Artikel 20 der NIS2-Richtlinie enthält einen Satz, den jeder Geschäftsführer in Deutschland auswendig kennen sollte. Die meisten haben ihn nie gelesen.
Der Satz besagt im Kern: Die Geschäftsleitung haftet persönlich für die Umsetzung von Cybersicherheitsmaßnahmen. Persönlich. Mit dem Privatvermögen.
Nicht die GmbH. Nicht die IT-Abteilung. Nicht der externe Dienstleister. Sie.
Wen betrifft NIS2?
Die erste NIS-Richtlinie betraf rund 4.000 Unternehmen in Deutschland. NIS2 betrifft zwischen 29.000 und 40.000. Das ist eine Verzehnfachung.
Die Schwellenwerte sind bewusst niedrig angesetzt:
- Ab 50 Mitarbeiter oder
- Ab 10 Millionen Euro Jahresumsatz
Wenn Ihr Unternehmen eines dieser beiden Kriterien erfüllt, sind Sie mit hoher Wahrscheinlichkeit betroffen. Und zwar unabhängig davon, ob Sie sich als „kritische Infrastruktur" verstehen oder nicht.
Die Liste der betroffenen Sektoren ist lang: Energie, Transport, Gesundheit, digitale Infrastruktur, Abfallwirtschaft, Lebensmittel, Chemie, Maschinenbau, verarbeitendes Gewerbe — und viele mehr.
Die Lieferketten-Falle
Aber hier wird es wirklich unangenehm: NIS2 enthält eine Lieferketten-Verpflichtung. Betroffene Unternehmen müssen die Cybersicherheit ihrer Zulieferer überprüfen und sicherstellen.
Das bedeutet: Selbst wenn Sie unter den Schwellenwerten liegen, kann Ihr größter Kunde plötzlich einen NIS2-Nachweis von Ihnen verlangen. Ohne diesen Nachweis verlieren Sie den Auftrag. Nicht irgendwann. Jetzt.
Was droht bei Verstößen?
Die Strafen sind nach EU-Maßstab bemessen. Das heißt: empfindlich.
Finanzielle Sanktionen
- Bis zu 10 Millionen Euro oder
- Bis zu 2% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
Für ein Mittelstandsunternehmen mit 30 Millionen Euro Umsatz sind das bis zu 600.000 Euro. Für ein Vergehen, das in vielen Fällen einfach darin besteht, nichts getan zu haben.
Persönliche Konsequenzen für die Geschäftsführung
- Persönliche Haftung mit dem Privatvermögen — die GmbH-Haftungsbeschränkung schützt Sie hier nicht
- Mögliches temporäres Leitungsverbot — Sie dürfen das Unternehmen nicht mehr führen
- Nachweispflicht der Sorgfalt — Sie müssen beweisen, dass Sie alles Zumutbare getan haben. Nicht die Behörde muss beweisen, dass Sie es nicht getan haben.
Lesen Sie den letzten Punkt noch einmal. Die Beweislast liegt bei Ihnen.
Die drei gefährlichsten Irrtümer
Irrtum 1: „Das betrifft uns nicht"
Doch. Die Schwellenwerte sind niedrig, die Sektorenliste ist breit, und die Lieferketten-Pflicht schließt auch Unternehmen ein, die nicht direkt reguliert sind. Prüfen Sie Ihren Status — nicht in drei Monaten, sondern heute.
Irrtum 2: „Unser IT-Dienstleister kümmert sich darum"
Ihr IT-Dienstleister kümmert sich um Ihre IT-Infrastruktur. Er kümmert sich nicht um Ihre NIS2-Compliance. Das sind zwei grundverschiedene Dinge. NIS2 verlangt dokumentierte Prozesse, Risikobewertungen, Schulungsnachweise und Incident-Management-Pläne. Fragen Sie Ihren MSP, ob er diese Dokumente für Sie erstellt hat. Die Antwort wird Sie ernüchtern.
Und selbst wenn er es täte — die Haftung bleibt bei Ihnen. Persönlich. Nicht delegierbar.
