NIS2-Haftung Wenn ein Cyberangriff zur Chefsache wird Ein Cyberangriff trifft Ihr Unternehmen. Systeme fallen aus. Daten werden abgegriffen. Was folgt, ist nicht nur ein IT-Problem. Es ist auch Ihr persönliches. NIS2 konkretisiert, was bisher oft im Ungefähren blieb: die persönliche Verantwortung von Führungskräften für Cybersicherheit. Eine Managerhaftung war zwar auch vorher möglich, aber selten so klar benannt, so direkt adressiert und so konkret durchsetzbar wie jetzt. Dieser Artikel beantwortet, was Sie konkret wissen müssen: was Ihnen droht, wann Sie persönlich haften und wie Sie sich nachweisbar schützen. Dieser Artikel dient der Information. Er ersetzt keine Rechtsberatung. NIS2 und persönliche Haftung Warum Geschäftsführer direkt betroffen sind Die persönliche Haftung von Führungskräften ist kein Novum. § 43 GmbHG verpflichtet Geschäftsführer seit jeher, in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden und im Pflichtverletzungsfall persönlich einzustehen. Was NIS2 verändert: Es benennt explizit und verbindlich, was im Bereich Cybersicherheit zu dieser Sorgfaltspflicht gehört. Wer diese Anforderungen nicht kennt oder ignoriert, kann sich nicht mehr auf Unkenntnis berufen. Von der Unternehmens- zur Personenhaftung: Was sich für Sie geändert hat Die EU-Richtlinie NIS2 (2022/2555) ist in Deutschland durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in nationales Recht übergeführt worden. Der für Führungskräfte entscheidende Paragraph ist § 38 Abs. 1 BSIG. Er regelt klar: Sie als Leitungsorgan sind persönlich verantwortlich für die Umsetzung der vorgeschriebenen Risikomanagementmaßnahmen. Diese Gesamtverantwortung können Sie nicht vollständig delegieren. Die Umsetzung konkreter Maßnahmen kann und sollte an IT-Abteilung, CISO oder externe Dienstleister übertragen werden. Die Verantwortung dafür, dass geeignete Maßnahmen veranlasst, überwacht und kontrolliert werden, verbleibt bei Ihnen als Leitungsorgan. Das Gesetz verlangt zudem, dass Sie sich regelmäßig fortbilden, um Risikoentscheidungen im Bereich Cybersicherheit kompetent treffen zu können. Unwissen schützt nicht. Es haftet. Wer konkret in der Pflicht steht NIS2 gilt für Betreiber kritischer Infrastrukturen sowie Anbieter digitaler Dienste, von der Energie- und Wasserversorgung über das Gesundheitswesen bis hin zu Cloud-Diensten und Rechenzentren. In Deutschland sind nach Schätzungen des BSI mehrere tausend Unternehmen betroffen, darunter viele mittelständische Unternehmen, die sich bisher nicht als relevant eingeschätzt haben. Das Gesetz gilt dabei nicht nur für den GmbH-Geschäftsführer. Betroffen sind: Geschäftsführer von GmbH und UG Vorstände von AG und SE Leitende Manager, die nachweislich wesentliche Entscheidungsgewalt über Cybersicherheitsmaßnahmen haben Entscheidend ist nicht Ihr Titel, sondern Ihre tatsächliche Entscheidungsbefugnis. Dabei richtet sich die konkrete Haftung nach der Rechtsform Ihrer Einrichtung. § 38 Abs. 2 BSIG verweist ausdrücklich auf die jeweils anwendbaren Regeln des Gesellschaftsrechts, also etwa § 43 GmbHG für die GmbH oder § 93 AktG für die AG. NIS2-Geschäftsführerhaftung Das sind Ihre persönlichen Risiken Wenn von NIS2-Haftung gesprochen wird, meinen viele zunächst Bußgelder gegen das Unternehmen. Das ist zu kurz gedacht. Es gibt zwei Haftungsebenen, und die zweite trifft Sie direkt. Persönliche Haftung statt reiner Unternehmenspflicht: Was das konkret bedeutet Das Gesetz