Zum Inhalt springen
NIS2 kommt: Bereiten Sie Ihre Compliance strukturiert vor, bevor das deutsche Umsetzungsgesetz in Kraft tritt.Jetzt starten →

NIS2Cockpit

AnmeldenKostenlos testen
← Alle Artikel

Sieben Fragen zu NIS2, die jeder Geschäftsführer seinem IT-Leiter stellen sollte

31. Mai 2026·7 Min.·NIS2Cockpit Redaktion
NIS2GeschäftsführerComplianceRisikomanagementMittelstand

Warum die Geschäftsführung fragen sollte

Stellen Sie sich ein typisches Quartalsgespräch in einem mittelständischen Unternehmen vor. Die Geschäftsführerin fragt ihren IT-Leiter: "Wo stehen wir eigentlich bei NIS2?" Die Antwort kommt schnell: "Wir kümmern uns drum, das ist auf dem Weg." Damit endet oft das Gespräch.

Genau hier beginnt das eigentliche Problem.

NIS2 ist nicht nur ein technisches Thema. Es ist eine Frage von Governance, Verantwortung und Nachweisfähigkeit. Wenn die Geschäftsführung nicht weiß, was sie fragen soll, kann sie auch nicht beurteilen, ob die IT auf einem belastbaren Weg ist oder ob sie nur improvisiert.

Dieser Beitrag beschreibt sieben Fragen, die jeder Geschäftsführer seinem IT-Leiter jetzt stellen kann. Sie ersetzen keine Rechtsberatung und keine technische Prüfung. Aber sie schaffen die Grundlage für ein ehrliches Gespräch.

Die rechtliche Grundlage

Die NIS2-Richtlinie und ihre nationale Umsetzung verschieben die Verantwortung für Cybersicherheit explizit auf die Leitungsebene. Die EU-Kommission hält in Art. 20 der Richtlinie fest, dass Leitungsorgane an Schulungen teilnehmen und für die Einhaltung der Risikomanagement-Pflichten sorgen müssen.

In Deutschland kommen die zivilrechtlichen Sorgfaltsmaßstäbe hinzu. § 43 GmbHG verpflichtet Geschäftsführer zur Sorgfalt eines ordentlichen Geschäftsmanns. § 93 AktG enthält eine vergleichbare Pflicht für Vorstände von Aktiengesellschaften.

Daraus folgt eine schlichte Realität: Wenn eine Geschäftsführung Cybersicherheit ungeprüft an die IT delegiert, verschiebt sie nicht die Verantwortung. Sie verschiebt nur die Information.

Die folgenden sieben Fragen helfen, das zu vermeiden.

Frage 1: Sind wir überhaupt von NIS2 betroffen?

Diese Frage klingt einfach, ist es aber selten.

NIS2 unterscheidet zwischen besonders wichtigen Einrichtungen, wichtigen Einrichtungen und nicht regulierten Unternehmen. Die Einstufung hängt vom Sektor, der Mitarbeiterzahl und dem Jahresumsatz ab. Das BSI veröffentlicht Listen der betroffenen Sektoren und Schwellenwerte.

Was eine gute Antwort enthält

Eine gute Antwort des IT-Leiters enthält nicht nur "Ja" oder "Nein", sondern eine nachvollziehbare Begründung: Welcher Sektor, welche Größenklasse, welche Tätigkeit bringt die Einstufung. Falls das Ergebnis ein "wahrscheinlich nicht betroffen" ist, sollte trotzdem dokumentiert sein, wie diese Bewertung zustande kam. Denn auch eine fundierte Negativ-Feststellung ist ein Nachweis.

Frage 2: Wer trägt die Verantwortung, formal und operativ?

Cybersicherheit ist selten Aufgabe einer einzelnen Person. Aber Verantwortlichkeiten dürfen nicht diffus sein.

Worauf zu achten ist

Eine belastbare Antwort beschreibt drei Ebenen: Wer trägt die rechtliche Verantwortung gegenüber Aufsicht und Geschäftsführung. Wer steuert die operative Umsetzung. Wer ist im Sicherheitsvorfall die erste Adresse. Idealerweise gibt es eine schriftliche Rollenbeschreibung mit Vertretungsregelung.

Wenn die Antwort lautet "das machen wir alle gemeinsam", ist das in der Regel ein Hinweis darauf, dass es niemand macht.

Frage 3: Welche Lieferanten und Dienstleister sind für unsere Sicherheit kritisch?

