NIS2 wird vollstreckt: Erste Verfahren, persönliche Haftung

7 Min. Lesezeit

NIS2 ist von der Vorbereitung in die Vollstreckung gekippt. In den ersten Mitgliedstaaten werden Sanktionen veröffentlicht, Deutschland hat Verfahren gegen mehrere Stellen wegen verspäteter Meldungen eröffnet, das BSI auditiert aktiv. Neu ist nicht die Richtlinie, neu ist der Ernst: Bußgelder bis zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, und die Geschäftsleitung haftet persönlich. Das verschiebt die Frage vom Ob ins Jetzt.

Verwandt:Der Token, der MFA aushebelt  /  Cyber-Haftung in der Verwaltung

Was die Verschiebung in die Vollstreckung bedeutet

Was ist NIS2? NIS2 ist die EU-Richtlinie zur Sicherheit von Netz- und Informationssystemen. Sie verpflichtet wesentliche und wichtige Einrichtungen zu Risikomanagement, Meldepflichten bei Vorfällen und nachweisbaren Sicherheitsmaßnahmen. Anders als die Vorgängerrichtlinie macht NIS2 die Geschäftsleitung ausdrücklich verantwortlich.

Jahrelang war NIS2 ein Projekt für die Zukunft: ein Reifegrad, den man irgendwann erreichen wollte. Diese Phase ist vorbei. Mit den ersten veröffentlichten Sanktionen und aktiven Verfahren ist die Richtlinie zur durchsetzbaren Pflicht geworden. Für ein SOC ändert das die Prioritäten. Es reicht nicht mehr, Maßnahmen zu haben. Sie müssen dokumentiert, nachweisbar und im Ernstfall fristgerecht meldbar sein.

Die Meldepflicht ist dabei der erste Stolperstein. Die deutschen Verfahren betreffen verspätete Meldungen, nicht etwa fehlende Technik. Eine Erstmeldung innerhalb von 24 Stunden und ein ausführlicher Bericht binnen 72 Stunden verlangen einen eingeübten Prozess, kein Ad-hoc-Vorgehen. Wer im Vorfall erst überlegt, wer wann was an wen meldet, verliert genau die Frist, die jetzt sanktioniert wird.

Warum die persönliche Haftung alles ändert

Der eigentliche Hebel von NIS2 ist nicht die Bußgeldhöhe, sondern die Adressierung. Die Richtlinie verpflichtet die Leitungsorgane, die Risikomanagement-Maßnahmen zu genehmigen und zu überwachen. Damit wird Cybersicherheit zur Chefsache im wörtlichen Sinn. Bei schweren Verstößen drohen nicht nur Geldbußen, sondern persönliche Verantwortung bis hin zu temporären Tätigkeitsverboten für die Leitung.

Für die Praxis im SOC ist das gute Nachricht und Verpflichtung zugleich. Gute Nachricht, weil das alte Problem entfällt, dass Sicherheitsbudgets auf der Leitungsebene versanden. Wenn die Leitung haftet, ist sie interessiert. Verpflichtung, weil das SOC nun liefern muss, was die Leitung zur Erfüllung ihrer Pflicht braucht: nachvollziehbare Nachweise, dass die Maßnahmen existieren, wirken und im Vorfall greifen.

Was ein SOC jetzt konkret nachweisen muss

Der erste Punkt ist die Meldekette. Wer stellt fest, wer entscheidet, wer meldet, und in welcher Frist. Dieser Ablauf gehört geprobt, nicht nur beschrieben. Eine Tischübung, die einen Vorfall durchspielt, deckt in einer Stunde auf, woran die echte Meldung scheitern würde: unklare Zuständigkeit, fehlende Kontaktdaten der Behörde, keine vorbereitete Meldevorlage.

Der zweite Punkt ist die Belegbarkeit. Das BSI prüft nicht, ob jemand guten Willen hatte, sondern ob Maßnahmen nachweisbar sind. Logs, die zeigen, dass Patches eingespielt wurden. Protokolle, die belegen, dass Zugriffe überwacht werden. Eine dokumentierte Risikobewertung, die die Leitung abgezeichnet hat. Was nicht dokumentiert ist, existiert im Audit nicht.

Im Audit zählt nicht, was ein Team getan hat, sondern was es belegen kann. Eine wirksame Maßnahme ohne Nachweis ist vor der Aufsicht keine Maßnahme.

Der dritte Punkt ist die Lieferkette. NIS2 verlangt, dass auch die Sicherheit der Zulieferer bewertet wird. Ein Unternehmen haftet nicht nur für die eigene Technik, sondern für das Risiko, das es über seine Dienstleister hereinholt. Das ist Arbeit, die viele noch vor sich haben, weil sie eine Bestandsaufnahme der kritischen Zulieferer und ihrer Sicherheitslage verlangt. Wer hier nichts vorzuweisen hat, hat eine sichtbare Lücke.

Die nüchterne Einordnung: NIS2 erfindet keine neue Technik. Es erzwingt Disziplin bei dem, was ohnehin gute Praxis war. Patchen, Überwachen, Melden, Dokumentieren. Der Unterschied ist, dass diese Disziplin jetzt geprüft und sanktioniert wird, und dass die Leitung dafür geradesteht. Wer beim nächsten BSI-Audit oder Vorfall keine Nachweise hat, hat die Frist verpasst, in der Vorbereitung billiger war als die Strafe.

Häufige Fragen

Ist NIS2 jetzt wirklich durchsetzbar?

Ja. In den ersten Mitgliedstaaten werden Sanktionen veröffentlicht, Deutschland hat Verfahren wegen verspäteter Meldungen eröffnet, und das BSI auditiert aktiv. Die Vorbereitungsphase ist in die Vollstreckung übergegangen.

Wie hoch können die Bußgelder ausfallen?

Für wesentliche Einrichtungen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Hinzu kommen mögliche persönliche Konsequenzen für die Leitung.

Was bedeutet die persönliche Haftung der Geschäftsleitung?

Die Leitungsorgane müssen die Sicherheitsmaßnahmen genehmigen und überwachen. Bei schweren Verstößen drohen neben Bußgeldern persönliche Verantwortung und im Extremfall temporäre Tätigkeitsverbote. Cybersicherheit ist damit wörtlich Chefsache.

Welche Frist gilt für die Meldung von Vorfällen?

Eine Erstmeldung innerhalb von 24 Stunden und ein ausführlicher Bericht binnen 72 Stunden. Genau verspätete Meldungen stehen im Zentrum der ersten deutschen Verfahren, weshalb ein eingeübter Meldeprozess entscheidend ist.

Was prüft das BSI im Audit?

Die Nachweisbarkeit der Maßnahmen. Logs, Protokolle und eine von der Leitung abgezeichnete Risikobewertung. Was nicht dokumentiert ist, gilt im Audit als nicht vorhanden, unabhängig davon, ob es technisch umgesetzt wurde.

Bildquelle: KI-generiert (Juni 2026), C2PA-Zertifikat im Bild hinterlegt

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor Alec Chizhik