unterscheidet zwischen zwei Sanktionsebenen: Ebene 1: Aufsichtsrechtlich Das Unternehmen zahlt ein Bußgeld. Die Höhe hängt von der Einrichtungskategorie ab. Ebene 2: Zivilrechtlich Sie als Geschäftsführer oder Vorstand haften persönlich für Schäden, die aus Pflichtverletzungen im Bereich Cybersicherheit entstehen. Das schließt Ihr Privatvermögen ein. Diese zivilrechtliche Managerhaftung ist nicht neu, sie existierte bereits vor NIS2. Aber NIS2 schärft die Pflichten erheblich. NIS2 konkretisiert jedoch, welche Maßnahmen von Leitungsorganen im Bereich Cybersicherheit erwartet werden. Wer diese Anforderungen nachweislich vernachlässigt, liefert damit ein stärkeres Argument für eine Pflichtverletzung, was im Schadensfall die Grundlage für eine persönliche Haftung bilden kann. In welchen Fällen haften Geschäftsführer nach NIS2? Eine persönliche Haftung kommt in Betracht, wenn: Sie als Leitungsorgan die Einführung von Risikomanagementmaßnahmen nicht veranlasst haben; Meldepflichten bei Sicherheitsvorfällen versäumt wurden und dies auf mangelnde Governance zurückzuführen ist; keine nachweisbare Auseinandersetzung mit den NIS2-Anforderungen stattgefunden hat; oder Fortbildungspflichten ignoriert wurden. Überall dort, wo Sie als Entscheider handeln mussten und es nicht getan haben. Haftungsausschluss: Unter welchen Bedingungen sind Geschäftsführer geschützt? Vollständig ausschließen lässt sich die Haftung nicht. Aber sie lässt sich erheblich reduzieren. Der Nachweis der Sorgfaltspflicht ist entscheidend. Wer dokumentiert, dass er die notwendigen Maßnahmen veranlasst, kontrolliert und überprüft hat, steht auf deutlich sicherem Boden. Dazu gehören: Beschlüsse auf Leitungsebene zur Cybersicherheitsstrategie Nachweisbare Überprüfung der umgesetzten Maßnahmen Teilnahme an Schulungen und Sensibilisierungsmaßnahmen Klare interne Verantwortlichkeiten mit Dokumentation Je lückenloser Ihre Dokumentation, desto schwieriger ist es, Ihnen eine persönliche Pflichtverletzung nachzuweisen. NIS2-Bußgelder und Strafen Welche Sanktionen drohen konkret? Neben der persönlichen Haftung drohen dem Unternehmen empfindliche Bußgelder. Die Höhe hängt davon ab, in welche Kategorie Ihr Unternehmen fällt. Bußgeldrahmen für wichtige und besonders wichtige Einrichtungen NIS2 unterscheidet zwei Kategorien:KategorieMaximales BußgeldBesonders wichtige EinrichtungenJe nach Einzelfall bis zu 10 Mio. Euro oder 2 % des weltweiten JahresumsatzesWichtige EinrichtungenJe nach Einzelfall bis zu 7 Mio. Euro oder 1,4 % des weltweiten JahresumsatzesDas BSIG legt sowohl einen absoluten Höchstbetrag als auch einen umsatzabhängigen Prozentsatz als Bußgeldobergrenze fest. Welcher Wert im Einzelfall zur Anwendung kommt, hängt von den Umständen ab. Eine automatische „je nachdem, was höher ist"-Regel, wie in der DSGVO, ist im BSIG nicht vorgesehen. Diese Beträge sind gesetzlich verankerte Obergrenzen, strukturell ähnlich aufgebaut wie die Bußgeldrahmen der DSGVO. Wie konsequent die Behörden sie in der Praxis ausschöpfen werden, wird sich zeigen: Erfahrungswerte aus der NIS2-Durchsetzung gibt es noch kaum. Die Rahmenbedingungen für empfindliche Sanktionen sind jedoch geschaffen. Unternehmensstrafe vs. persönliche Strafe gegen die Geschäftsführung Das Bußgeld trifft zunächst das Unternehmen. Doch § 38 Abs. 2 BSIG regelt zusätzlich: Wenn ein Leitungsorgan seine Pflichten verletzt hat, kann es persönlich in Regress genommen werden, also vom Unternehmen