KRITIS-Dachgesetz und NIS2: Haftung für Manager wird Realität

Deutschlands Unternehmenslenker haften seit März persönlich für mangelnde Krisenvorsorge. Neue Gesetze machen Resilienz zur Pflichtaufgabe des Managements.

Grund sind zwei gesetzliche Stichtage, die den Umgang mit Risiken grundlegend verändern. Am 17. März 2026 trat das KRITIS-Dachgesetz in Kraft. Es verpflichtet Betreiber kritischer Infrastruktur erstmals umfassend zu physischer Resilienz. Bereits am 6. März endete die Registrierungsfrist für die EU-Richtlinie NIS2. Wer sie verpasste, riskiert hohe Bußgelder und persönliche Haftung.

Die neuen gesetzlichen Anforderungen an die Krisenvorsorge machen eine lückenlose Dokumentation aller betrieblichen Gefahren unumgänglich. Dieser kostenlose Ratgeber unterstützt Sie mit Vorlagen und Checklisten dabei, rechtssichere Gefährdungsbeurteilungen zu erstellen, die jeder behördlichen Prüfung standhalten. Rechtssichere Gefährdungsbeurteilung: Jetzt kostenlose Vorlagen sichern

Behörden wie das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten damit deutlich erweiterte Befugnisse. Daten zeigen jedoch eine massive Lücke: Tausende betroffene Unternehmen sind den neuen Pflichten noch nicht nachgekommen.

KRITIS-Dachgesetz: Neuer „All-Hazards“-Ansatz für kritische Infrastruktur

Das KRITIS-Dachgesetz gilt als größte Erweiterung des Sicherheitsrechts seit Jahrzehnten. Es schafft einen branchenübergreifenden Rahmen für elf Sektoren – von Energie und Gesundheit bis hin zu neu hinzugekommenen Bereichen wie öffentliche Verwaltung und Raumfahrt.

Anders als frühere, oft IT-lastige Regelungen verfolgt das Gesetz einen „All-Hazards“-Ansatz. Unternehmen müssen sich nun gegen ein ganzes Spektrum von Bedrohungen wappnen: von Naturkatastrophen und Sabotage bis zu den Folgen des Klimawandels. Betreiber müssen ihre kritischen Anlagen identifizieren und einen detaillierten Resilienzplan vorlegen.

Herzstück ist die Stärkung des BBK als nationale Zentralstelle. Bei schwerwiegenden Vorfällen gilt nun eine Meldepflicht innerhalb von 24 Stunden. Für viele Firmen, deren Krisenstäbe noch nicht mit den technischen Überwachungssystemen verzahnt sind, wird diese Frist zur operativen Herausforderung.

NIS2: Persönliche Haftung bei Registrierungsversäumnis

Die Dringlichkeit wird durch die NIS2-Richtlinie verschärft. Das deutsche Umsetzungsgesetz (NIS2UmsuCG) stuft rund 29.500 Unternehmen als „wesentliche“ oder „wichtige“ Einheiten ein. Doch bis zum Stichtag am 6. März hatten sich nur etwa 38,5 Prozent – rund 11.500 Firmen – registriert.

Dieses Versäumnis kann für Geschäftsführer und Vorstände teuer werden. Paragraph 38 des Gesetzes schreibt vor, dass die Unternehmensleitung die Cybersicherheitsmaßnahmen absegnen und ihre Umsetzung überwachen muss. Bei Pflichtverletzungen haften die Manager persönlich gegenüber ihrer firma für entstandene Schäden. Auf diesen Haftungsanspruch kann das Unternehmen nicht verzichten.

Seit August 2024 gelten bereits verschärfte Regeln durch die EU-KI-Verordnung, die viele Unternehmen bei ihrer Digitalstrategie noch nicht ausreichend berücksichtigen. Erfahren Sie in diesem kompakten Leitfaden, wie Sie Kennzeichnungspflichten und Risikoklassen richtig einordnen, um Bußgelder proaktiv zu vermeiden. EU-KI-Verordnung kompakt: Gratis Umsetzungsleitfaden herunterladen

Die fehlende Registrierung ist nur die Spitze des Eisbergs. Seit Inkrafttreten des Gesetzes im Dezember 2025 müssen die Unternehmen bereits „angemessene“ technische und organisatorische Maßnahmen (TOMs) umgesetzt haben. Die Bußgelder sind enorm: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Bei grober Fahrlässigkeit dürften herkömmliche D&O-Versicherungen (Directors and Officers) diesen Betrag kaum mehr decken.

