Was NIS2 ist – und warum es jetzt zählt
NIS2 ist die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit. Das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist am 6. Dezember 2025 in Kraft getreten – ohne Übergangsfrist.
Das bedeutet: Die Pflichten gelten seit Tag eins. Wer noch nichts unternommen hat, befindet sich bereits in einer Compliance-Lücke.
Wer ist betroffen?
Das Gesetz regelt 18 Sektoren – aufgeteilt in zwei Kategorien:
Besonders wichtige Einrichtungen (proaktive BSI-Aufsicht):
- Energie, Transport und Verkehr
- Banken und Finanzmarktinfrastruktur
- Gesundheitswesen, Trinkwasser, Abwasser
- Digitale Infrastruktur und IKT
- Öffentliche Verwaltung, Raumfahrt
Wichtige Einrichtungen (reaktive Aufsicht):
- Post- und Kurierdienste
- Abfallwirtschaft
- Chemische Industrie
- Lebensmittelproduktion
- Verarbeitendes Gewerbe (Maschinenbau, Kfz-Teile, Elektrotechnik)
- Anbieter digitaler Dienste
- Forschungseinrichtungen
Entscheidend sind drei Kriterien: Sektorzugehörigkeit, Mindestgröße ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz – und die Einstufung nach § 28 BSIG.
Hinzu kommt: Auch wer formal nicht unter NIS2 fällt, kann über die Lieferkette mittelbar verpflichtet werden. Ein Maschinenbau-Zulieferer für die Automobilindustrie wird durch seinen NIS2-pflichtigen Kunden vertraglich an die gleichen Standards gebunden – ganz ohne eigene gesetzliche Pflicht.
Die wichtigsten neuen Pflichten
Das Gesetz konkretisiert zehn Maßnahmenbereiche, darunter:
- Risikoanalyse und Sicherheitskonzept
- Incident Management mit dokumentierten Notfallplänen
- Backup-Management und Krisenmanagement
- Lieferkettensicherheit
- Multifaktor-Authentifizierung
- Schulungen der Beschäftigten
- Zugangskontrollen und Verschlüsselung
Besonders kritisch sind die neuen Meldefristen:
- 24 Stunden: Frühwarnung an das BSI bei einem erheblichen Sicherheitsvorfall
- 72 Stunden: Ausführliche Folgemeldung mit Bewertung
- 1 Monat: Abschlussmeldung mit Ursachenanalyse
Wer die Fristen versäumt, riskiert eigenständige Bußgeldtatbestände – unabhängig vom eigentlichen Sicherheitsvorfall.
Die persönliche Haftung der Geschäftsführung
Das eigentliche Novum von NIS2 liegt nicht in der Technik, sondern in der Verantwortung. § 38 BSIG verpflichtet die Geschäftsleitung persönlich zu drei nicht delegierbaren Aufgaben:
Billigung: Die Geschäftsleitung muss die Risikomanagementmaßnahmen aktiv genehmigen – dokumentiert, mit Datum und Beschluss.
Überwachung: Die Umsetzung muss kontinuierlich kontrolliert werden. Ein „Machen Sie mal" reicht nicht.
Schulung: Die Geschäftsleitung muss selbst regelmäßig an Cybersicherheitsschulungen teilnehmen – nicht stellvertretend der IT-Leiter.
Wird diese Pflicht schuldhaft verletzt, haftet die Geschäftsführung persönlich nach den gesellschaftsrechtlichen Bestimmungen (§ 43 Abs. 2 GmbHG, § 93 Abs. 2 AktG). Das bedeutet: Im Schadenfall greift das Privatvermögen.
Das Gesetz sieht zudem vor, dass das BSI bei anhaltender Nichterfüllung Geschäftsführern vorübergehend die Ausübung ihrer Leitungstätigkeit untersagen kann.
Was Versicherer schon vor NIS2 entschieden haben: Zwei wegweisende Urteile
Wie ernst Gerichte die IT-Sicherheitspflichten nehmen, zeigt die Rechtsprechung der vergangenen Jahre – auch ohne NIS2-Bezug:
Im Urteil des Landgerichts Tübingen (Az. 4 O 193/21) wurde ein Versicherer zur Zahlung von 2,8 Millionen Euro nach einem Ransomware-Angriff verpflichtet. Das Gericht stellte klar: Selbst veraltete Server entlasten den Versicherer nicht automatisch, wenn sie nicht ursächlich für den Schaden waren. Wichtig zu wissen: Das Urteil ist beim OLG Stuttgart in der Berufung anhängig.
Anders entschied das Landgericht Kiel (Az. 5 O 128/21): Ein Holzgroßhändler hatte Risikofragen falsch beantwortet – die Cyberversicherung war damit von Anfang an nichtig. Der Schaden von 500.000 Euro blieb am Unternehmen hängen. Das Urteil wurde inzwischen vom OLG bestätigt.
Das bedeutet: Spätestens mit NIS2 wird die Sorgfaltspflicht bei Antragstellung und IT-Sicherheit zur Existenzfrage. Wer Risikofragen oberflächlich beantwortet, verliert den Versicherungsschutz im Ernstfall.
