Analyse der Richtlinie und des Gesetzesentwurfs
Die NIS2-Richtlinie leitet einen grundlegenden Wandel im Umgang mit Cybersicherheit in der Europäischen Union ein. Erstmals wird die persönliche Verantwortung für Cybersicherheit explizit Mitgliedern von Leitungsorganen, einschließlich Unternehmensvorständen, übertragen. Damit ist Cybersicherheit nicht länger ausschließlich Aufgabe der IT- oder Compliance-Abteilungen, sondern fällt in den Bereich der direkten Managementaufsicht.
Im Artikel erklären wir:
- Was ist die NIS2-Richtlinie?
- Wer von den neuen Bestimmungen erfasst wird,
- Welche Pflichten und Sanktionen gelten für Mitglieder von Leitungsorganen?
- Wie man sich gemäß dem Stand der Gesetzgebungsarbeit im Januar 2026 auf neue Vorschriften vorbereiten kann.
Was ist die NIS2-Richtlinie und warum ist sie für Vorstände relevant?
Die NIS2-Richtlinie (Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022) betrifft Maßnahmen zur Gewährleistung eines hohen gemeinsamen Niveaus der Cybersicherheit in der EU. Sie ersetzt die vorherige NIS1-Richtlinie und erweitert sowohl ihren Anwendungsbereich als auch die Liste der Verpflichtungen erheblich.
Die Richtlinie ist nicht unmittelbar anwendbar – sie bedarf der Umsetzung in nationales Recht.
Die Mitgliedstaaten hatten bis zum 17. Oktober 2024 Zeit, sie umzusetzen.
In Polen erfolgt die Umsetzung durch eine Gesetzesänderung:
- Gesetz über das nationale Cybersicherheitssystem,
- und bestimmte andere Gesetze (Entwurf – Parlamentsvorlage Nr. 1955, Stadium der Parlamentsberatungen).
Wer ist von NIS2 betroffen?
Die NIS2-Richtlinie umfasst:
- Schlüsselelemente,
- wichtige Entitäten.
Ihre Definitionen sind in Artikel 3 der Richtlinie aufgeführt. Die endgültigen Listen werden von den Mitgliedstaaten festgelegt.
In dieser Phase können Unternehmer eine erste Selbsteinschätzung vornehmen, indem sie unter anderem Folgendes analysieren:
- ob sie das Kriterium eines mindestens mittelständischen Unternehmens erfüllen,
- ob sie in Sektoren tätig sind, die unter NIS2 fallen (z. B. Energie, Transport, Gesundheit, digitale Dienste, kritische Infrastrukturen, Vertrauensdienste),
- ob sie zuvor den Status eines Betreibers wesentlicher Dienstleistungen oder einer wichtigen Einrichtung innehatten.
Wie verändert NIS2 die Verantwortung von Mitgliedern von Leitungsgremien?
Die bedeutendste Änderung in NIS2 ist die direkte Übertragung der Verantwortung an die Leitungsorgane. Gemäß Artikel 20 Absatz 1 der Richtlinie sind die Leitungsorgane:
- Maßnahmen zum Management von Cybersicherheitsrisiken genehmigen,
- deren Umsetzung überwachen,
- können bei Verstößen haftbar gemacht werden.
Diese Verpflichtungen sind persönlicher Natur und können nicht effektiv allein auf IT-Abteilungen, externe Lieferanten oder Bevollmächtigte übertragen werden.
Welche Cybersicherheitsmaßnahmen müssen die Vorstände überwachen?
Die unter NIS2 fallenden Einrichtungen müssen Risikomanagementmaßnahmen umsetzen, deren Mindestumfang in Artikel 21 Absatz 2 der Richtlinie festgelegt ist. Dazu gehören unter anderem:
- Risikoanalyse und Sicherheitsrichtlinien für IT-Systeme,
- Verfahren zur Bearbeitung von Zwischenfällen
- Mechanismen zur Geschäftskontinuität (Datensicherungen, Datenwiederherstellung),
- Krisenmanagement
- Lieferkettensicherheit.
Diese Maßnahmen müssen angemessen, verhältnismäßig und ständig aktualisiert sein, und ihre Überwachung obliegt den Leitungsorganen.
Meldepflicht für Vorfälle – die Rolle des Vorstands
Die NIS2-Richtlinie enthält detaillierte Regeln für die Meldung schwerwiegender Cybersicherheitsvorfälle (Artikel 23).
Obwohl die Organisation die Meldung formell einreicht, sind die Mitglieder des Verwaltungsrats verantwortlich für:
- Festlegung von Verfahren zur Erkennung und Bewertung von Vorfällen,
- korrekte Qualifizierung von Ereignissen,
- Pünktlichkeit und Vollständigkeit der Anträge.
