Wissensraum · Deep Dive 19 von 27
Geschäftsleiterhaftung, Lieferkettensicherheit und das Problem der nationalen Umsetzung
Warum dieser Deep Dive wichtig ist
Warum NIS2 keine IT-Richtlinie ist, sondern ein Führungsinstrument – und warum die nationale Umsetzung das eigentliche Problem darstellt.
NIS2 wird häufig als «Cybersicherheitsrichtlinie» bezeichnet. Das ist täuschend. NIS2 ist ein Governance-Instrument, das erstmals in der EU-Rechtssetzung die persönliche Haftung der Geschäftsleitung für Cybersicherheit festschreibt. Das ist grundlegend anders als die DSGVO – eine Bestimmung, unter der Unternehmen hafteten, nicht Personen.
Gleichzeitig zeigt sich bei der nationalen Umsetzung ein Dilemma: Eine einzige Richtlinie, 27 verschiedene Rechtsordnungen, unterschiedliche Schwellenwerte, unterschiedliche Aufsichtsstrukturen, unterschiedliche Sanktionsrahmen. Für ein Unternehmen mit Niederlassungen in München, Wien und Zürich bedeutet das: drei verschiedene Compliance-Regime mit überlappenden, aber nicht identischen Anforderungen. Das ist nicht der Ausnahmefall – das ist der Normalfall im deutschsprachigen Raum.
NIS2 ersetzt NIS1 (2016). Die erste Netzwerk- und Informationssicherheitsrichtlinie galt für etwa 100 Unternehmen und öffentliche Stellen in der EU. NIS2 erhöht diese Zahl auf schätzungsweise 160.000 betroffene Einrichtungen.
Die Regulierung ist horizontal, nicht vertikal. Das bedeutet: NIS2 schreibt nicht vor, wie ein Energieunternehmen zu sichern ist, sondern definiert eine Baseline für alle Sektoren gleichzeitig – Energie, Transport, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur, Abwasser, öffentliche Verwaltung, Weltraum, Post, Abfallwirtschaft, Lebensmittel, Chemie, Forschung, Hersteller kritischer Produkte.
Es gibt zwei Kategorien:
Wesentliche Einrichtungen (essential entities): Größere Unternehmen und kritische Infrastrukturen, höhere Aufsichtsintensität, direkter regulatorischer Kontakt.
Wichtige Einrichtungen (important entities): Mittelgrößere Unternehmen mit Bedeutung für die Wirtschaft, weniger intensive Aufsicht, oft indirekt über Lieferkettenpflichten betroffen.
Der Unterschied liegt nicht im Pflichtenkatalog – beide müssen Art. 21 umsetzen. Der Unterschied liegt in der Aufsichtsintensität und den Sanktionen.
Die Kernpflichten nach Art. 21 sind:
Risikomanagement
Incident Handling und Reporting
Business Continuity und Krisenkommunikation
Supply Chain Security
Netzwerk- und Informationssystemsicherheit
Kryptographie
Vulnerability Disclosure
Personalsicherheit und Schulung
Multi-Faktor-Authentifizierung (MFA)
Einordnung
NIS2 ist keine sektorale Spezialregulierung wie EMIR (Derivate) oder MiFID (Wertpapiere). Sie ist ein horizontales Cybersicherheitsgesetz, das die Baseline für alle definiert. Das bedeutet: Wenn Sie in einem dieser Sektoren tätig sind und den Schwellenwert erreichen (Mitarbeiterzahl, Umsatz, Marktbedeutung – abhängig vom Sektor), fallen Sie unter NIS2. Es gibt kein Opt-out.
Art. 20 Abs. 1 verpflichtet Leitungsorgane, die Risikomanagementmaßnahmen nach Art. 21 zu billigen und deren Umsetzung zu überwachen. Das ist nicht delegierbar.
Art. 20 Abs. 2 verpflichtet Leitungsorgane und Mitarbeiter zur Schulung in Fragen der Netzwerk- und Informationssicherheit. Die Geschäftsleitung muss nicht nur ihre Mitarbeiter schulen lassen – sie muss selbst geschult werden.
Das ist das Novum: Cybersicherheit wird zur nicht delegierbaren Aufgabe der Geschäftsleitung. Der CEO, der Verwaltungsrat, die Geschäftsführer – sie haften nicht nur dafür, dass die Richtlinie umgesetzt wird, sondern dafür, dass sie sie verstehen.
Art. 32 Abs. 5 ermächtigt die Mitgliedstaaten, vorzusehen, dass Mitglieder der Geschäftsleitung bei schwerwiegenden Verstößen vorübergehend von Leitungsfunktionen ausgeschlossen werden können. Ein paar EU-Mitgliedstaaten haben dies in ihre Umsetzung aufgenommen. Die Konsequenzen sind erheblich: Ein Berufsverbot für ein Leitungsorgan aufgrund von NIS2-Verstößen – das war bislang undenkbar.
