NIS2: Wenn Cyberangriffe zur Chef-Sache werden

Seit Dezember 2025 müssen Tausende deutsche Unternehmen Cybervorfälle streng melden. Die größte Hürde ist die Frage: Wann ist ein Vorfall „erheblich“?

Neue Pflichten für 30.000 Betriebe

Mit dem NIS2-Umsetzungsgesetz hat Deutschland europäische Vorgaben in nationales Recht gegossen. Seit dem 6. Dezember 2025 gilt es für Unternehmen aus 18 kritischen Sektoren – von Energie und Gesundheit bis zu digitalen Diensten. Ein Kernpunkt: die verschärfte Meldepflicht für erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Doch genau hier beginnt die Unsicherheit. Die Definition, was „erheblich“ ist, bleibt vage und zwingt Firmen zu eigener, schneller Bewertung im Ernstfall.

Die Grauzone der „Erheblichkeit“

Wann muss gemeldet werden? Laut Gesetz, wenn der Vorfall schwerwiegende Betriebsstörungen oder finanzielle Verluste verursachen könnte. Auch die Beeinträchtigung Dritter durch erhebliche Schäden ist ein Kriterium. Diese allgemeinen Formulierungen stellen viele IT- und Compliance-Abteilungen vor ein Dilemma.

Passend zum Thema NIS2: Viele Unternehmen sind auf die verschärften Meldepflichten und die kurzen Fristen (24/72/720 Stunden) nicht vorbereitet. Unser kostenloses E‑Book „Cyber Security Awareness Trends“ erklärt praxisnah, wie Sie Prozesse, Playbooks und Erstmeldungen zuverlässig einrichten, Mitarbeiter sensibilisieren und Haftungsrisiken für die Geschäftsführung reduzieren. Ideal für IT‑Verantwortliche und Manager, die schnell Compliance‑Sicherheit schaffen wollen. Jetzt kostenloses Cyber-Security-E‑Book herunterladen

Die Bewertung muss Faktoren wie die Anzahl betroffener Nutzer, die Dauer und die geografische Ausbreitung des Vorfalls berücksichtigen. Entscheidend ist auch die Frage: Wird eine kritische gesellschaftliche oder wirtschaftliche Tätigkeit gestört? Im Gegensatz zur DSGVO zielt NIS2 nicht auf den Schutz personenbezogener Daten, sondern auf die Stabilität von Netz- und Informationssystemen. Ein meldepflichtiger Vorfall kann also auch dann vorliegen, wenn keine personenbezogenen Daten betroffen sind.

Countdown nach dem Angriff: 24, 72, 720 Stunden

Ist ein Vorfall als erheblich eingestuft, startet ein strikter Meldecountdown. Die Erstmeldung muss dem BSI unverzüglich, spätestens aber innerhalb von 24 Stunden nach Kenntnis, einen ersten Überblick verschaffen.

Innerhalb von 72 Stunden folgt eine detailliertere Bewertung mit Angaben zu Schwere, Auswirkungen und ersten Gegenmaßnahmen. Die Abschlussmeldung nach spätestens einem Monat (720 Stunden) muss Ursache, Eindämmung und langfristige Abhilfe beschreiben. Unternehmen, die noch nicht im BSI-Portal registriert sind, müssen ein Online-Formular nutzen.

Persönliche Haftung für die Geschäftsführung

NIS2 macht Cybersicherheit zur Top-Management-Aufgabe. Die Geschäftsleitung ist persönlich für die Einhaltung der Standards verantwortlich und muss Risikomanagement-Maßnahmen billigen und überwachen. Bei Verstößen drohen hohe Bußgelder. Kein Wunder also, dass Experten dringend raten, klare interne Prozesse, Verantwortlichkeiten und Playbooks zu entwickeln. Nur so sind die engen Fristen im Ernstfall einzuhalten. Eine lückenlose Dokumentation ist nicht nur für die Meldung, sondern auch für spätere Audits entscheidend.

Paradigmenwechsel für die Unternehmenssicherheit

Zusammen mit dem neuen KRITIS-Dachgesetz markiert NIS2 einen fundamentalen Wandel. Resilienz gegen Cyberbedrohungen wird zur überlebenswichtigen Führungsaufgabe. Für die rund 30.000 betroffenen Unternehmen bedeutet das eine komplette Neuausrichtung ihrer Sicherheitsstrategie.

Die genaue Praxis der Meldepflichten wird sich erst noch einspielen. Doch der Handlungsdruck ist jetzt schon hoch. Wer proaktiv robuste Prozesse implementiert, minimiert nicht nur Haftungsrisiken, sondern stärkt auch das Vertrauen von Kunden und Partnern in einer digitalen Welt.

PS: Wer NIS2 ernst nimmt, braucht konkrete Tools statt bloßer Theorie. Das Gratis‑E‑Book liefert Checklisten zur Erstmeldung, praxiserprobte Maßnahmen für die 72‑Stunden‑Analyse und Awareness‑Trends, mit denen Sie Reporting‑Prozesse und Dokumentation schnell praxistauglich machen — damit Sie Fristen einhalten und Bußgelder vermeiden. Jetzt Gratis-Guide für bessere Cyber-Resilienz sichern