Cybersicherheit ist jetzt Chefsache. Deutschland hat die Deadline trotzdem verpasst.

Ein stiller Rechtsbruch auf Staatsebene

Seit dem 18. Oktober 2024 hätte die NIS2-Richtlinie in deutsches Recht umgesetzt sein müssen. Die Deadline stand seit zwei Jahren fest. Der Gesetzentwurf – das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2UmsuCG – scheiterte an der Koalition, fiel dem Ampel-Ende zum Opfer und liegt seither in einer parlamentarischen Warteschleife, aus der frühestens 2025, realistisch erst 2026 ein gültiges Gesetz hervorgeht.

Deutschland hat damit europäisches Recht gebrochen. Die EU-Kommission hat ein Vertragsverletzungsverfahren eingeleitet. Das Gesetz wird kommen – die Frage ist nur, wann genau und in welcher finalen Form.

Für betroffene Unternehmen ändert das an der Lage wenig. Die Pflicht besteht. Der Rahmen ist durch die Richtlinie selbst hinreichend definiert. Und wer bis zur Verabschiedung des deutschen Gesetzes wartet, hat in einem Bereich gewartet, in dem Angriffe nicht warten.

Was NIS2 tatsächlich verlangt

Die erste NIS-Richtlinie aus dem Jahr 2016 war ein regulatorischer Einstieg mit begrenzter Praxiswirkung. NIS2 ist eine andere Kategorie. Der Anwendungsbereich ist massiv ausgeweitet worden: Statt einer Handvoll kritischer Infrastruktursektoren erfasst NIS2 jetzt 18 Sektoren und unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen — mit abgestuften, aber durchgehend substanziellen Anforderungen.

Zur Orientierung: Unternehmen mit mehr als 50 Mitarbeitern oder mehr als 10 Millionen Euro Jahresumsatz in bestimmten Sektoren fallen in den Scope. Energie, Transport, Gesundheit, digitale Infrastruktur, verarbeitendes Gewerbe, Chemieindustrie, Lebensmittelproduktion — die Liste ist lang. Und sie reicht tief in den deutschen Mittelstand hinein.

Was konkret gefordert wird, ist keine symbolische Risikoerklärung. Es sind: ein dokumentiertes Risikomanagementsystem für Informationssicherheit, Meldepflichten bei erheblichen Sicherheitsvorfällen innerhalb von 24 Stunden, Sicherheitsanforderungen für die gesamte Lieferkette einschließlich Dienstleister und Zulieferer, Schulungspflichten für Leitungsorgane, technische Mindeststandards für Netz- und Informationssicherheit sowie persönliche Haftung der Geschäftsführung bei Verstößen.

Dieser letzte Punkt verdient Aufmerksamkeit: NIS2 sieht explizit vor, dass die Leitungsorgane — also Geschäftsführer und Vorstand — für Verstöße persönlich haftbar gemacht werden können. Das ist regulatorisch neu und hat eine andere Wirkung auf das interne Priorisierungsverhalten als eine abstrakte Unternehmensgeldbußte.

Das eigentliche Problem: Weder IT noch Legal hat es allein im Griff

NIS2 ist kein IT-Sicherheitsgesetz, das man dem CISO übergeben kann. Und es ist kein klassisches Compliance-Thema, das die Rechtsabteilung mit Boardroom-Memo und Richtlinie abhaken kann. Es ist beides — und genau darin liegt die organisatorische Herausforderung.

Die technischen Anforderungen — Patch-Management, Incident Detection, Netzwerksegmentierung — gehören in die IT. Die rechtlichen Anforderungen — Vertragsgestaltung mit Zulieferern, Dokumentationspflichten, Meldeverfahren, Haftungsabsicherung — gehören in Legal. Die Organisationsfrage — wer ist intern verantwortlich, wie ist die Berichtslinie zur Geschäftsführung, welche Ressourcen bekommt das Programm — gehört in die Unternehmensführung.

In der Praxis bedeutet das: Wenn niemand explizit die Koordination übernimmt, übernimmt sie niemand. IT denkt, Legal kümmert sich. Legal denkt, IT hat es. Und die Geschäftsführung erfährt erst davon, wenn ein Vorfall gemeldet werden muss.

Lieferkette als unterschätzter Haftungshebel

Ein Aspekt von NIS2 wird in der deutschen Unternehmenslandschaft noch kaum diskutiert, obwohl er erhebliche vertragliche Konsequenzen hat: die Pflicht, Sicherheitsanforderungen aktiv in der Lieferkette durchzusetzen.

Wer als „wesentliche“ oder „wichtige“ Einrichtung eingestuft wird, muss sicherstellen, dass seine Dienstleister und Zulieferer angemessene Cybersicherheitsstandards einhalten. Das ist keine Empfehlung. Es ist eine Anforderung — und sie impliziert, dass bestehende Lieferanten- und Dienstleisterverträge auf ihre NIS2-Tauglichkeit geprüft werden müssen.

Verträge, die keinerlei Cybersicherheitsklauseln enthalten, die keine Auditrechte vorsehen, die keine Incident-Meldepflichten des Lieferanten gegenüber dem Auftraggeber regeln — solche Verträge entsprechen dem neuen Standard nicht. Und wer in einer Regulierungsprüfung oder nach einem Vorfall nachweisen muss, dass er seine Lieferkette hinreichend abgesichert hat, wird mit solchen Verträgen in Erklärungsnot geraten.

Warum das ein Projekt ist — und wer es führt

NIS2-Compliance ist in seiner Grundstruktur ein Implementierungsprojekt: Scoping, Gap-Analyse, Risikoklassifizierung, Maßnahmenplan, Vertragsanpassungen, Dokumentation, Übungsläufe für Incident-Response, Governance-Struktur. Es hat einen Anfang, eine Mitte und ein Ende — nämlich den Moment, in dem eine dokumentierte Compliance-Architektur vorliegt, die sowohl einer Behördenprüfung als auch einem tatsächlichen Sicherheitsvorfall standhält.

Das ist kein Fall für permanente Kanzleibegleitung. Es ist ein Fall für jemanden, der beides kann: die rechtliche Tiefe mitbringt, um Anforderungen sauber zu übersetzen und Verträge anzupassen, und die operative Erfahrung hat, um ein interdisziplinäres Implementierungsprojekt mit IT, Compliance und Geschäftsführung zu koordinieren.

Ein Projektjurist mit Erfahrung im IT-Recht, in regulatorischen Implementierungsprojekten und in der Lieferkettengestaltung ist für genau diese Schnittstellenaufgabe gemacht. Nicht weil er billiger ist als eine Kanzlei — sondern weil er das Projekt zum Abschluss bringt, statt es zu begleiten.

Fazit: Der Angriff wartet nicht auf das Gesetz

Das deutsche NIS2-Umsetzungsgesetz wird kommen. Wann genau, ist offen. Was nicht offen ist: die Bedrohungslage, auf die es reagiert. Ransomware-Angriffe auf mittelständische Industrieunternehmen, Angriffe auf Lieferketten, Ausfälle kritischer Infrastruktur — das sind keine abstrakten Szenarien. Das ist die Realität des Jahres 2025 und 2026.

Unternehmen, die NIS2-Compliance als Reaktion auf das finale Gesetz planen, werden im besten Fall sehr spät fertig. Im schlechtesten Fall werden sie fertig, nachdem etwas passiert ist.

Der richtige Zeitpunkt, damit anzufangen, war vor einem Jahr. Der zweitbeste ist jetzt.