NIS2 macht Cybersicherheit zur Chefsache – nicht metaphorisch, sondern haftungsrechtlich.
Einordnung
Unter der DSGVO haftet das Unternehmen. Das ist ein "klassisches" Unternehmensrisiko – es wird versichert, es wird mit Bußgeldreserven abgewickelt. Unter NIS2 haftet die Person der Geschäftsleitung. Das ist ein persönliches Haftungsrisiko, das durch Veröffentlichungsgesetze, Reputation und gegebenenfalls Berufsausschluss gefährlich wird. Das ist neu und für viele Geschäftsführer nicht auf dem Radar.
Art. 21 verlangt: «Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern.»
Das Problem: Diese Formulierung ist bewusst breit. Sie meint nicht nur IT-Zulieferer, nicht nur Cloud-Provider, nicht nur SaaS-Anbieter. Sie meint die gesamte Lieferkette – einschließlich physischer Zulieferer, Logistikpartner, Kooperationspartner. Jedes Unternehmen mit Zulieferern – also jedes Unternehmen – muss die Cybersicherheit seiner Lieferkette bewerten.
Zum Vergleich: Die DORA-Richtlinie (Art. 28–30) ist hier präziser: Sie verlangt ein ICT Third-Party Management Register, Exit-Strategien, eine Bewertung von Konzentrationsrisiken. DORA ist detaillierter, aber auch sektoral begrenzt (Finanzsektor). NIS2 ist breiter anwendbar, aber weniger strukturiert in der Anforderung.
Der operative Weg ist trotzdem klar:
Identifikation aller kritischen Zulieferer (nicht nur IT-Zulieferer).
Dokumentierte Bewertung der Cybersicherheitsrisiken jedes kritischen Zulieferers.
Vertragsklauseln, die Sicherheitsstandards (ISO 27001 oder äquivalent) vorsehen.
Audit- und Zugangsrechte, um die Einhaltung zu überprüfen.
Szenarien für den Fall der Kompromittierung eines Zulieferers.
Ausgangssituation
Ein mittelständischer Maschinenbauer (wesentliche Einrichtung, Sektor: Hersteller kritischer Produkte) mit circa 800 Mitarbeitern. Eigene IT-Sicherheit nach ISO 27001 zertifiziert. CISO mit 15-köpfigem Team. Incident Response Plan. Business Continuity. Alles auf Papier gut dokumentiert.
Was sich zeigt
Das Unternehmen wird über einen kompromittierten Fernwartungszugang eines Zulieferers angegriffen – eines kleinen Software-Hauses, das Spezial-Firmware für die Maschinensteuerung entwickelt. Der Zulieferer selbst war ein «nur-irgendwann-einmal»-Anbieter, formal im Assetinventar erfasst, aber nicht in der Zulieferer-Risikobewertung enthalten. Die Kompromittierung führt zu einer wochenlangen Stillstand des Betriebs.
Im NIS2-Kontext
Der Maschinenbauer hat Art. 21 Abs. 2 lit. d nicht operationalisiert. Die Lieferkettenbewertung existierte nur auf Papier. Die Aufsichtsbehörde (in diesem Fall: das BSI oder die jeweilige nationale Äquivalenz) überprüft im Audit: Wussten Sie, wer Zugang zu Ihren kritischen Systemen hatte? Konnten Sie den Zulieferer überwachen? Hatten Sie eine Strategie für den Fall seiner Kompromittierung? Die Antwort war: teilweise nicht. Das ist ein NIS2-Finding der Kategorie Kritisch.
Was es kostet
Der Maschinenbauer beauftragt eine externe Forensik, Mediation mit dem Zulieferer, eine Lieferketten-Risikoneu-Bewertung (äquivalent zu einem DPA nach DSGVO: 60–100k EUR). Dann 6 Monate bis zur Remediation. Im Audit: Schwache Kontrollen, unzureichende Dokumentation – ein Punkt für die Aufsichtsbehörde, wenn es künftig zu Sanktionen kommt.
Praxis-Box
Fragen Sie nicht: "Haben unsere Zulieferer ein Sicherheitszertifikat?" Das ist die falsche Frage. Fragen Sie stattdessen: "Haben wir eine dokumentierte Bewertung der Cybersicherheitsrisiken jedes kritischen Zulieferers – einschließlich der Frage, was passiert, wenn er kompromittiert wird?" Diese Dokumentation ist der Nachweis von Art. 21 Abs. 2 lit. d. Ohne sie sind Sie nicht NIS2-compliant.
NIS2 ist eine Richtlinie, kein direkt geltender Act. Die Umsetzungsfrist war der 17. Oktober 2024 – vor fast eineinhalb Jahren. Der Stand im April 2026 zeigt ein differenziertes Bild:
Mehrere Mitgliedstaaten haben umgesetzt und sind aktiv in der Enforcement-Phase (z.B. Polen, Litauen, Tschechien, Spanien).
