NIS2 für KRITIS: Persönliche Verantwortung der Geschäftsführung

Stellen Sie sich vor, das Stromnetz Ihrer Region fällt aus. Oder die Wasserversorgung. Oder die IT-Systeme des größten Krankenhauses der Stadt werden lahmgelegt. Die Ursache: ein Cyberangriff, der hätte verhindert werden können. Die Frage, die sich die Behörden nun stellen, lautet nicht mehr nur: „Was hat die IT-Abteilung falsch gemacht?“, sondern: „Was hat die Geschäftsführung versäumt, um dies zu verhindern?“

‍

Mit der Einführung der NIS2-Richtlinie hat sich die Spielregel für Betreiber kritischer Infrastrukturen (KRITIS) fundamental geändert. Cybersicherheit ist endgültig kein reines IT-Thema mehr, das an den CISO delegiert werden kann. Sie ist zu einer zentralen Governance-Aufgabe geworden, für deren Umsetzung und Überwachung die Leitungsorgane persönlich haften. Für Geschäftsführer von Energieversorgern, Krankenhäusern oder Verkehrsbetrieben bedeutet das: Wegschauen ist keine Option mehr.

‍

Von der IT-Aufgabe zur Chefsache: Was NIS2-Governance für KRITIS bedeutet

‍

Bisher konnten sich viele Führungskräfte darauf verlassen, dass die technischen Aspekte der Cybersicherheit von Spezialisten erledigt werden. Die NIS2-Richtlinie durchbricht diese Denkweise radikal. Sie verankert die Verantwortung für das Risikomanagement direkt auf der obersten Führungsebene. Das bedeutet, Leitungsorgane müssen die Cybersicherheitsmaßnahmen nicht nur genehmigen, sondern deren Umsetzung aktiv überwachen und nachweisen können, dass sie ihrer Sorgfaltspflicht nachgekommen sind.

‍

Die Delegation der Aufgaben an einen IT-Leiter entbindet die Geschäftsführung nicht mehr von ihrer Rechenschaftspflicht. Im Gegenteil: Sie muss sicherstellen, dass die beauftragten Personen die nötigen Ressourcen (Budget, Personal, Zeit) erhalten und ihre Arbeit effektiv kontrolliert wird. Diese neuen Pflichten lassen sich in vier Kernbereiche unterteilen.

‍

‍

Die 4 Säulen der Geschäftsführer-Verantwortung unter NIS2

‍

Für KRITIS-Betreiber sind diese Governance-Anforderungen besonders streng, da ein Ausfall ihrer Dienste unmittelbare Auswirkungen auf die Gesellschaft hat. Die Geschäftsführung muss die folgenden vier Pflichten verstehen und aktiv umsetzen:

‍

1. Billigungspflicht: Risikomanagementmaßnahmen strategisch genehmigen

‍

Die Geschäftsführung muss die vom Unternehmen ergriffenen Risikomanagementmaßnahmen für die Cybersicherheit explizit „billigen“. Das ist mehr als eine bloße Unterschrift. Es bedeutet, die vorgeschlagenen Konzepte zu verstehen, kritisch zu hinterfragen und sicherzustellen, dass sie angemessen und wirksam sind.

‍

Was das in der Praxis bedeutet:

‍

• Verständnis der Risikolandschaft: Sie müssen die Ergebnisse einer fundierten NIS2-Risikobewertung kennen und verstehen, welche Cyber-Bedrohungen für Ihr Unternehmen am relevantesten sind.
  ‍
• Ressourcenfreigabe: Sie sind dafür verantwortlich, das notwendige Budget und Personal für die Umsetzung der Maßnahmen bereitzustellen. Ein abgelehntes Budget für ein kritisches Sicherheitstool kann Ihnen später als Versäumnis ausgelegt werden.
  ‍
• Strategische Entscheidung: Die Cybersicherheitsstrategie muss mit den allgemeinen Unternehmenszielen im Einklang stehen.