auf Schadenersatz verklagt werden. Das Unternehmen zahlt das Bußgeld und holt es sich anschließend bei Ihnen zurück. Dieses Szenario ist in der deutschen Unternehmenshaftung kein Novum, aber NIS2 schafft dafür einen deutlich breiteren und gleichermaßen konkreteren Anwendungsbereich. Wer kontrolliert und verhängt die Sanktionen? Für Unternehmen in Deutschland liegt die Aufsicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI kann: Vor-Ort-Prüfungen anordnen Sicherheitsaudits verlangen Bußgelder verhängen Im Extremfall die Zulassung zur Ausübung von Leitungsfunktionen vorübergehend untersagen Eines der letzten und einschneidenden Folgen einer Pflichtverletzung kann darüber hinaus ein temporäres Verbot sein, Leitungsaufgaben in der Einrichtung wahrzunehmen. Es ist an hohe Hürden geknüpft, aber es existiert. NIS2-Haftung in der Praxis Drei realistische Szenarien Theorie ist eine Sache. Was bedeutet NIS2-Haftung im Alltag eines Unternehmens? Die folgenden drei Szenarien zeigen, wie aus einem Sicherheitsproblem ein persönliches Haftungsproblem wird. Szenario 1: Cyberangriff trifft ein unvorbereitetes Unternehmen Ein mittelständischer Zulieferer, klassifiziert als wichtige Einrichtung, wird Opfer eines Ransomware-Angriffs. Die Produktion steht still. Kundendaten sind kompromittiert. Im Zuge der Untersuchung stellt das BSI fest: keine dokumentierte Risikoanalyse, keine Notfallpläne, keine Schulungen. Das Unternehmen erhält ein Bußgeld. Gleichzeitig prüft der Aufsichtsrat, ob der Geschäftsführer seine Sorgfaltspflichten verletzt hat. Die fehlende Dokumentation ist dabei das entscheidende Belastungsmerkmal. Szenario 2: Meldepflichten werden nicht fristgerecht erfüllt NIS2 schreibt klare Meldefristen vor. Ein erheblicher Sicherheitsvorfall muss dem BSI innerhalb von 24 Stunden als Erstmeldung angezeigt werden. Eine detaillierte Meldung folgt innerhalb von 72 Stunden. Ein Unternehmen erkennt den Vorfall, meldet aber erst nach vier Tagen. Intern war schlicht nicht geregelt, wer dafür zuständig ist. Die Aufsichtsbehörde wertet es als organisatorische Pflichtverletzung. Der Geschäftsführer muss nachweisen, dass er geeignete Prozesse eingerichtet hatte, und kann es nicht. Szenario 3: Kein dokumentiertes Risikomanagement nachweisbar Ein Unternehmen hat tatsächlich in IT-Sicherheit investiert: Firewalls, Backups, Multi-Faktor-Authentifizierung, Endpoint-Protection. Alles ist vorhanden. Nichts davon ist dokumentiert. Keine Risikoanalyse. Kein schriftlicher Nachweis über Schulungen. Keine Protokolle der Leitungsebene. Bei einer BSI-Prüfung kann das Unternehmen die getroffenen Maßnahmen nicht belegen. Im Ernstfall gilt: Wer nicht beweisen kann, dass er gehandelt hat, hat für die Aufsichtsbehörde möglicherweise nicht gehandelt. Dokumentation ist dabei der verlässlichste, aber nicht der einzige Weg zum Nachweis. Haftungsrisiko minimieren Was Geschäftsführer nachweisbar tun müssen Vollständige Sicherheit gibt es nicht. Weder technisch noch rechtlich. Aber Sie können Ihr persönliches Haftungsrisiko erheblich reduzieren. Entscheidend ist dabei ein Wort: Nachweis. Was zählt juristisch als Nachweis von Sorgfaltspflichten? Gerichte und Aufsichtsbehörden bewerten nicht, ob ein Unternehmen perfekte Sicherheit erreicht hat. Sie bewerten, ob die Führungsebene ihrer Sorgfaltspflicht nachgekommen ist. Sie müssen zeigen können, dass Sie die richtigen Fragen gestellt, die richtigen Entscheidungen veranlasst