Cybersecurity

Cybersicherheit ist jetzt Chefsache

Das NIS2-Umsetzungsgesetz macht die Geschäftsführung persönlich haftbar, setzt eine harte Registrierungsfrist und gibt dem BSI Prüf- und Bußgeldrechte. Was Eigentümer jetzt tun müssen.

Von Leon Soliman · 2026-06-30 · 3 Min. Lesezeit

Warum dieses Gesetz weiter reicht als gedacht

Das NIS2-Umsetzungsgesetz gilt in Deutschland seit Dezember 2025, und es betrifft nicht nur Kraftwerke und Banken. Es erfasst rund 29.500 Unternehmen in 18 Sektoren, von Logistik und Lebensmittelproduktion über den Maschinenbau bis zu Entsorgung und digitalen Diensten. Die Schwelle ist niedrig. Ein Betrieb mit 50 oder mehr Beschäftigten oder 10 Millionen Euro Umsatz in einem dieser Sektoren fällt automatisch darunter.

Die meisten Eigentümer im Mittelstand haben ihr Unternehmen nie als kritische Infrastruktur gesehen. Das Gesetz fragt nicht nach diesem Selbstbild. Es schaut auf Sektor und Größe, stuft Sie als wichtige oder besonders wichtige Einrichtung ein und knüpft daran verbindliche Sicherheitspflichten, die es vor einem Jahr noch nicht gab.

Die Pflicht, die persönlich auf der Leitung lastet

Die schärfste Änderung betrifft, wer die Pflicht trägt. Nach dem neuen Gesetz muss die Leitung die Risikomaßnahmen für die Cybersicherheit genehmigen und ihre Umsetzung überwachen. Das ist keine Aufgabe, die man an einen IT-Dienstleister gibt und vergisst. Handelt die Leitung grob fahrlässig oder vorsätzlich, erlaubt das Gesetz Bußgelder gegen die Personen selbst und in schweren Fällen ein befristetes Verbot, eine Leitungsfunktion auszuüben.

Für ein eigentümergeführtes Unternehmen ist das der entscheidende Punkt. Wer für die Firma unterschreibt, unterschreibt jetzt auch für ihre Cybersicherheit. Ein sauberer Auslagerungsvertrag verschiebt die Verantwortung nicht von der Leitung. Er ändert nur, wen Sie anrufen, wenn etwas schiefgeht, und dann ist die Pflicht längst geprüft.

Die Liste, von der Ihnen niemand erzählt hat

Gut verteidigt zu sein reicht allein nicht. Betroffene Unternehmen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik, dem BSI, registrieren und sich zu erkennen geben. Die gesetzliche Frist war der März 2026, und bis dahin hatten nur rund 11.500 der etwa 29.500 Firmen das getan. Mehr als die Hälfte fehlte auf der Liste.

Das BSI hat eine letzte Nachfrist auf den 31. Juli 2026 gesetzt und angekündigt, nach diesem Sommer die ersten Sanktionen zu prüfen. Die unterlassene Registrierung ist für sich genommen bußgeldbewehrt, bis zu 500.000 Euro, unabhängig von jedem Vorfall. Das stille Risiko ist nicht der Cyberangriff. Es ist, ein Unternehmen zu sein, das die Behörde auf einer Liste nicht findet, die sie jetzt aktiv prüft.

Was Sie in diesem Quartal anstoßen sollten

Drei Schritte tragen das meiste Gewicht. Klären Sie, ob Ihr Unternehmen in den Anwendungsbereich fällt, denn der Test nach Sektor und Größe ist mechanisch und leicht falsch zu lesen. Registrieren Sie sich vor der Juli-Frist beim BSI, wenn Sie betroffen sind. Legen Sie dann Ihrer Leitung einen dokumentierten Risikomanagement-Prozess vor, damit die Genehmigungs- und Aufsichtspflicht erfüllt und belegt ist, nicht nur unterstellt.

Nichts davon verlangt eine große Sicherheitsabteilung. Es verlangt ein klares Bild Ihrer Lage, einen Nachweis, dass die Leitung das Risiko geprüft hat, und einen Beleg, den Sie zeigen können, wenn die Behörde fragt. Schwer tun werden sich die Unternehmen, die ein nationales Cybersicherheitsgesetz als IT-Fußnote behandelt haben.

Weiterlesen: Ihre Hardware ist jetzt regulierte Software · Ist Ihre Cyberabwehr bereit für Angriffe in Maschinengeschwindigkeit?

Häufig gestellte Fragen

Gilt NIS2 für mein Unternehmen, wenn wir kein Versorger und keine Bank sind?

Sehr wahrscheinlich ja. Das Gesetz erfasst 18 Sektoren, darunter Logistik, Lebensmittel, Produktion, Entsorgung und digitale Dienste, und gilt für jede Firma darin mit 50 oder mehr Beschäftigten oder 10 Millionen Euro Umsatz. Viele Mittelständler sind betroffen, ohne es zu merken.

Kann ich diese Pflicht an meinen IT-Dienstleister abgeben?

Nein. Die technische Arbeit können Sie auslagern, aber das deutsche Gesetz legt die Pflicht, die Cybersicherheitsmaßnahmen zu genehmigen und zu überwachen, auf die Leitung selbst. Die Verantwortung und die persönliche Haftung bleiben bei der Führung.

Was ist das unmittelbare Risiko, wenn wir uns nicht registriert haben?

Die unterlassene Registrierung beim BSI ist ein eigener Bußgeldtatbestand von bis zu 500.000 Euro, und die letzte Frist ist der 31. Juli 2026. Danach will das BSI Sanktionen prüfen, beginnend mit den klaren Registrierungsversäumnissen.

Ein Gesetz, das Ihre Leitungsebene nach ihrer Funktion benennt, wartet nicht auf einen Vorfall, um real zu werden. Die Pflicht läuft bereits, und die einzige offene Frage ist, ob Ihr Nachweis steht.

NIS2 Cybersicherheit ITSicherheit Mittelstand Familienunternehmen Geschaeftsfuehrerhaftung BSI Compliance Risikomanagement Informationssicherheit Unternehmensfuehrung KritischeInfrastruktur NIS2Richtlinie CyberSecurity Servola

Mehr aus dem Servola Journal

Cybersecurity

Ihre Hardware ist jetzt regulierte Software

2026-06-28 · 3 Min. Lesezeit

Beitrag lesen →

Cybersecurity

Ist Ihre Cyberabwehr bereit für Angriffe in Maschinengeschwindigkeit?

2026-06-23 · 2 Min. Lesezeit

Beitrag lesen →

AI Regulation

Deutschland hat jetzt einen KI-Regulierer

2026-06-29 · 3 Min. Lesezeit

Beitrag lesen →

Servola

Servola hilft Eigentümern und Mittelstandsleitungen einzuordnen, wo NIS2 sie verortet, und die Governance aufzubauen, die das Gesetz jetzt verlangt.

Vertrauliches Gespräch anfragen Über Servola →

Servola ist technologische Beratung für einige wenige Familien und Family Offices. Wenn eine Entscheidung nicht delegierbar ist, sitzen wir auf Ihrer Seite des Tisches.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Alle Beiträge