Einige Mitgliedstaaten sind noch in der Umsetzung oder haben Umsetzungsgesetze mit Übergangsfrist geplant (z.B. Frankreich, Deutschland).
Einzelne Mitgliedstaaten sind erheblich hinter der Frist zurück.
Deutschland: Das NIS2-Umsetzungsgesetz (NIS2-UmsuCG) wurde mehrfach verschoben. Stand April 2026: Das Gesetz ist in Kraft, mit Übergangsfristen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist die zentrale Aufsichtsbehörde. Die Besonderheit: Das deutsche Gesetz schließt an das IT-Sicherheitsgesetz 2.0 und die KRITIS-Verordnung an – es gibt also mehrere Schichten regulatorischer Verantwortung für kritische Infrastrukturen.
Österreich: Das NISG 2024 ist in Kraft. Die österreichische Umsetzung definiert die Sektoren teilweise anders als die deutsche Fassung. Schwellenwerte (Mitarbeiterzahl, Umsatz) weichen ab. Die Aufsichtsbehörde ist die RTR (Rundfunk und Telekom Regulierungs-GmbH).
Schweiz: Nicht direkt von NIS2 betroffen, da kein EU-Mitglied. ABER: Schweizer Unternehmen mit EU-Kunden werden faktisch erfasst – über Vertragsklauseln und Lieferkettenpflichten. Das nDSG (neues Datenschutzgesetz) und das ISG (Informationssicherheitsgesetz) setzen eigene Akzente. Sie decken vieles ab, aber nicht alle NIS2-Pflichten. Eine automatische Äquivalenz zur EU-Umsetzung besteht nicht.
| Dimension | Deutschland | Österreich | Schweiz |
|---|---|---|---|
| Geltung | Direkt über NIS2-UmsuCG + nationale Zusatzgesetze | Direkt über NISG 2024 | Nicht direkt; faktisch über Lieferkettenpflichten |
| Aufsichtsbehörde | BSI (zentral); teilweise auch Land-Behörden | RTR | NCSC (Nationales Cybersicherheitszentrum) |
| Schwellenwerte | Abhängig vom Sektor; z.B. Energie 50+ MA | Teilweise anders definiert als DE | Kein direktes Äquivalent; orientiert sich an Marktbedeutung |
| Sanktionsrahmen | Bis 10 Mio EUR oder 2% weltweiter Umsatz (wesentlich); bis 7 Mio. oder 1,4 % (wichtig) | Bis 10 Mio EUR oder 2% Umsatz | ISG: bis 5 Mio CHF; nDSG: bis 5 Mio oder 10% Umsatz (nicht direkt NIS2-kompatibel) |
| Besonderheiten | Schnittstelle zu IT-SiG 2.0 und KRITIS-VO | Fokus auf «Meldestelle» und Reporting-Pflichten | Keine automatische Äquivalenz zu NIS2; separate Compliance-Bewertung nötig |
Einordnung
Für ein Unternehmen mit Niederlassungen in München, Wien und Zürich gelten de facto drei verschiedene Rechtsregime – mit unterschiedlichen Pflichten, Fristen, Aufsichtsstrukturen und Sanktionsrähmen. Das ist kein Edge Case. Das ist der Normalfall im DACH-Raum. Compliance-Abteilungen haben Schwierigkeiten, eine einzige Architektur zu finden, die alle drei Regime erfüllt. Typischerweise gilt: Die strengsten Anforderungen setzen den Standard für alle.
Art. 34 der NIS2-Richtlinie vorsieht:
Für wesentliche Einrichtungen: Bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes (je nachdem, was höher ist).
Für wichtige Einrichtungen: Bis zu 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes.
Zum Vergleich mit der DSGVO: Dort liegen die Maximalbüßgelder bei 20 Mio. EUR oder 4% des Umsatzes. NIS2 liegt darunter, aber nicht wesentlich.
Das eigentliche Risiko ist jedoch die persönliche Haftung der Geschäftsleitung (Art. 32 Abs. 5). Ein Geldbußgeld bezahlt die Firma. Ein Berufsverbot trifft die Person. Das ist ein fundamental anderes Risikoprofil.
NIS2-Compliance wird zunehmend zum Due-Diligence-Prüfpunkt in M&A-Prozessen. Das ist nicht nur ein Risk Assessment («Haben Sie Firewalls?»), sondern ein umfassendes Governance-Assessment:
Ist Ihre Geschäftsleitung geschult in Cybersicherheit (Art. 20 Abs. 2)?
Ist Ihre Lieferkette dokumentiert und bewertet (Art. 21 Abs. 2 lit. d)?