Fehlende Verfahrensweisen oder eine fehlerhafte Beurteilung eines Vorfalls können als Verletzung der Aufsichtspflichten angesehen werden.
Müssen Vorstandsmitglieder über Kenntnisse im Bereich Cybersicherheit verfügen?
NIS2 schreibt keine expliziten Zertifizierungs- oder spezifischen Bildungsanforderungen vor, verlangt aber in der Praxis von Mitgliedern von Leitungsgremien Folgendes:
- Cyberrisiken verstehen
- waren in der Lage, die Folgen von Vorfällen (rechtliche, finanzielle, betriebliche) einzuschätzen
- traf fundierte Aufsichtsentscheidungen.
In der Praxis bedeutet dies die Notwendigkeit:
- Managementtraining
- fortlaufende Beratungsunterstützung,
- regelmäßige Cybersicherheitsberichte.
Lieferkettensicherheit ist eine Managementverantwortung
Die NIS2-Richtlinie legt besonderen Wert auf die Sicherheit der Lieferkette. Die zuständigen Stellen müssen unter anderem Folgendes überwachen:
- Schwachstellenanalyse wichtiger IT-Lieferanten
- Risiken, die sich aus der Abhängigkeit von Dritten ergeben,
- Angemessenheit der vertraglichen Bestimmungen in Bezug auf Cybersicherheit.
Ein Cyberangriff auf einen Lieferanten kann eine Haftung des unter NIS2 fallenden Unternehmens zur Folge haben.
Welche Sanktionen drohen bei Verstößen gegen die NIS2-Verpflichtungen?
Die NIS2-Richtlinie sieht sowohl Sanktionen gegen Organisationen als auch persönliche Sanktionen gegen Personen vor, die Führungsfunktionen ausüben.
Mögliche Sanktionen umfassen:
- vorübergehendes Verbot der Ausübung von Managementfunktionen
- Verwaltungsstrafen:
- bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes – Schlüsselunternehmen,
- bis zu 7 Millionen Euro oder 1,4 % des weltweiten Umsatzes – wichtige Unternehmen.
Der Entwurf des polnischen Gesetzes sieht darüber hinaus die Möglichkeit von Geldbußen gegen Manager von Unternehmen im Sinne des Rechnungslegungsgesetzes und des Gesetzes über die öffentlichen Finanzen vor.
Wie hilft die Anwaltskanzlei Graś i Wspólnicy bei der Vorbereitung auf NIS2?
Die Anwaltskanzlei Graś i Wspólnicy unterstützt Vorstände und Führungskräfte bei der Vorbereitung ihrer Organisationen auf die Anforderungen der NIS2-Richtlinie, insbesondere durch:
- NIS2- und nationale Cybersicherheitssystem-Compliance-Audits,
- Hinweise zur persönlichen Haftung für Vorstandsmitglieder
- Unterstützung bei der Implementierung von Risiko- und Vorfallmanagementverfahren,
- Analyse der Lieferkettensicherheit und der vertraglichen Bestimmungen,
- Managementtraining in Cybersicherheit und rechtlicher Haftung.
Ziel ist es nicht nur, formale Anforderungen zu erfüllen, sondern auch tatsächlich rechtliche und operative Risiken zu reduzieren.
Zusammenfassung
Die NIS2-Richtlinie verändert das Modell der Verantwortlichkeit für Cybersicherheit grundlegend und verlagert die Aufsichtslast direkt auf die Leitungsorgane. Vorstandsmitglieder müssen zudem ihre persönliche Haftung, einschließlich finanzieller und organisatorischer Verantwortung, berücksichtigen.
Bereits im Stadium der Gesetzgebungsarbeit ist es ratsam:
- Durchführung eines Compliance-Audits,
- Überprüfung der Entscheidungsstrukturen,
- Vorbereitung der Vorstände auf neue Aufsichtsaufgaben.
Häufig gestellte Fragen – NIS2 und Managementverantwortung
Gilt NIS2 für alle Unternehmen?
Nein. Die Richtlinie gilt nur für wichtige und bedeutende Unternehmen, die in bestimmten Sektoren tätig sind.
Kann die Verantwortung an die IT-Abteilung übertragen werden?
Nein. Die Führungsorgane tragen die persönliche Aufsichtsverantwortung.
Besteht die Gefahr, von der Tätigkeit im Vorstand ausgeschlossen zu werden?
Ja – die Richtlinie sieht solche Sanktionen in Extremfällen vor.
Lohnt es sich, sich vor Inkrafttreten des Gesetzes vorzubereiten?
Ja. Frühes Handeln verringert das Risiko von Sanktionen und persönlicher Haftung.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.
Rechtsstatus ab dem 20. Januar 2026.
Autor:
Herausgeber der Reihe:
