NIS-2: Compliance, Datenschutz und Cybersicherheit für Unternehmen
Die NIS-2-Richtlinie ist eines der wichtigsten EU-Regelwerke für Cybersicherheit und betrifft deutlich mehr Unternehmen, als frühere Regelungen vorgesehen haben. Ziel ist es, kritische und wichtige Infrastrukturen besser vor Cyberangriffen, IT-Ausfällen und Sicherheitsvorfällen zu schützen.
Die NIS-2-Richtlinie wurde in Deutschland durch das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ im BSIG umgesetzt, das am 2. Dezember 2025 verkündet wurde und bereits seit dem 6. Dezember 2025 gilt.
Was ist die NIS-2-Richtlinie?
Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist ein EU-weites Cybersicherheitsgesetz, das die Anforderungen an IT-Sicherheit, Risikomanagement und Meldepflichten deutlich verschärft.
Leitungsorgane sind verpflichtet, die Risikomanagementmaßnahmen zu genehmigen, deren Umsetzung zu überwachen und regelmäßig an Schulungen teilzunehmen, um ausreichende Kenntnisse im Bereich Cybersicherheit sicherzustellen.
Wer ist dafür im Unternehmen verantwortlich?
Leitungsorgane sind die obersten Entscheider im Unternehmen, also Geschäftsführung oder Vorstand, die für die gesamte strategische und rechtliche Steuerung verantwortlich sind, somit auch inklusive Cybersicherheit nach NIS-2.
Welche Sicherheitsvorfälle können auftreten?
Ein Sicherheitsvorfall ist jedes Ereignis, das die Sicherheit von IT-Systemen oder Daten beeinträchtigt oder beeinträchtigen kann, z. B.:
Cyberangriffe (z. B. Hackerangriffe, Ransomware)
Datenlecks oder Datenverlust
Systemausfälle durch Angriffe oder Fehler
unbefugter Zugriff auf Systeme oder Daten
Manipulation oder Störung von IT-Systemen
Was passiert, wenn ich die NIS-2-Richtlinie nicht umsetze?
Bei Pflichtverletzungen haften Sie nach den gesellschaftsrechtlichen Vorschriften für schuldhaft verursachte Schäden. Unternehmen sind verpflichtet, ein Compliance-System einzurichten, das insbesondere ein Risikofrüherkennungssystem und Krisenmanagement umfasst. Daher ist es besonders wichtig, sich rechtzeitig zu informieren und vorzubeugen.
Wie kann man sich absichern?
Die Mindestmaßnahmen nach Art. 21 Abs. 2 NIS-2 umfassen u. a. Schulungen, Zugriffskontrollen, Management von Anlagen und Sicherheit des Personals. Die Anforderungen gelten sowohl für öffentliche als auch private Unternehmen, wobei die Intensität der Maßnahmen je nach Kategorie unterschieden wird.
Um eine Haftung für Organisationsverschulden bei fehlenden oder unzureichenden Maßnahmen zu vermeiden, müssen Unternehmen nach NIS-2:
• Cybersicherheitsmaßnahmen umsetzen und regelmäßig überprüfen
• Sicherheitsvorfälle melden
• Leitungsorgane schulen und haftbar machen
• Ein angemessenes Risikomanagement- und Compliance-System etablieren
• Die Anforderungen je nach Unternehmensgröße und Risikoprofil anpassen
Betrifft NIS-2 Ihr Unternehmen? Wir beraten Sie gerne
Sie wissen nicht, ob NIS-2 Ihr Unternehmen betrifft oder welche rechtlichen Anforderungen Sie konkret umsetzen müssen? Wir beraten Sie hierzu gerne.
Sie möchten Ihrer Schulungspflicht nachkommen? Dann bieten wir Ihnen die passende Schulung (auch im Hybrid-Format) an.
Kontaktieren Sie unsere Expertin für IT-Recht und Datenschutz, Rechtsanwältin Alexandra Plet über kanzlei@metschkoll.de
Weitere Artikel aus dem Bereich Seminare
Seminar: Führung der GmbH: Rechtliche Aspekte 13.10.2026
Fit im GmbH Recht! Das System GmbH klar und prägnant erklärt. Als Live-Online-Seminar
Weiterlesen
Seminar: Steuergestaltungen 2026 für die Praxis - Ideen und deren Verwirklichung 15.10.2026
Steuer- und Gesellschaftsrecht Ort: Webinar Referent: Dr. Michael Metschkoll
Weiterlesen
Seminar: Führung der GmbH: Steuerliche Aspekte 20.10.2026
Steuern der GmbH verstehen! Die Grundlagen der GmbH-Besteuerung. Als Live-Online-Seminar
Weiterlesen