NIS2 verlangt in Art. 21 Abs. 2 lit. d ausdrücklich die Sicherheit der Lieferkette. Dazu zählen alle externen Dienstleister, die Zugriff auf Systeme oder Daten haben oder die für den Betrieb unverzichtbar sind.

Was eine gute Antwort enthält

Eine gute Antwort enthält eine kurze Liste der kritischen Anbieter: IT-Dienstleister mit administrativen Zugängen, Cloud-Anbieter, Hosting-Provider, Softwareanbieter mit Schnittstellen in Geschäftsprozesse, externe Sicherheitsdienstleister. Pro Anbieter sollte klar sein, welche Sicherheitsnachweise vorliegen und wann die Zusammenarbeit zuletzt unter Sicherheitsgesichtspunkten bewertet wurde.

Wenn der IT-Leiter sagt, das sei "vertrauensvoll seit Jahren etabliert", ist das menschlich verständlich. Vor einer Aufsicht ist es kein belastbares Argument.

Frage 4: Wie würden wir einen Sicherheitsvorfall am Sonntag um drei Uhr erkennen?

Diese Frage zielt nicht auf den Heldenmodus. Sie zielt auf die Realität.

Die meisten mittelständischen Unternehmen können sich kein durchgehend besetztes Sicherheitsteam leisten. Das ist auch nicht in jedem Fall notwendig. Wichtig ist aber, dass es einen klaren Plan gibt, wie ein Vorfall überhaupt erkannt wird, wer informiert wird, wer eskaliert und wer entscheiden darf.

Worauf zu achten ist

Eine gute Antwort beschreibt die Erkennungs-Mechanismen (technisch und organisatorisch), die Rufkette außerhalb der Bürozeiten und die Schwelle, ab der die Geschäftsführung dazukommt. Wenn diese Antwort improvisiert klingt, ist sie es vermutlich auch.

Frage 5: Haben wir die BSI-Meldefristen im Griff?

Die NIS2-Richtlinie sieht ein gestaffeltes Meldewesen vor. Das BSI nennt für Deutschland eine Frühwarnung innerhalb von 24 Stunden, eine Vorfallmeldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls.

Diese Fristen sind kein Detail. Sie verändern die Vorbereitung.

Was eine gute Antwort enthält

Eine belastbare Antwort beschreibt, wer im Ernstfall die Meldung verfasst, welche Vorlagen verwendet werden, wie sicher die internen Kommunikationswege auch dann sind, wenn zentrale Systeme nicht laufen, und wer mit Behörden, Kunden oder Versicherern spricht. Vorlagen, Kontaktlisten und Eskalationspfade müssen außerhalb der betroffenen Systeme verfügbar sein.

Frage 6: Was würde ein Prüfer von uns sehen wollen?

Diese Frage wirkt theoretisch, ist es aber nicht. Sie ist die Generalprobe.

Eine Prüfung im NIS2-Kontext ist anders aufgebaut als eine ISO-Zertifizierung. Es gibt aktuell keine flächendeckenden Audits durch akkreditierte Prüfdienstleister. Wahrscheinlicher ist eine nachgelagerte Prüfung durch das BSI, ausgelöst durch einen Vorfall oder eine Anfrage.

Worauf zu achten ist

In dieser Situation zählt nicht, ob Maßnahmen "theoretisch vorhanden" sind. Es zählt, ob Nachweise auffindbar, aktuell und einer verantwortlichen Person zugeordnet sind. Eine gute Antwort beschreibt, wo welche Dokumente liegen, in welcher Struktur und wer für deren Aktualisierung verantwortlich ist.

Eine ehrliche Antwort kann auch lauten: "An folgenden Stellen haben wir noch Lücken, und wir arbeiten daran." Das ist deutlich belastbarer als der Eindruck, alles sei lückenlos.

Frage 7: Welche Maßnahmen haben wir umgesetzt, und welche Dokumentation belegt das?

Diese Frage führt zurück zu dem Punkt, der in der öffentlichen Diskussion oft unterschätzt wird.

Dokumentierte Sorgfaltspflicht ist im deutschen Gesellschaftsrecht ein zentraler Entlastungsmechanismus. § 93 AktG und § 43 GmbHG verlangen von Leitungsorganen Sorgfalt. Eine nachvollziehbare Dokumentation dieser Sorgfalt schützt im Streitfall nicht nur die einzelne Person, sondern auch das Unternehmen.

