind.

Die Regel verändert die Zuordnung von Verantwortung. Die IT kann Schwachstellen erkennen, Schutzmaßnahmen vorschlagen und Systeme betreiben. Sie kann aber nicht allein festlegen, welche Ausfallzeiten ein Unternehmen akzeptiert, welche Lieferantenrisiken tragbar sind, welche Investitionen Vorrang erhalten oder welche Melde- und Eskalationsprozesse verbindlich gelten. Diese Entscheidungen betreffen Geschäftsmodell, Haftung, Kundenbeziehungen, Zahlungsfähigkeit und regulatorische Pflichten. Dafür ist die Leitungsebene zuständig.

Entscheidend ist die Nachweisbarkeit. Unter NIS2 reicht es nicht, im Nachhinein auf technische Zuständigkeiten zu verweisen. Unternehmen müssen zeigen können, dass Risiken bewertet, Maßnahmen beschlossen, Verantwortlichkeiten verteilt und Kontrollen eingerichtet wurden. Schulungen der Geschäftsleitung sind dabei kein formaler Zusatz. Sie sollen sicherstellen, dass Leitungsorgane Risiken, Berichtslinien und Abhängigkeiten so weit verstehen, dass sie ihre Aufsichtsfunktion ausüben können.

Belgien macht diesen Zusammenhang besonders konkret, weil Safeonweb@Work als zentrale Anlaufstelle für betroffene Einrichtungen dient. Unternehmen müssen prüfen, ob sie in den Anwendungsbereich fallen, ob sie als wesentliche oder wichtige Einrichtung gelten und welche Pflichten daraus folgen. Die Einstufung hängt nicht allein von der Branche ab, sondern auch von Größe, Tätigkeit und Bedeutung der erbrachten Dienste. Cybersicherheit wird damit zu einer Frage der Unternehmensidentifikation: Wer fällt unter den Rahmen, welche Dienste sind kritisch, welche digitalen Abhängigkeiten tragen diese Dienste?

Die Zuständigkeit der IT endet dort, wo ein technisches Risiko organisatorische Folgen erzeugt. Ein kompromittiertes Administratorkonto ist ein Sicherheitsproblem. Wenn dadurch Produktion, Rechnungsstellung, Kundenzugang oder Lieferfähigkeit ausfallen, wird daraus ein Unternehmensrisiko. Ein nicht getestetes Backup ist ein technischer Mangel. Wenn es im Ernstfall keine Wiederanlaufzeiten, keine Kommunikationswege und keine Entscheidungsbefugnisse gibt, entsteht ein Führungsproblem. NIS2 setzt genau an dieser Verbindung an.

Die Kosten schlechter Sicherheitsorganisation verschwinden nicht, sie werden nur vertagt. Ein Unternehmen kann jahrelang sparen, indem es veraltete Systeme weiterbetreibt, Lieferanten kaum prüft, Notfallübungen verschiebt oder Dokumentation als Nebensache behandelt. Sichtbar werden die Kosten erst, wenn ein Angriff Abläufe unterbricht, Daten verschlüsselt, Meldefristen auslöst oder Kunden informiert werden müssen. NIS2 zwingt Unternehmen, einen Teil dieser Kosten früher zu sehen: in Risikoanalysen, Verträgen, Schulungen, Kontrollen und getesteten Notfallprozessen.

Das verändert auch die Rolle externer Dienstleister. Viele Unternehmen betreiben ihre IT nicht vollständig selbst. Sie nutzen Cloud-Plattformen, Managed-Service-Provider, Softwareanbieter, Zahlungsdienstleister oder spezialisierte Branchenlösungen. Diese Auslagerung verringert interne Betriebsaufgaben, hebt die Verantwortung aber nicht auf. Die Geschäftsleitung muss wissen, welche Leistungen ausgelagert sind, welche Sicherheitsanforderungen vertraglich gelten, wie Vorfälle gemeldet werden und welche Abhängigkeiten entstehen, wenn ein Dienstleister ausfällt oder selbst angegriffen wird.