und deren Umsetzung kontrolliert haben. Dazu zählen: Beschlüsse auf Leitungsebene zur Cybersicherheitsstrategie: schriftlich, datiert, gezeichnet Risikoanalysen, die regelmäßig aktualisiert werden Berichte der IT-Sicherheitsverantwortlichen an die Leitungsebene mit nachweisbarer Kenntnisnahme Teilnahmenachweise für Schulungen und Fortbildungen Wer handelt, aber nicht dokumentiert, handelt für die Aufsichtsbehörde nicht ausreichend. Dokumentation und Governance als Schutzschild vor persönlicher Haftung Eine belastbare Governance-Struktur ist kein bürokratischer Selbstzweck. Sie ist Ihr stärkstes Argument im Haftungsfall. Viele Unternehmen nutzen dafür anerkannte Rahmenwerke, etwa ISO 27001, um Sicherheitsmaßnahmen strukturiert zu dokumentieren und nachweisbar zu machen. Was eine tragfähige Governance-Struktur darüber hinaus ausmacht: Klare Zuständigkeiten: Wer ist intern verantwortlich für welche Sicherheitsmaßnahmen? Berichtswege zur Leitungsebene: Wie und wie oft wird die Geschäftsführung informiert? Reaktionspläne: Was passiert im Ernstfall und wer entscheidet? Überprüfungszyklen: Werden Maßnahmen regelmäßig auf Wirksamkeit geprüft? Diese Struktur schützt Sie nicht nur rechtlich. Sie verbessert die tatsächliche Sicherheitslage Ihres Unternehmens. Wann reicht eine Cyberversicherung und wann nicht? Eine Cyberversicherung kann sinnvoll sein. Sie federt finanzielle Schäden durch Angriffe ab, etwa Betriebsunterbrechungen, Wiederherstellungskosten oder Drittschäden. Aber eine Cyberversicherung ersetzt keine Compliance. Sie schützt in der Regel nicht vor: Bußgeldern durch das BSI: Diese sind typischerweise explizit ausgeschlossen Persönlicher Haftung der Geschäftsführung nach § 38 Abs. 2 BSIG Regressforderungen des Unternehmens gegen die Führungskraft Eine Versicherung ist ein sinnvoller Baustein. Sie ist kein Ersatz für dokumentierte Sorgfaltspflichten. FAQ Häufige Fragen zur NIS2-Haftung und NIS2-Strafen Gilt die persönliche Haftung auch für Vorstände und Aufsichtsräte? § 38 BSIG erfasst ausdrücklich alle Leitungsorgane, also auch Vorstände von Aktiengesellschaften und Europäischen Gesellschaften (SE). Aufsichtsräte sind in der Regel nicht direkt operativ verantwortlich. Aber auch sie können haftbar werden, wenn sie ihrer Überwachungspflicht gegenüber dem Vorstand nicht nachkommen. Ab wann greift die NIS2-Haftung in Deutschland rechtlich? Das NIS2-Umsetzungsgesetz ist in Deutschland in Kraft. Stand März 2026 gilt: Die Pflichten sind verbindlich für alle betroffenen Unternehmen. Eine Übergangsfrist schützt nicht dauerhaft vor Haftungsrisiken, besonders dann nicht, wenn ein Vorfall eintritt und mangelnde Vorbereitung nachweisbar ist. Kann eine Cyberversicherung die persönliche Haftung nach NIS2 abdecken? In der Regel nicht. Bußgelder durch das BSI sind in den meisten Versicherungspolicen explizit ausgenommen. Auch die zivilrechtliche Managerhaftung nach § 38 Abs. 2 BSIG fällt typischerweise nicht unter den Standardschutz einer Cyberversicherung. Es gibt spezialisierte D&O-Versicherungen (Directors & Officers), die einen Teil des Risikos abdecken können, aber auch diese haben Grenzen, insbesondere bei nachgewiesener grober Fahrlässigkeit. Was passiert, wenn mein Unternehmen die NIS2-Anforderungen nicht erfüllt? Das BSI kann bei Prüfungen und nach gemeldeten Vorfällen Verstöße feststellen. Folgen sind Bußgelder gegen das Unternehmen. Das Unternehmen hat zudem mögliche Regressforderungen