Was eine gute Antwort enthält

Eine gute Antwort beschreibt deshalb nicht nur, welche Maßnahmen umgesetzt sind, sondern auch, mit welchen Unterlagen sie belegt werden können. Beschlüsse, Konzepte, Schulungsnachweise, Vereinbarungen mit Dienstleistern, Protokolle.

Die Faustregel lautet: Eine Maßnahme, die nicht nachvollziehbar dokumentiert ist, ist für eine Aufsicht praktisch nicht vorhanden.

Was diese sieben Fragen leisten

Sie ersetzen keine Beratung und keine technische Prüfung. Sie ersetzen auch nicht das Risikomanagement, das Art. 21 NIS2 ausdrücklich verlangt.

Aber sie geben einem Geschäftsführer ein Werkzeug, mit dem er in einem einzigen Gespräch herausfindet, wo sein Unternehmen wirklich steht. Eine Stunde gute Fragen ersetzt viele Stunden ungenauer Berichterstattung.

Wer diese Fragen gestellt hat und ehrliche Antworten bekommt, weiß zwei Dinge: Was bereits funktioniert, und wo Handlungsbedarf besteht. Beides ist Voraussetzung für jede sinnvolle nächste Entscheidung.

Wo NIS2Cockpit unterstützen kann

NIS2Cockpit ersetzt keine Rechtsberatung und keine technische Prüfung. Der Wert liegt an einer anderen Stelle: in der Struktur. Verantwortlichkeiten, Maßnahmen, Nachweise und offene Punkte werden nachvollziehbar dokumentiert. Aus den oben genannten sieben Fragen werden so sichtbare Antworten, die im Ernstfall belastbar sind.

Häufige Fragen

Müssen Geschäftsführer NIS2 selbst verstehen?

Nicht in jedem Detail. Aber sie sollten die richtigen Fragen stellen können und die Antworten einordnen.

Reicht es, wenn die IT-Abteilung die Verantwortung übernimmt?

Operativ ja, rechtlich nein. Die Verantwortung für Cybersicherheit liegt nach NIS2 ausdrücklich bei der Leitungsebene.

Sind die sieben Fragen vollständig?

Sie decken zentrale Bereiche ab, ersetzen aber keine fundierte Risikoanalyse oder rechtliche Prüfung. Sie sind als Einstieg gedacht.

Was passiert, wenn der IT-Leiter keine guten Antworten geben kann?

Das ist ein wertvolles Ergebnis. Es zeigt, wo strukturierte Arbeit notwendig ist, und schafft die Grundlage für einen sinnvollen nächsten Schritt.

Quellen und weiterführende Informationen

  • EU-Kommission: NIS2 Directive (Richtlinie 2022/2555)
  • BSI: NIS2 und Cyber-Risikomanagement
  • BSI: Meldepflichten nach NIS2
  • Bundesministerium des Innern: NIS2-Umsetzungsgesetz

Hinweis

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Ob ein Unternehmen konkret von NIS2 betroffen ist, welche Pflichten im Einzelfall bestehen und wie sie umzusetzen sind, sollte fachlich und rechtlich geprüft werden.

Hinweis: Keine Rechtsberatung

Dieser Artikel dient ausschliesslich der allgemeinen Information über die NIS2-Richtlinie und das deutsche Umsetzungsgesetz (NIS2UmsuCG). Er stellt KEINE Rechtsberatung dar und kann eine individuelle anwaltliche Prüfung nicht ersetzen. Die Anwendung gesetzlicher Anforderungen auf Ihren konkreten Einzelfall haengt von Faktoren ab, die nur durch einen qualifizierten Fachanwalt für IT-Recht oder einen NIS2-Fachberater bewertet werden können.

Der Anbieter (NIS2Cockpit / Xantix Digital) uebernimmt keine Gewähr für die Aktualität, Richtigkeit oder Vollständigkeit der dargestellten Informationen und haftet nicht für Entscheidungen oder Handlungen, die auf Basis dieses Artikels getroffen werden. Es gelten die AGB, insbesondere §2 Absatz 3 und §10.

Bereit für Ihre NIS2-Compliance?

NIS2Cockpit führt Sie strukturiert durch alle Anforderungen. 62 Controls, lückenlose Dokumentation, Made in Germany.

14 Tage kostenlos testen
Sieben Fragen zu NIS2, die jeder Geschäftsführer seinem IT-Leiter stellen sollte