Welche Versicherungen jetzt zusammenspielen müssen
NIS2 lässt sich nicht mit einer einzigen Police absichern. Erst das Zusammenspiel mehrerer Bausteine schafft eine tragfähige Grundlage:
Cyberversicherung – die operative Absicherung
Sie deckt die direkten Folgen eines Angriffs ab:
- IT-Forensik und Systemwiederherstellung
- Betriebsunterbrechungsschäden
- Krisenmanagement und Kommunikation
- Rechtsberatung bei Meldepflichten
- Cyber-Erpressung und Lösegeldforderungen
- Benachrichtigungskosten nach DSGVO
D&O-Versicherung – die persönliche Absicherung der Geschäftsführung
Sie schützt das Privatvermögen der Organe bei schuldhafter Pflichtverletzung. Der Gesetzgeber hat in der Begründung zu § 38 BSIG ausdrücklich klargestellt: D&O-Versicherungen sollen durch NIS2 nicht eingeschränkt werden.
Allerdings gibt es kritische Lücken:
- Bußgelder sind in Deutschland nicht direkt versicherbar
- Wissentliche Pflichtverletzungen sind ausgeschlossen
- Viele bestehende D&O-Policen enthalten Cyber-Ausschlussklauseln
Vertrauensschadenversicherung – der oft übersehene Baustein
Bei Social Engineering, Fake-President-Angriffen und Innentätern greift die klassische Cyberversicherung häufig nicht. Hier schließt die Vertrauensschadenversicherung eine wichtige Lücke.
Strafrechtsschutz für Unternehmensorgane
Bei Ermittlungsverfahren gegen Geschäftsführer übernimmt eine Spezialdeckung Anwalts- und Gutachterkosten – unabhängig davon, ob am Ende ein zivilrechtlicher D&O-Anspruch entsteht.
Die größten Stolperfallen in der Praxis
Falle 1: „Wir sind doch versichert." Cyberversicherer schauen seit 2023 deutlich genauer hin. Bei Unternehmen mit über 10 Millionen Euro Umsatz wird mittlerweile rund jeder zweite Antrag wegen unzureichender IT-Sicherheit abgelehnt.
Falle 2: Die alte D&O-Police. Verträge, die vor 2023 abgeschlossen wurden, enthalten oft veraltete Ausschlussklauseln, die mit den NIS2-Pflichten kollidieren. Eine Überprüfung ist unerlässlich.
Falle 3: Die Lieferketten-Falle. Auch Unternehmen unter 50 Mitarbeitenden müssen handeln, wenn sie Zulieferer NIS2-pflichtiger Kunden sind. Die Verträge mit den Auftraggebern enthalten zunehmend NIS2-Klauseln mit Audit- und Nachweispflichten.
Falle 4: Fehlende Dokumentation. Im Schadenfall muss die Geschäftsführung nachweisen können, dass sie ihren Pflichten nachgekommen ist. Ohne dokumentierte Beschlüsse, Schulungsnachweise und Statusberichte ist die D&O-Versicherung im Zweifel ohne Wirkung.
Was jetzt zu tun ist
Drei Schritte stehen im Mittelpunkt:
Erstens: Betroffenheit prüfen. Sektor, Größe und Lieferkettenposition bestimmen den Pflichtenumfang. Das BSI bietet eine Online-Betroffenheitsprüfung an.
Zweitens: Versicherungsschutz auf den Prüfstand stellen. Cyber, D&O und Vertrauensschaden müssen aufeinander abgestimmt sein. Lücken zwischen den Policen sind im Schadenfall die teuersten.
Drittens: Dokumentation aufbauen. Geschäftsleitungsbeschlüsse, Schulungsnachweise, Risikoregister und Incident-Response-Pläne sind nicht nur Compliance-Pflicht, sondern auch Versicherungsvoraussetzung.
Fazit: NIS2 macht Cybersicherheit zur Chefsache – mit allen Konsequenzen
Cybersicherheit war lange ein IT-Thema. Mit NIS2 ist sie zur persönlichen Verantwortung der Unternehmensleitung geworden. Die Kombination aus harten Bußgeldern, persönlicher Haftung und kurzen Meldefristen verändert die Risikolage grundlegend.
Wer jetzt seine bestehenden Versicherungsverträge nicht überprüft, läuft Gefahr, im Ernstfall doppelt zu verlieren – einmal durch den Angriff, ein zweites Mal durch die nicht greifende Versicherung.
Die gute Nachricht: Die Risiken sind versicherbar. Aber nur dann, wenn Cyber-, D&O- und Vertrauensschadenversicherung sauber ineinandergreifen und auf die konkrete Risikolage des Unternehmens abgestimmt sind.
👉 Sprechen Sie mit uns – wir prüfen Ihren bestehenden Schutz, identifizieren NIS2-bedingte Deckungslücken und stellen sicher, dass Geschäftsführung und Unternehmen im Ernstfall handlungsfähig bleiben. Persönlich, ungebunden und vorausschauend.