gegen die Leitungsebene. Zusätzlich drohen zivilrechtliche Schadenersatzforderungen von Kunden oder Partnern. Wie unterscheiden sich NIS2-Bußgelder von DSGVO-Sanktionen? Das BSIG legt sowohl einen absoluten Höchstbetrag als auch einen umsatzabhängigen Prozentsatz als Bußgeldobergrenze fest, strukturell ähnlich wie die DSGVO. Der entscheidende Unterschied: Die DSGVO regelt den Schutz personenbezogener Daten. Beide Regelwerke gelten grundsätzlich nebeneinander. Wichtig: Für dieselbe Handlung kann nicht auf Basis beider Regelwerke gleichzeitig ein Bußgeld verhängt werden. In der Praxis kann ein Cyberangriff jedoch Pflichten aus beiden Regelwerken berühren, etwa Meldepflichten nach NIS2 und Datenschutzpflichten nach DSGVO. Jetzt handeln, bevor die Haftung greift NIS2-Haftung ist kein abstraktes Risiko für die Zukunft. Sie gilt jetzt und sie trifft Sie persönlich. Wer strukturiert vorgeht, dokumentiert und die richtigen Maßnahmen nachweisbar umsetzt, reduziert sein Haftungsrisiko erheblich. Dafür braucht es keinen perfekten Sicherheitszustand, sondern nachweisbare Sorgfalt. Wenn Sie wissen wollen, wo Ihr Unternehmen aktuell steht und welche Schritte als nächstes sinnvoll sind, sprechen wir gerne mit Ihnen. Blogs Mehr zu NIS2 Frist zur NIS2 Registrierung beim BSI abgelaufen Die NIS2-Registrierungsfrist lief am 6. März 2026 ab. Nur 39 % der betroffenen Unternehmen haben sich beim BSI registriert. Warum so viele gescheitert sind – und wie Sie die Registrierung jetzt rechtssicher nachholen. NIS2 Weiterlesen → So setzen Sie die NIS2-Anforderungen effizient um Seit dem 6. Dezember 2025 gilt NIS2 verbindlich. Jetzt zählt: Risiken kennen, Verantwortlichkeiten klären, Security verankern – wir zeigen, wie es gelingt. NIS2 Weiterlesen → NIS2: Umgang mit IT-Sicherheitsvorfällen im Unternehmen Steigende IT-Abhängigkeit und komplexe Bedrohungen machen Sicherheitsvorfälle für Unternehmen unvermeidbar. Erfahren Sie in unserem Blog, wie ein adäquater Umgang Schäden minimiert, Geschäftskontinuität sichert und EU-Richtlinie NIS-2 erfüllt wird. Informationssicherheit Weiterlesen → NIS2 Checkliste: Der Guide für Verantwortliche Die NIS2 Checkliste unterstützt Sie Schritt für Schritt, die wichtigsten Anforderungen zu verstehen und auf Ihr Unternehmen anzuwenden. Nutzen Sie sie als einfaches NIS2 Tool zur Selbstbewertung und zur Vorbereitung auf Gespräche. IT Security Weiterlesen → NIS2-Haftung: Was Geschäftsführer jetzt wissen müssen Die NIS2 fordert von kritischen Unternehmen und öffentlichen Einrichtungen umfangreiche Maßnahmen zum Schutz gegen Cyberattacken. Unternehmen, die diese Pflichten missachten, haben mit erheblichen NIS2-Folgen zu rechnen. Dieser Blog fasst die wichtigsten Informationen dazu zusammen. NIS2 Weiterlesen → NIS2: Wer ist betroffen? So prüfen Geschäftsführung und IT-Leitung ihre Betroffenheit Seit Anfang Mai gibt es einen neuen Entwurf zur Umsetzung der NIS2-Richtlinie (Network Information Security) in deutsches Recht. Am 1. Oktober soll er in Kraft treten. Ziel ist es, dass mehr Unternehmen aus sensiblen Industrien sich besser vor Cyberangriffen schützen. In diesem Blogbeitrag gehen wir also kurz der Frage nach: NIS2 – Wer ist betroffen? NIS2 Weiterlesen → Was ist NIS2? Die EU-NIS2-Richtlinie einfach erklärt In diesem Artikel erhalten Sie einen Überblick über die NIS2-Richtlinie. Darunter über Anforderungen und notwendige Maßnahmen. Jetzt mehr erfahren! NIS2 Weiterlesen → NIS2 Umsetzungsgesetz (NIS2UmsuCG) Die NIS2-Richtlinie bringt neue Sicherheitsmaßnahmen und Meldepflichten für Unternehmen in kritischen Sektoren. Das Ziel: eine stärkere Cybersicherheit in der EU. In Deutschland wird dies durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz umgesetzt. Was bedeutet das für Ihr Unternehmen? Erfahren Sie hier mehr. NIS2 Weiterlesen → NIS2 Security: Effiziente Angriffserkennung & Reporting Die NIS2-Richtlinie muss bis Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Sie bringt dabei für viele Unternehmen wichtige Neuerungen mit sich. Eine der bedeutendsten Änderungen betrifft die Angriffserkennung und Meldepflicht für Vorfälle. Was das ist, erfahren Sie im Blog! NIS2 Weiterlesen → Der EU Data Act: Neue Vorschriften für den Umgang mit Daten in Unternehmen Der EU Data Act legt Regeln für den Austausch und die gemeinsame Nutzung von Daten (Interoperabilität) zwischen verschiedenen Akteuren auf dem Markt fest. Ziel sind faire Verträge über die gemeinsame Nutzung von Daten. KRITIS Weiterlesen → NIS2: Höhere Sicherheit für kritische Infrastrukturen in Europa Seit Anfang Januar 2023 ist die NIS2-Richtlinie (Network Information Security) in Kraft. Sie soll die Sicherheit kritischer Infrastrukturen (KRITIS) europaweit signifikant erhöhen und vereinheitlichen. Pentest Weiterlesen → < Zurück zur Übersicht NIS2 Compliance
Ebene 1: Aufsichtsrechtlich Das Unternehmen zahlt ein Bußgeld. Die Höhe hängt von der Einrichtungskategorie ab.
Ebene 2: Zivilrechtlich Sie als Geschäftsführer oder Vorstand haften persönlich für Schäden, die aus Pflichtverletzungen im Bereich Cybersicherheit entstehen. Das schließt Ihr Privatvermögen ein.
Szenario 1: Cyberangriff trifft ein unvorbereitetes Unternehmen Ein mittelständischer Zulieferer, klassifiziert als wichtige Einrichtung, wird Opfer eines Ransomware-Angriffs. Die Produktion steht still. Kundendaten sind kompromittiert. Im Zuge der Untersuchung stellt das BSI fest: keine dokumentierte Risikoanalyse, keine Notfallpläne, keine Schulungen. Das Unternehmen erhält ein Bußgeld. Gleichzeitig prüft der Aufsichtsrat, ob der Geschäftsführer seine Sorgfaltspflichten verletzt hat. Die fehlende Dokumentation ist dabei das entscheidende Belastungsmerkmal.
Szenario 2: Meldepflichten werden nicht fristgerecht erfüllt NIS2 schreibt klare Meldefristen vor. Ein erheblicher Sicherheitsvorfall muss dem BSI innerhalb von 24 Stunden als Erstmeldung angezeigt werden. Eine detaillierte Meldung folgt innerhalb von 72 Stunden. Ein Unternehmen erkennt den Vorfall, meldet aber erst nach vier Tagen. Intern war schlicht nicht geregelt, wer dafür zuständig ist. Die Aufsichtsbehörde wertet es als organisatorische Pflichtverletzung. Der Geschäftsführer muss nachweisen, dass er geeignete Prozesse eingerichtet hatte, und kann es nicht.
Szenario 3: Kein dokumentiertes Risikomanagement nachweisbar Ein Unternehmen hat tatsächlich in IT-Sicherheit investiert: Firewalls, Backups, Multi-Faktor-Authentifizierung, Endpoint-Protection. Alles ist vorhanden. Nichts davon ist dokumentiert. Keine Risikoanalyse. Kein schriftlicher Nachweis über Schulungen. Keine Protokolle der Leitungsebene. Bei einer BSI-Prüfung kann das Unternehmen die getroffenen Maßnahmen nicht belegen. Im Ernstfall gilt: Wer nicht beweisen kann, dass er gehandelt hat, hat für die Aufsichtsbehörde möglicherweise nicht gehandelt. Dokumentation ist dabei der verlässlichste, aber nicht der einzige Weg zum Nachweis.
Frist zur NIS2 Registrierung beim BSI abgelaufen Die NIS2-Registrierungsfrist lief am 6. März 2026 ab. Nur 39 % der betroffenen Unternehmen haben sich beim BSI registriert. Warum so viele gescheitert sind – und wie Sie die Registrierung jetzt rechtssicher nachholen. NIS2 Weiterlesen →
So setzen Sie die NIS2-Anforderungen effizient um Seit dem 6. Dezember 2025 gilt NIS2 verbindlich. Jetzt zählt: Risiken kennen, Verantwortlichkeiten klären, Security verankern – wir zeigen, wie es gelingt. NIS2 Weiterlesen →
NIS2: Umgang mit IT-Sicherheitsvorfällen im Unternehmen Steigende IT-Abhängigkeit und komplexe Bedrohungen machen Sicherheitsvorfälle für Unternehmen unvermeidbar. Erfahren Sie in unserem Blog, wie ein adäquater Umgang Schäden minimiert, Geschäftskontinuität sichert und EU-Richtlinie NIS-2 erfüllt wird. Informationssicherheit Weiterlesen →
NIS2 Checkliste: Der Guide für Verantwortliche Die NIS2 Checkliste unterstützt Sie Schritt für Schritt, die wichtigsten Anforderungen zu verstehen und auf Ihr Unternehmen anzuwenden. Nutzen Sie sie als einfaches NIS2 Tool zur Selbstbewertung und zur Vorbereitung auf Gespräche. IT Security Weiterlesen →
NIS2-Haftung: Was Geschäftsführer jetzt wissen müssen Die NIS2 fordert von kritischen Unternehmen und öffentlichen Einrichtungen umfangreiche Maßnahmen zum Schutz gegen Cyberattacken. Unternehmen, die diese Pflichten missachten, haben mit erheblichen NIS2-Folgen zu rechnen. Dieser Blog fasst die wichtigsten Informationen dazu zusammen. NIS2 Weiterlesen →
NIS2: Wer ist betroffen? So prüfen Geschäftsführung und IT-Leitung ihre Betroffenheit Seit Anfang Mai gibt es einen neuen Entwurf zur Umsetzung der NIS2-Richtlinie (Network Information Security) in deutsches Recht. Am 1. Oktober soll er in Kraft treten. Ziel ist es, dass mehr Unternehmen aus sensiblen Industrien sich besser vor Cyberangriffen schützen. In diesem Blogbeitrag gehen wir also kurz der Frage nach: NIS2 – Wer ist betroffen? NIS2 Weiterlesen →
Was ist NIS2? Die EU-NIS2-Richtlinie einfach erklärt In diesem Artikel erhalten Sie einen Überblick über die NIS2-Richtlinie. Darunter über Anforderungen und notwendige Maßnahmen. Jetzt mehr erfahren! NIS2 Weiterlesen →
NIS2 Umsetzungsgesetz (NIS2UmsuCG) Die NIS2-Richtlinie bringt neue Sicherheitsmaßnahmen und Meldepflichten für Unternehmen in kritischen Sektoren. Das Ziel: eine stärkere Cybersicherheit in der EU. In Deutschland wird dies durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz umgesetzt. Was bedeutet das für Ihr Unternehmen? Erfahren Sie hier mehr. NIS2 Weiterlesen →
NIS2 Security: Effiziente Angriffserkennung & Reporting Die NIS2-Richtlinie muss bis Oktober 2024 von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Sie bringt dabei für viele Unternehmen wichtige Neuerungen mit sich. Eine der bedeutendsten Änderungen betrifft die Angriffserkennung und Meldepflicht für Vorfälle. Was das ist, erfahren Sie im Blog! NIS2 Weiterlesen →
Der EU Data Act: Neue Vorschriften für den Umgang mit Daten in Unternehmen Der EU Data Act legt Regeln für den Austausch und die gemeinsame Nutzung von Daten (Interoperabilität) zwischen verschiedenen Akteuren auf dem Markt fest. Ziel sind faire Verträge über die gemeinsame Nutzung von Daten. KRITIS Weiterlesen →
NIS2: Höhere Sicherheit für kritische Infrastrukturen in Europa Seit Anfang Januar 2023 ist die NIS2-Richtlinie (Network Information Security) in Kraft. Sie soll die Sicherheit kritischer Infrastrukturen (KRITIS) europaweit signifikant erhöhen und vereinheitlichen. Pentest Weiterlesen →