‍

2. Überwachungspflicht: Die Umsetzung aktiv kontrollieren

‍

Die vielleicht größte Veränderung ist die Pflicht zur Überwachung. Es reicht nicht, Maßnahmen zu genehmigen – Sie müssen deren Implementierung und Wirksamkeit kontinuierlich kontrollieren.

‍

Was das in der Praxis bedeutet:

‍

• Regelmäßige Berichte einfordern: Etablieren Sie einen Prozess, bei dem Ihnen der CISO oder IT-Sicherheitsbeauftragte regelmäßig und in verständlicher Sprache über den Status der Cybersicherheit berichtet.
  ‍
• Die richtigen Fragen stellen: Fragen Sie nicht nur „Sind wir sicher?“, sondern „Wie weisen wir nach, dass unsere Schutzmaßnahmen funktionieren?“, „Welche Restrisiken akzeptieren wir bewusst?“ oder „Wie hat sich unsere Risikolage seit dem letzten Quartal verändert?“.
  ‍
• Kennzahlen (KPIs) definieren: Führen Sie aussagekräftige Kennzahlen ein, um den Erfolg der Sicherheitsmaßnahmen messbar zu machen (z. B. Anzahl der geschlossenen Sicherheitslücken, Zeit bis zur Behebung kritischer Vorfälle).

‍

3. Schulungspflicht: Die eigene Kompetenz sicherstellen

‍

NIS2 schreibt explizit vor, dass die Mitglieder der Leitungsorgane selbst an Schulungen teilnehmen müssen. Ziel ist es, dass sie ausreichende Kenntnisse erwerben, um Cyberrisiken zu erkennen und die vorgeschlagenen Maßnahmen beurteilen zu können. Sie müssen kein IT-Experte werden, aber die Grundlagen der Cybersicherheit und die spezifischen Risiken für Ihr Unternehmen verstehen. Diese NIS2 Schulungen sind obligatorisch und müssen nachgewiesen werden.

‍

4. Verantwortung bei Meldepflichten: Im Ernstfall richtig handeln

‍

Im Falle eines erheblichen Sicherheitsvorfalls trägt die Geschäftsführung die Verantwortung dafür, dass die strengen Meldepflichten an die zuständigen Behörden (wie das BSI) fristgerecht erfüllt werden. Sie muss sicherstellen, dass im Unternehmen klare Prozesse für die Erkennung, Bewertung und Meldung von Vorfällen existieren und funktionieren.

‍

Praktische Umsetzung: Ihr Fahrplan zur NIS2-Governance

‍

Die Umsetzung dieser Anforderungen mag komplex erscheinen, lässt sich aber in einem strukturierten Prozess bewältigen. Ein allgemeiner NIS2 Umsetzung Leitfaden hilft dabei, die richtigen Schritte in der richtigen Reihenfolge zu gehen. Für die Führungsebene bedeutet dies konkret:

‍

‍

1. Betroffenheit klären: Stellen Sie zweifelsfrei fest, ob und in welchem Umfang Ihr Unternehmen als KRITIS-Betreiber unter NIS2 fällt.
2. Verantwortlichkeiten definieren: Benennen Sie einen klaren Verantwortlichen für die operative Umsetzung (z. B. CISO) und definieren Sie die Reporting-Wege zur Geschäftsführung.
3. Risikoanalyse durchführen lassen: Beauftragen und prüfen Sie eine umfassende Risikoanalyse, um die spezifischen Bedrohungen für Ihr Unternehmen zu identifizieren.
4. Maßnahmenplan billigen: Genehmigen Sie auf Basis der Analyse einen konkreten Maßnahmenplan inklusive Zeit- und Ressourcenplanung. Dokumentieren Sie diese Entscheidung sorgfältig.
5. Überwachungssystem etablieren: Richten Sie regelmäßige Meetings und verständliche Berichtsformate ein, um die Fortschritte zu kontrollieren.
6. Schulungen absolvieren: Nehmen Sie und andere Leitungsorgane an den vorgeschriebenen Schulungen teil.
7. Notfallprozesse prüfen: Stellen Sie sicher, dass die Prozesse für die Meldung von Sicherheitsvorfällen etabliert und getestet sind.

