NIS-2-Richtlinie ist Gesetz
Seit dem 6. Dezember 2025 ist die NIS-2-Richtlinie in Deutschland offiziell als Gesetz in Kraft und verschärft die Anforderungen an die Cybersicherheit massiv. Davon betroffen ist neben der Bundesverwaltung auch eine deutlich gewachsene Zahl privater Unternehmen mit insgesamt rund 30.000 Betrieben, die nun als „wichtige“ oder „besonders wichtige“ Einrichtungen eingestuft werden. Die Organisationen sind nun gesetzlich dazu verpflichtet, umfassende Risikomanagement-Maßnahmen umzusetzen, die von einer sicheren Lieferkette über Verschlüsselung bis hin zu effektiven Backup-Systemen reichen. Zudem gelten strikte Meldepflichten: Schwerwiegende Vorfälle müssen innerhalb von nur 24 Stunden an das BSI gemeldet werden. Ein zentraler Aspekt der Neuregelung ist die erweiterte Management-Haftung. Gemäß den gesetzlichen Vorgaben ist die Geschäftsführung unmittelbar für die Implementierung und Überwachung der Sicherheitsmaßnahmen verantwortlich. Bei schuldhaften Versäumnissen sieht das Gesetz eine persönliche Haftung der Leitungsebene vor, wodurch die Cybersicherheit als verbindliche Aufgabe in der Gesamtverantwortung der Unternehmensführung verankert wird.
Autorin: Sidney Grunenberg, Presse- und Öffentlichkeitsarbeit, Deutsche Gesellschaft für wirtschaftliche Zusammenarbeit
