NIS 2.0 rückt näher! Umsetzung noch in 2025 – ist das nicht Sache der IT?

Mit der nächsten Plenarsitzung des Bundesrats am 21.11.2025 dürfte das Gesetz voraussichtlich gebilligt werden. Die Bestimmungen werden anschließend durch Verkündung unmittelbar und ohne Übergangsfrist in Kraft treten.

Durch das Gesetz wird zwar die Manager-Haftung im Prinzip nicht anders definiert als durch bereits bestehende gesetzliche Bestimmungen, doch werden Pflichten im Hinblick auf die Informationssicherheit erweitert und konkretisiert sowie Verantwortlichkeiten ausdrücklich und unabdingbar zugewiesen.

Verantwortung und Haftung

Die Geschäftsleitung trägt die Gesamtverantwortung für die Umsetzung der Sicherheitsmaßnahmen. Bei Verstößen drohen persönliche Haftung und Bußgelder von bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes.

Die Geschäftsleitung kann sich von ihrer Gesamtverantwortung nicht durch die Übertragung von Aufgaben und Verantwortlichkeiten, bspw. an Dienstleister oder eigenes IT-Personal, entlasten.

Governance und Risikomanagement

Geschäftsführer müssen sicherstellen, dass ein Informationssicherheits-Managementsystem (ISMS) eingeführt wird, Risiken regelmäßig bewertet und angemessene technische sowie organisatorische Maßnahmen umgesetzt werden.

Meldepflichten und Compliance

Sicherheitsvorfälle sind innerhalb von 24 Stunden zu melden, ergänzt durch Folgeberichte. Zudem sind interne Prozesse zur Dokumentation und regelmäßige Audits verpflichtend.

Die Wahrscheinlichkeit dahingehend, dass Manager wegen unzureichender IT-Sicherheit, unzureichendem Risikomanagement oder auch unzureichender Cyberversicherung in die Verantwortung genommen werden könnten, steigt im Zuge dessen sicherlich an.

Hinsichtlich der relevanten Versicherungslösungen sind insbesondere die Straf-Rechtsschutz-, D&O- und Cyberversicherung von hoher Bedeutung für das Management.

Unternehmen sind in zahlreichen Branchen schon ab einer Größe von mind. 50 Mitarbeitern oder Jahresumsatz und Jahresbilanzsumme von jeweils über 10 Mio. € betroffen!

Deutscher Bundestag - Gesetz zur Informationssicherheit in der Bundesverwaltung beschlossen:
https://www.bundestag.de/dokumente/textarchiv/2025/kw46-de-nis-2-1123138

Zurück zur Übersicht