Technische Werkzeuge lösen das organisatorische Problem nicht allein. Ein Unternehmen kann Mehrfaktor-Authentifizierung einführen, Backups automatisieren und Protokolle sammeln. Ohne klare Zuständigkeiten bleibt offen, wer Warnmeldungen bewertet, wer externe Stellen informiert, wer den Betrieb einschränkt, wer Kundenkommunikation freigibt und wer entscheidet, ob ein System isoliert wird. NIS2 behandelt solche Fragen als Teil des Risikomanagements, weil ein Angriff selten nur ein einzelnes Gerät betrifft.

Für Geschäftsleitungen bedeutet das keine Pflicht, jede Schwachstelle selbst technisch zu verstehen. Verlangt wird eine belastbare Führungsstruktur. Dazu gehören regelmäßige Lagebilder, nachvollziehbare Beschlüsse, ausreichende Mittel, klare Berichtslinien und eine Kontrolle der Umsetzung. Wer nur ein Budget genehmigt, ohne Prioritäten, Verantwortlichkeiten und Wirksamkeit zu prüfen, erfüllt diese Rolle kaum. Wer Risiken kennt, Entscheidungen dokumentiert und Maßnahmen überwacht, kann dagegen zeigen, dass Cybersicherheit geführt wurde.

Die Folgen reichen über die einzelne Organisation hinaus. NIS2 erfasst Einrichtungen, deren Dienste für Wirtschaft und Gesellschaft relevant sind. Ein Angriff auf ein Unternehmen kann Lieferketten, Zahlungsflüsse, Gesundheitsversorgung, Energieversorgung, digitale Dienste oder öffentliche Verwaltung berühren. Deshalb behandelt die Richtlinie Cybersicherheit als Voraussetzung für verlässliche Leistungserbringung. Der Staat reguliert hier nicht bloß interne IT-Standards, sondern die Belastbarkeit von Diensten, auf die andere angewiesen sind.

Für den Markt entstehen neue Anforderungen an Anbieter, Berater und Dienstleister. Kunden werden häufiger Nachweise verlangen, Verträge werden Sicherheits- und Meldepflichten genauer regeln, Versicherer werden Governance und technische Kontrollen stärker prüfen. Unternehmen, die ihre Sicherheitsorganisation nicht belegen können, verlieren Spielräume bei Ausschreibungen, Partnerschaften oder Versicherungsschutz. Umgekehrt wird eine dokumentierte Sicherheitsstruktur zu einem Teil der betrieblichen Vertrauenswürdigkeit.

NIS2 verlangt keinen Geschäftsführer, der Server administriert. Die Richtlinie verlangt eine Leitung, die digitale Risiken als Teil ihrer Verantwortung behandelt, Entscheidungen nachvollziehbar trifft und deren Umsetzung kontrolliert. Haftung entsteht dort, wo diese Verantwortung formal besteht, aber organisatorisch leer bleibt. Cybersicherheit ist damit keine Aufgabe, die aus der Führung ausgelagert werden kann. Sie wird zu einem Maßstab dafür, ob ein Unternehmen seine eigene Handlungsfähigkeit ausreichend organisiert hat.

Quellen:

*Safeonweb@Work https://atwork.safeonweb.be/

*Safeonweb@Work, The NIS2 Law https://atwork.safeonweb.be/nis2

*Safeonweb@Work / CCB, The NIS2 Directive in Belgium https://atwork.safeonweb.be/sites/default/files/2024-10/NIS2%20Brochure%20EN.pdf

*Centre for Cybersecurity Belgium, NIS2 https://ccb.belgium.be/regulation/nis2

*Europäische Union, Richtlinie (EU) 2022/2555, Artikel 20 https://eur-lex.europa.eu/eli/dir/2022/2555/oj

*BSI, NIS-2-Umsetzungsgesetz in Kraft https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251205_NIS-2-Umsetzungsgesetz_in_Kraft.html

Ich bin übrigens käuflich. Wer Unterstützung bei Cybersicherheit, NIS2, Risikoanalyse, technischer Dokumentation, Systemarchitektur, Monitoring, KI-Anwendungen oder verständlicher Kommunikation komplexer Technik braucht, kann mich ansprechen. Ich komme aus der Praxis, denke in Systemen und übersetze technische Risiken so, dass Geschäftsführung, IT und Organisation etwas damit anfangen können. Kontakt: erik@f97.io