Frühwarnpflicht: StaRUG und IDW S 16 setzen alle Unternehmen unter Zugzwang

Während KRITIS und NIS2 bestimmte Sektoren und Größenklassen treffen, gilt die Krisenfrühwarnpflicht fast flächendeckend. Paragraph 1 des Unternehmensstabilisierungs- und -restrukturierungsgesetzes (StaRUG) verpflichtet Führungsorgane, fortlaufend Entwicklungen zu überwachen, die den Fortbestand des Unternehmens gefährden könnten.

Konkretisiert wird diese Pflicht durch den Prüfstandard IDW S 16, der seit Anfang 2026 im Fokus von Wirtschaftsprüfern und Rechtsberatern steht. Er definiert, was ein rechtssicheres Krisen-Frühwarn system ausmacht. Die Geschäftsführung muss demnach ein integriertes Planungssystem unterhalten, das Liquidität, Ertrag und Kapitalposition in Echtzeit abbildet.

„Den Sturm aussitzen“ ist keine Option mehr. Stattdessen gilt eine proaktive Reaktionspflicht. Wird eine Existenzbedrohung erkannt – etwa durch Lieferkettenprobleme oder Energiepreisschwankungen – müssen sofort Gegenmaßnahmen eingeleitet und die Aufsichtsorgane informiert werden. Die Prüfung der Geschäftsberichte für 2026 wird die erste sein, in der die IDW S 16-Kriterien streng angewendet werden. Unternehmen ohne robuste Frühwarnsysteme riskieren einen eingeschränkten Bestätigungsvermerk.

„Resilience by Design“: Ein europäischer Trend setzt sich durch

Das Zusammentreffen der Regelungen im März 2026 spiegelt einen europäischen Trend wider: „Resilience by Design“, also die integrierte Resilienz. Die Bundesregierung hat die Evaluierung des KRITIS-Dachgesetzes auf einen Zwei-Jahres-Zyklus vorgezogen – statt der üblichen fünf Jahre. Das zeigt, wie dynamisch die Bedrohungslage eingeschätzt wird.

Der regulatorische Druck befeuert den Markt für „Resilience Tech“. Firmen investieren in digitale Zwillinge ihrer Lieferketten und automatisierte Risikobewertungsplattformen, um die 24-Stunden-Meldepflichten zu erfüllen. Verbände kritisieren jedoch den bürokratischen Aufwand, besonders für mittelständische Unternehmen, die knapp über den kritischen Schwellen (meist 50 Mitarbeiter oder 10 Millionen Euro Umsatz) liegen.

Ein entscheidender rechtlicher Unterschied ist die Trennung zwischen IT-Sicherheit und physischer Resilienz. Das BSI-Gesetz regelt Cyber-Bedrohungen, das KRITIS-Dachgesetz die physische Welt. Für ein modernes Werk bedeutet das: Die Leitung haftet gleichermaßen für die Firewall gegen Hacker, die Schutzzäune gegen Eindringlinge und die Notstromaggregate for einen Blackout.

Ausblick: Fokus verschiebt sich auf Prüfungen und Vollzug

Für das restliche Jahr 2026 verlagert sich der Schwerpunkt von der Registrierung hin zur aktiven Prüfung. Das KRITIS-Dachgesetz gewährt nach Identifizierung einer kritischen Anlage eine dreimonatige Frist zur Registrierung. Eine zweite Welle verbindlicher Meldungen wird daher bis zum 17. Juni erwartet.

Das BBK will im Sommer 2026 branchenspezifische Resilienz-Leitfäden veröffentlichen. Für das Management hat oberste Priorität, den geforderten Resilienzplan zu erstellen. Dieser muss innerhalb von zehn Monaten nach Registrierung finalisiert und möglicherweise zur Prüfung vorgelegt werden.

Die Botschaft des Gesetzgebers an die Unternehmensführung ist klar: Krisenvorsorge ist keine Aufgabe mehr nur für die IT-Abteilung oder den Sicherheitsbeauftragten. Sie ist eine Kernpflicht der Geschäftsleitung. Wer sie vernachlässigt, riskiert persönliche Konsequenzen. Die Entwicklungen im März 2026 haben Resilienz als Voraussetzung für rechtmäßige Unternehmensführung in Deutschland institutionalisiert.

boerse | 69000568 |