Die Zeit der unverbindlichen Empfehlungen in der IT-Sicherheit ist endgültig vorbei. Während viele Unternehmen noch mit den Nachwehen der Datenschutzgrundverordnung kämpfen, rollt aus Brüssel bereits die nächste regulatorische Lawine auf die deutsche Wirtschaft zu. Wir: Das Unternehmer Wissen beobachten mit Sorge, dass viele Betriebe die Tragweite der neuen EU-Richtlinie NIS-2 noch immer unterschätzen. Ab 2026, wenn die neuen Regeln ihre volle Wirkung entfalten, droht nicht nur ein bürokratischer Mehraufwand, sondern ein echtes Haftungsrisiko für die Chefetage. Es geht nicht mehr nur um kritische Infrastruktur – es geht um das Überleben in der Lieferkette.
Der Mittelstand im Visier: Ein weiter Geltungsbereich
Bislang wähnten sich viele mittelständische Unternehmen in Sicherheit, da strenge Regularien meist nur für Betreiber Kritischer Infrastrukturen (KRITIS) wie Energieversorger oder Krankenhäuser galten. Mit NIS-2 ändert sich dies grundlegend. Der Anwendungsbereich wurde massiv ausgeweitet. Nun fallen auch Sektoren wie das verarbeitende Gewerbe, die Lebensmittelproduktion, die Abfallbewirtschaftung und Postdienste unter die strengen Vorgaben.
Besonders tückisch ist der sogenannte „Sog-Effekt“ über die Lieferkette. Selbst wenn ein Unternehmen nicht direkt unter die Richtlinie fällt, kann es als Zulieferer eines betroffenen Konzerns vertraglich dazu gezwungen werden, denselben hohen Sicherheitsstandard nachzuweisen. Wer hier nicht liefert, fliegt aus dem Lieferantenpool. Die Sicherheit der Supply Chain wird zum entscheidenden Wettbewerbsfaktor.
Chef-Sache statt IT-Problem: Die persönliche Haftung
Der wohl radikalste Punkt der neuen Richtlinie betrifft die Verantwortung („Accountability“). Es ist nicht mehr möglich, das Thema Cybersecurity einfach an den IT-Administrator zu delegieren und sich als Geschäftsführung rauszuhalten. Die Leitungsorgane müssen Risikomanagementmaßnahmen billigen und deren Umsetzung überwachen.
Wie der Deutsche Industrie- und Handelskammertag in seiner Analyse warnt, bedeutet NIS-2: Mehr Verantwortung für Cybersicherheit ab 2026 (DIHK) eine direkte Inpflichtnahme der obersten Managementebene. Kommen Geschäftsführer ihren Überwachungspflichten nicht nach und entsteht dadurch ein Schaden, können sie persönlich haftbar gemacht werden. Die Richtlinie sieht explizit vor, dass nationale Gesetze die Haftung der Leitungsorgane bei Verstößen gegen die Risikomanagementpflichten sicherstellen müssen. Unwissenheit schützt hierbei nicht vor Strafe; vielmehr sind regelmäßige Schulungen für die Führungsebene nun verpflichtend.
Drastische Bußgelder nach DSGVO-Vorbild
Dass die EU es ernst meint, zeigt der Blick auf den Sanktionskatalog. Die Zeiten, in denen IT-Sicherheitsvorfälle als reine Betriebsunfälle abgetan wurden, sind vorbei. Die Bußgelder orientieren sich am Umsatz und erinnern in ihrer Höhe an die DSGVO.
Für „wesentliche Einrichtungen“ können Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden – je nachdem, welcher Betrag höher ist. Für „wichtige Einrichtungen“ liegen die Obergrenzen bei 7 Millionen Euro oder 1,4 % des Umsatzes. Solche Summen können für mittelständische Betriebe schnell existenzbedrohend werden. Hinzu kommen strenge Meldepflichten: Sicherheitsvorfälle müssen künftig innerhalb extrem kurzer Fristen an die zuständigen Behörden gemeldet werden, was etablierte Incident-Response-Prozesse erfordert.
Handlungsdruck: Warten ist keine Strategie
Das Jahr 2026 mag auf dem Papier noch fern wirken, doch die Implementierung eines Information Security Management Systems (ISMS), das den NIS-2-Anforderungen genügt, ist ein Projekt von Monaten, wenn nicht Jahren. Unternehmen müssen jetzt eine Gap-Analyse durchführen: Wo stehen wir? Fallen wir direkt oder indirekt unter die Richtlinie? Welche technischen und organisatorischen Maßnahmen fehlen?
Wer erst reagiert, wenn die Behörden 2026 mit Prüfungen beginnen oder der erste Großkunde einen Sicherheitsnachweis fordert, wird den Rückstand kaum aufholen können. Cybersicherheit wandelt sich von einer technischen Notwendigkeit zu einer zentralen Compliance-Frage, die direkt über die Marktfähigkeit und die rechtliche Sicherheit der Geschäftsführung entscheidet.