Die Konsequenzen der Vernachlässigung: Persönliche Haftung und Bußgelder

‍

Das "Aha-Erlebnis" für viele Führungskräfte ist die Erkenntnis, dass NIS2 bei grober Fahrlässigkeit nicht nur empfindliche Bußgelder für das Unternehmen vorsieht, sondern auch eine persönliche Haftung der Geschäftsführung. Die NIS2 Haftung für Geschäftsführer kann greifen, wenn nachgewiesen wird, dass die Leitungsorgane ihre Billigungs- und Überwachungspflichten verletzt haben. Dies kann von hohen Geldbußen bis hin zu einem vorübergehenden Verbot der Geschäftsführertätigkeit reichen.

‍

‍

Die Dokumentation Ihrer Entscheidungen und Kontrollmaßnahmen ist daher nicht nur eine bürokratische Übung, sondern Ihr wichtigster Schutzschild im Haftungsfall.

‍

Fazit: NIS2 ist eine Führungsaufgabe

‍

Für Geschäftsführer von KRITIS-Betreibern ist die Botschaft von NIS2 unmissverständlich: Die Zeit, in der Cybersicherheit ein Thema für den Serverraum war, ist vorbei. Sie ist nun ein fester Bestandteil der Unternehmensführung und erfordert Ihre aktive Beteiligung, Ihr Verständnis und Ihre Kontrolle.

‍

Indem Sie diese neue Verantwortung annehmen, schützen Sie nicht nur Ihr Unternehmen vor Angriffen und empfindlichen Strafen, sondern auch sich selbst vor persönlicher Haftung. Viel wichtiger noch: Sie tragen entscheidend dazu bei, die kritischen Infrastrukturen, auf die wir uns alle verlassen, widerstandsfähiger und sicherer zu machen. Der erste Schritt ist, das Thema zur Priorität zu machen – auf Ihrer persönlichen Agenda.

‍

FAQ: Häufige Fragen zur NIS2-Governance für KRITIS-Betreiber

‍

Wir haben einen fähigen CISO. Reicht das nicht aus, um NIS2-konform zu sein?

‍

‍Nein. Einen CISO zu haben, ist ein wichtiger operativer Schritt, aber NIS2 zielt explizit auf die Verantwortung der Geschäftsführung. Sie können die Aufgaben delegieren, aber nicht die Rechenschaftspflicht. Sie müssen die Arbeit des CISO überwachen und mit den nötigen Mitteln ausstatten.

‍

Was ist der Hauptunterschied zwischen NIS1 und NIS2 für die Geschäftsführung?

‍

‍Der größte Unterschied liegt in der expliziten Benennung und den detaillierten Pflichten der Leitungsorgane. Während NIS1 eher allgemeine Anforderungen an die Sicherheit stellte, definiert NIS2 klare Governance-Pflichten wie Billigung, Überwachung und Schulung und koppelt diese an direkte Sanktionen und persönliche Haftung.

‍

Wie finde ich heraus, ob mein Unternehmen betroffen ist?

‍

‍Die Frage, wer von NIS2 betroffen ist, hängt von der Branche (z. B. Energie, Gesundheit, Verkehr, Wasser) und der Unternehmensgröße ab. Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) wird die genauen Schwellenwerte definieren. Eine frühzeitige Prüfung ist für alle KRITIS-Betreiber unerlässlich. Wenn Sie unsicher sind, sollten Sie rechtlichen oder fachlichen Rat einholen.

‍

Müssen wir jetzt unser gesamtes Budget in Cybersicherheit investieren?

‍

‍Nein, NIS2 fordert „angemessene“ Maßnahmen, die dem Risiko entsprechen. Die Geschäftsführung muss eine nachvollziehbare Abwägung zwischen Risiko, Schutzbedarf und wirtschaftlichen Kosten treffen und diese dokumentieren. Eine fundierte Risikoanalyse ist die Grundlage für diese Entscheidung. Wenn Sie mehr über die Grundlagen erfahren möchten, lesen Sie unseren Artikel Was ist NIS2.

‍