Sind Ihre Incident-Reporting-Pflichten operationalisiert – nicht nur auf Papier?
Haben Sie einen Business Continuity Plan, der robust ist?
NIS2-Defizite führen zu Bewertungsabschlägen – indikativ 3–10% des Unternehmenswertes (vergleichbar mit DORA-Defiziten, aber auf eine breitere Unternehmensgruppe anwendbar, weil mehr Sektoren betroffen sind). Schlimmstenfalls führen sie zu Transaktionsverzögerungen oder zum Scheitern einer Transaktion.
Ausgangssituation
Ein Schweizer SaaS-Unternehmen mit etwa 200 Mitarbeitern, Hauptsitz in Zürich, aber mit relevanten Niederlassungen und Kundenstämmen in Deutschland (Österreich). Das Produkt ist eine Cloud-Lösung für Energieunternehmen. Damit fallen die deutschen und österreichischen Kunden potenziell unter NIS2 (Energiesektor, wesentliche oder wichtige Einrichtungen, je nach Größe).
Die Komplexität
Das SaaS-Unternehmen muss nun:
– Nach deutschem NIS2-Umsetzungsgesetz als Zulieferer überwacht werden (Art. 21 Abs. 2 lit. d), mit allen Audit- und Reporting-Pflichten.
– Nach österreichischem NISG derselbe Status, aber mit anderen Schwellenwerten und Anforderungen.
– Nach Schweizer ISG und nDSG, aber ohne formale NIS2-Compliance, dafür aber mit neuen Anforderungen (Meldepflichten bei Cybersicherheitsvorfallällen, Exportkontrolle für Schweizer Technologie-Daten).
Was das bedeutet
Die Compliance-Struktur ist nicht "NIS2-compliant", sondern "best-of-breed" aus drei Regelwerken. Das Unternehmen muss:
– Die strengsten Anforderungen aller drei Regime identifizieren.
– Dokumentieren, wie die Compliance-Struktur alle drei erfüllt.
– Mit drei verschiedenen Aufsichtsbehörden kommunizieren können (BSI, RTR, NCSC), wenn es um Audits und Meldepflichten geht.
Die Auswirkung
Das Compliance-Management wird von einem technischen Problem zu einem strategischen Problem. Es erfordert nicht nur CISO-Kompetenz, sondern auch Governance-Kompetenz und Jus-Deal-Erfahrung. Ein 200-köpfiges SaaS-Unternehmen braucht wirklich einen Compliance Officer, nicht nur einen CISO.
NIS2 wird in vielen Organisationen noch als «IT-Richtlinie» behandelt. Das ist ein strategischer Fehler. NIS2 ist ein Governance-Instrument, das:
Die Geschäftsleitung persönlich in Haftung nimmt (Art. 20).
Die Lieferkette als nicht delegierbare Verantwortung definiert (Art. 21 Abs. 2 lit. d).
Auf Grund der nationalen Umsetzungsdivergenz in mehreren Rechtsordnungen gleichzeitig wirkt (DACH-Raum).
M&A-Bewertungen und Transaktionskosten prägt.
Die nationale Umsetzungsdivergenz ist dabei das operative Hauptproblem. Sie zersplittert eine eigentlich einheitliche EU-Richtlinie in praktisch nicht zu überblückende Compliance-Anforderungen. Unternehmen mit Multi-Country-Präsenz sind gezwungen, die strengsten Anforderungen zu wählen und diese für alle Länder zu implementieren. Das erhöht Kosten und Komplexität, schafft aber auch die Bedingung für echte Compliance.
Was bleibt
NIS2 ist kein IT-Thema – es ist ein Führungsthema. Art. 20 macht die Geschäftsleitung persönlich verantwortlich. Das ist nicht delegierbar an den CISO. Der Verwaltungsrat, der CEO, die CFO – sie alle haben eine persönliche Haftung für Cybersicherheit.
Supply Chain Security unter NIS2 geht weiter als die meisten Unternehmen denken. Es betrifft nicht nur IT-Dienstleister und Cloud-Provider, sondern die gesamte Zulieferkette – einschließlich physischer Zulieferer und Logistikpartner. Ohne dokumentierte Risikobewertung und vertragliche Sicherheitsstandards sind Sie nicht compliant.
Die nationale Umsetzungsdivergenz ist das operative Hauptproblem. Im DACH-Raum gelten de facto drei verschiedene Regime mit unterschiedlichen Pflichten, Schwellenwerten und Aufsichtsstrukturen. Best Practice: Die strengsten Anforderungen wählen und für alle Länder implementieren.
NIS2-Compliance wird zum M&A-Prüfpunkt. Wer die Pflichten nicht operationalisiert hat, riskiert Bewertungsabschläge (3–10%), Audit-Befunde und Transaktionsverzögerungen. Compliance ist nicht optional – es ist wertrelevant.