NIS2-Richtlinie: Persönliche Haftung für 30.000 Unternehmen ab Juli
04.07.2026 - 16:49:38 | boerse-global.de
Die Umsetzung der NIS2-Richtlinie stellt rund 30.000 deutsche Unternehmen vor massive Herausforderungen. Im Zentrum stehen verpflichtende Schulungen für die gesamte Belegschaft und eine verschärfte Haftung der Chefs. Seit Anfang Juli kommt mit dem EU AI Act eine weitere regulatorische Hürde hinzu.
Jährliche Pflichtschulungen für alle
Die Paragrafen 30 und 38 des BSIG legen klare Vorgaben fest. Mitarbeiter müssen jährlich sowie beim Onboarding geschult werden. Die Führungsebene ist alle drei Jahre zur Fortbildung verpflichtet – und zwar persönlich.
Diese Pflicht ist nicht delegierbar. Geschäftsführer können die Verantwortung nicht an die IT-Abteilung oder externe Berater abgeben. Zu den Schulungsinhalten gehören:
- Umgang mit Phishing-Versuchen
- Passwort-Hygiene
- Korrekte Meldewege bei Vorfällen
- Verhaltensregeln im Notfall
Die Dokumentation muss lückenlos sein. Nur so können Unternehmen bei Prüfungen ihre Compliance nachweisen.
Persönliche Haftung als neues Risiko
Die Rechtslage hat sich durch NIS2 grundlegend geändert. Geschäftsführer haften nun persönlich für Versäumnisse in der IT-Sicherheit. Diese Haftung stützt sich nicht nur auf die neue Richtlinie, sondern auch auf bestehende Regelungen wie das GmbH-Gesetz und das Aktiengesetz.
Die finanziellen Risiken sind enorm. Ransomware-Angriffe auf Mittelständler mit rund 200 Mitarbeitern verursachten bereits Schäden in Millionenhöhe. Der Gesamtschaden durch Cyberattacken in der deutschen Wirtschaft lag 2025 bei rund 290 Milliarden Euro.
Angesichts der verschärften Haftungsregeln für Geschäftsführer wird ein proaktiver Schutz vor Cyberangriffen zur existenziellen Pflicht. Dieses kostenlose E-Book liefert fundierte Informationen zu aktuellen Bedrohungen und zeigt, wie Sie Sicherheitslücken ohne hohe Investitionen schließen. IT-Sicherheit stärken und Unternehmen langfristig schützen
Bei Verstößen gegen NIS2 drohen Bußgelder von bis zu zehn Millionen Euro oder ein prozentualer Anteil des weltweiten Umsatzes.
Cybersecurity wird Chefsache
Die neuen Regeln erzwingen einen Paradigmenwechsel. IT-Sicherheit ist kein reines Technikthema mehr, sondern strategisches Risikomanagement auf Vorstandsebene. Cybersecurity muss als Geschäftsrisiko quantifiziert und finanziell bewertet werden.
Die Kosten steigen: Die EU-Kommission rechnet mit einem Anstieg der IT-Sicherheitsausgaben um bis zu 25 Prozent in den kommenden drei bis vier Jahren. Besonders Mittelständler sind betroffen, die ihre Sicherheitsarchitektur oft von Grund auf neu strukturieren müssen.
Parallel zur IT-Sicherheit stellt der neue EU AI Act Unternehmen vor komplexe Dokumentations- und Kennzeichnungspflichten für KI-Systeme. Dieser kostenlose Umsetzungsleitfaden bietet Ihrer Rechts- und IT-Abteilung einen kompakten Überblick über alle relevanten Risikoklassen und Fristen. EU AI Act in 5 Schritten verstehen
Fristen und weitere Pflichten
Unternehmen müssen mehrere Fristen im Blick behalten. Für Einrichtungen im Gesundheitswesen endete die Registrierung beim BSI bereits im März 2026. Der EU AI Act verlangt zudem, dass Anbieter und Betreiber die KI-Kompetenz ihres Personals fördern. Seit Juni 2026 ist die Bundesnetzagentur dafür zuständig.
Experten empfehlen, ein umfassendes Risikoinventar zu erstellen und Sicherheitskonzepte wie Netzwerksegmentierung und intelligentes Monitoring umzusetzen – sowohl in der klassischen IT als auch in der Produktionstechnologie.
