Warum die Zeiten des „Drücken wir mal ein Auge zu“ endgültig vorbei sind
Eine neue Ära der Cybersicherheit
Jahrelang war das Risikomanagement in vielen Unternehmen ein Bereich, in dem man es mit der Genauigkeit nicht ganz so ernst nehmen musste. Ein Risiko wurde identifiziert, kurz bewertet, und wenn es nicht unmittelbar bedrohlich wirkte, landete es auf der Liste der „akzeptablen Restrisiken“. Die stillschweigende Devise lautete oft: „Fünf gerade sein lassen.“ Man kannte die Schwachstellen – aber solange nichts passierte, drückte man ein Auge zu. Manchmal auch beide.
Seit dem 6. Dezember 2025 ist damit endgültig Schluss. Mit der Umsetzung der europäischen NIS-2-Richtlinie in deutsches Recht ist die neue Cybersicherheitsregulierung nun rechtskräftig und verbindlich. Die Schonfrist ist vorbei. Wer seine Pflichten vernachlässigt, riskiert nicht nur Sicherheitsvorfälle, sondern ganz konkret persönliche Haftung und empfindliche Bußgelder.
Stand der Technik, anerkannte Standards – und weniger Spielraum
NIS-2 gibt unmissverständlich vor: Risikomanagementmaßnahmen müssen dem Stand der Technik entsprechen und auf Basis anerkannter internationaler und europäischer Standards umgesetzt werden. Gleichzeitig müssen sie angemessen sein – also in einem vernünftigen Verhältnis zur Risikoexposition, zur Größe der Einrichtung und zu den möglichen Auswirkungen von Sicherheitsvorfällen stehen.
Was zunächst nach Augenmaß klingt, schränkt die Handlungsfreiheit in Wahrheit erheblich ein. Früher konnte ein Unternehmen ein identifiziertes Risiko bewusst akzeptieren, ohne dies groß rechtfertigen zu müssen. „Wir kennen das Risiko, wir nehmen es in Kauf“ – fertig.
Unter NIS-2 ist das nicht mehr so einfach. Wenn es anerkannte Maßnahmen nach dem Stand der Technik gibt, ein Risiko zu mindern, dann besteht eine Pflicht zur Umsetzung. Die bewusste Akzeptanz eines Risikos, das mit vertretbarem Aufwand hätte behandelt werden können, wird selbst zum Haftungsrisiko. Der lässige Umgang mit Risiken – das berühmte „Fünf gerade sein lassen“ – ist damit Geschichte.
Neu: Gesellschaftliche Auswirkungen im Blick
Eine besonders bemerkenswerte Neuerung betrifft die Bewertung gesellschaftlicher Auswirkungen im Risikomanagement. NIS-2 verlangt, dass bei der Risikobewertung nicht nur die Folgen für das eigene Unternehmen betrachtet werden, sondern auch die möglichen gesellschaftlichen und wirtschaftlichen Auswirkungen eines Sicherheitsvorfalls.
Das ist ein Paradigmenwechsel. Bislang war diese erweiterte Perspektive ausschließlich Betreibern kritischer Infrastrukturen (KRITIS) vorbehalten – Energieversorger, Krankenhäuser, Wasserwerke. Dort war es selbstverständlich, dass ein Ausfall nicht nur das Unternehmen selbst betrifft, sondern auch die Versorgung der Bevölkerung gefährden kann.
Unter NIS-2 wird dieser Bewertungsmaßstab nun auf einen deutlich größeren Kreis von Einrichtungen ausgeweitet. Auch Unternehmen, die sich bislang nicht als systemrelevant verstanden haben, müssen sich nun fragen: Was passiert, wenn unsere Systeme ausfallen – nicht nur für uns, sondern für unsere Kunden, unsere Lieferketten und die Gesellschaft? Diese Frage zu beantworten und die Antwort zu dokumentieren ist keine Kür mehr, sondern Pflicht.
Haftung und Bußgelder: Cybersicherheit ist Chefsache
NIS-2 nimmt explizit die Leitungsorgane in die Pflicht. Die Geschäftsleitung muss Risikomanagementmaßnahmen billigen, deren Umsetzung überwachen und kann für Verstöße persönlich haftbar gemacht werden. Geschäftsführer und Vorstände können sich nicht mehr hinter dem Argument verstecken, sie hätten von den Defiziten nichts gewusst.
Die Bußgeldrahmen unterstreichen den Ernst der Lage: Für wesentliche Einrichtungen drohen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Millionen Euro oder 1,4 Prozent. Größenordnungen, die an die DSGVO erinnern – und das ist kein Zufall.
Die goldene Regel: Was nicht dokumentiert ist, existiert nicht
Wenn es einen einzigen Satz gibt, den sich jede Geschäftsführung einprägen sollte, dann diesen:
Was nicht dokumentiert ist, existiert im Zweifel auch nicht.
NIS-2 macht die Dokumentation zur tragenden Säule des Risikomanagements. Es reicht nicht aus, Maßnahmen umzusetzen – man muss nachweisen können, dass man sie umgesetzt hat. Die gesamte Kette von der Risikoidentifikation über die Bewertung bis zur Maßnahmenplanung und -umsetzung muss lückenlos und nachvollziehbar dokumentiert sein.
Das gilt im Normalbetrieb und ganz besonders nach einem Sicherheitsvorfall. Wenn eine Aufsichtsbehörde prüft, ob die Einrichtung ihre Pflichten erfüllt hat, wird sie nach Dokumentation fragen. Wer dann keine oder nur unzureichende Unterlagen vorlegen kann, hat ein Problem – unabhängig davon, ob die tatsächlichen Maßnahmen vielleicht sogar angemessen waren.
Gemeint ist dabei keine verstaubte Policy in einem Ordner, sondern eine lebendige, aktuelle und vollständige Dokumentation: Risikoregister, Maßnahmenpläne, Umsetzungsnachweise, Schulungsnachweise, Prüfberichte – regelmäßig überprüft und aktualisiert.
Fazit: Unbequem, aber notwendig
NIS-2 ist unbequem. Die Richtlinie zwingt Unternehmen, liebgewonnene Gewohnheiten aufzugeben, Ressourcen bereitzustellen und Verantwortung zu übernehmen. Seit dem 6. Dezember 2025 ist sie geltendes deutsches Recht – und damit keine ferne Zukunftsmusik mehr, sondern gelebte Realität.
Stand der Technik, anerkannte Standards, Verhältnismäßigkeit, gesellschaftliche Auswirkungen und lückenlose Dokumentation – das sind die Pfeiler des neuen Risikomanagements. Und ja: Schluss mit lustig. Aber vielleicht war es ohnehin nie wirklich lustig – wir haben es nur nicht wahrhaben wollen.
Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Für die Bewertung individueller rechtlicher Fragestellungen, insbesondere zur konkreten Betroffenheit und den sich daraus ergebenden Pflichten, sollte qualifizierter rechtlicher Rat eingeholt werden.