Irrtum 3: „Das hat noch Zeit"
Die NIS2-Richtlinie ist in Kraft. Die deutsche Umsetzung läuft. Behörden bauen Prüfkapazitäten auf. Und im Falle eines Sicherheitsvorfalls — eines Ransomware-Angriffs, eines Datenlecks — wird die erste Frage lauten: Welche Maßnahmen hatten Sie ergriffen?
Wenn Ihre Antwort lautet „Wir wollten nächstes Quartal anfangen", dann ist das keine Antwort, die Sie vor persönlicher Haftung schützt.
Was NIS2 konkret verlangt
Die Richtlinie definiert klare Anforderungen. Hier die Kernpunkte:
1. Risikoanalyse und Sicherheitskonzept Sie brauchen eine dokumentierte Analyse der IT-Risiken Ihres Unternehmens und ein daraus abgeleitetes Sicherheitskonzept. Kein generisches Template — sondern eine auf Ihr Unternehmen zugeschnittene Bewertung.
2. Incident Management Ein definierter Prozess für den Umgang mit Sicherheitsvorfällen. Wer wird informiert? Innerhalb welcher Frist? Welche Schritte werden eingeleitet? NIS2 verlangt eine Erstmeldung an die Behörden innerhalb von 24 Stunden.
3. Business Continuity Wie arbeitet Ihr Unternehmen weiter, wenn die IT ausfällt? Backup-Strategien, Wiederherstellungspläne, getestete Notfallprozeduren.
4. Sicherheit der Lieferkette Dokumentierte Bewertung der Cybersicherheit Ihrer Zulieferer und Dienstleister. Vertragliche Absicherung. Regelmäßige Überprüfung.
5. Schulung der Geschäftsleitung Ja, Sie persönlich müssen eine Cybersicherheitsschulung nachweisen können. NIS2 verlangt dies explizit von der Leitungsebene.
6. Technische Maßnahmen Multi-Faktor-Authentifizierung, Verschlüsselung, Zugriffskontrollen, Patch-Management, Netzwerksegmentierung. Die Basics, die bei erstaunlich vielen Unternehmen fehlen.
7. Dokumentation Alles muss nachweisbar sein. Keine Maßnahme zählt, die nicht dokumentiert ist. Im Ernstfall entscheidet die Dokumentation über Ihre persönliche Haftung.
Wie Kengo Sie in 60 Minuten NIS2-compliant macht
Das klingt nach Monaten Arbeit. Nach teuren Beratern. Nach endlosen Workshops.
Muss es aber nicht sein.
Der Kengo IT-Gesundheitscheck deckt die technischen Anforderungen von NIS2 in 60 Minuten ab:
Scan (15 Minuten): Sie verbinden Ihre Microsoft 365- oder Google Workspace-Umgebung per OAuth-Login. Unser System prüft automatisch alle NIS2-relevanten Parameter: MFA-Status, Gerätesicherheit, E-Mail-Authentifizierung, Zugriffsrechte, Ex-Mitarbeiter-Konten, Patch-Level.
Live-Behebung (30 Minuten): Wir zeigen Ihnen die Ergebnisse — und beheben kritische Lücken sofort. MFA für alle Mitarbeiter aktivieren? 30 Sekunden. Ex-Mitarbeiter-Konten deaktivieren? 30 Sekunden. SPF/DKIM/DMARC konfigurieren? Zwei Minuten. Ihr NIS2-Score steigt in Echtzeit.
Dokumentation (15 Minuten): Sie erhalten einen vollständigen PDF-Report mit allen Ergebnissen, durchgeführten Maßnahmen und Ihrem NIS2-Compliance-Score. Dieses Dokument ist Ihr erster Nachweis gegenüber Behörden und Kunden.
Die Rechnung ist einfach
Auf der einen Seite: persönliche Haftung mit dem Privatvermögen, Bußgelder bis 10 Millionen Euro, mögliches Leitungsverbot.
Auf der anderen Seite: 60 Minuten Ihrer Zeit.
Es gibt Entscheidungen, die kompliziert sind. Diese gehört nicht dazu.
Buchen Sie Ihren NIS2-Compliance-Check jetzt — bevor eine Behörde oder ein Sicherheitsvorfall die Entscheidung für Sie trifft.
Bereit, Ihr Unternehmen autonom zu betreiben?
15 Minuten. Keine Verpflichtung. Kein Verkaufsdruck.
Gespräch vereinbaren →