The Shift from Compliance to Accountability
The Network and Information Security Directive 2 (NIS2) marked a fundamental change in how EU law treats cybersecurity governance. Where NIS1 was procedural—largely a responsibility delegated to operational teams—NIS2 places personal liability squarely on the shoulders of management bodies. For board members and senior executives, this is not a technical problem anymore. It is a legal exposure.
The distinction matters: compliance culture focuses on ticking boxes. Accountability culture focuses on preventing outcomes. NIS2 forces the latter by making individual directors answerable—not just the company—for security failures. This is why it has prompted boardrooms across Europe to scramble. And why the German transposition, the NIS2-Umsetzungsgesetz (NIS2UmsuCG), requires boards to demonstrate not just that they invested in cybersecurity, but how they governed it.
Scope Expansion: From Narrow to Comprehensive
NIS1 applied to a narrow list of essential service operators: energy, transport, water, health. Most companies escaped the obligation. NIS2 changed the game entirely. The directive now covers 18 sectors, with a materiality threshold of 50 or more employees or €10 million in annual turnover. This means startups with significant headcount, mid-sized manufacturers, financial services, telecommunications, healthcare providers—and crucially, digital service providers—are now in scope.
The expanding definition reflects a hard-won lesson: cybersecurity is not the concern of a few utilities anymore. It is systemic. A breach at a logistics provider or a mid-market SaaS company cascades. Supply chains depend on it. Data flows depend on it. The economy depends on it. NIS2 treats it that way.
For boards, the scope expansion has one immediate consequence: if you are running a company with more than 50 employees or above the turnover threshold in any of these sectors, you are no longer dealing with an optional best practice. You are dealing with a mandatory legal obligation, backed by fines up to €10 million or 2% of global turnover for significant breaches.
Personal Liability: Directors Can No Longer Delegate Away the Problem
NIS2 Article 18 imposes an explicit duty on management bodies to ensure adequate cybersecurity measures. In German law, this translates directly into the responsibilities of the Geschäftsleitung (executive management) and Aufsichtsrat (supervisory board). The language is unambiguous: management bodies must oversee cybersecurity governance, not merely delegate it to the IT department and hope for the best.
This creates personal exposure. If a material breach occurs and an investigation finds that the board failed to implement reasonable governance structures—no incident response plan, no supply chain security assessments, no regular board-level cybersecurity reporting—individual directors face potential liability. This can include criminal exposure in egregious cases (gross negligence), administrative fines, and shareholder claims for breach of fiduciary duty.
The Geschäftsleitung cannot insulate itself by claiming ignorance. The directive requires demonstrable board oversight. This means documented cybersecurity discussions, approved policies, regular status reporting, and evidence that management actually monitored cybersecurity posture. Passive acceptance of the CTO's assurances is no longer sufficient from a legal standpoint.
The 24-Hour Reporting Obligation: A Forced Transparency Moment
Article 23 of NIS2 mandates that operators report "significant incidents" to competent national authorities within 24 hours of detection. Germany's BSI (Bundesamt für Sicherheit in der Informationstechnik) administers this obligation. The 24-hour clock is tight. It forces organisations to have pre-built incident response procedures—not scrambled together at 3 a.m. on a crisis call.
What constitutes "significant"? The directive leaves room for interpretation, but in practice it covers incidents that affect availability, authenticity, or integrity of systems or data; incidents affecting critical functions; and incidents affecting large numbers of users. The low threshold is intentional: it errs toward reporting.
From a governance perspective, the reporting obligation creates a board-level accountability moment. Directors must ensure that the company has a formal incident response plan, that it is tested regularly, and that escalation procedures are clear. When an incident is detected, the board needs to know within hours—not days. This requires information architecture and communication protocols that most traditional companies have not yet built.
There is a practical implication: insurance and legal counsel must be engaged at the same moment as the incident team. The reporting decision carries legal, reputational, and financial consequences. The board cannot make that decision in isolation from legal and regulatory expertise.
Supply Chain Security: Your Vendors' Risk Is Your Risk
NIS2 Article 21 introduces supply chain risk management as a mandatory element of cybersecurity governance. This means boards must now assess not only their own security posture, but the security posture of third-party vendors, contractors, and service providers. If a critical vendor suffers a breach that cascades to your systems, the question will be asked: what due diligence did you conduct?
For many boards, this is unfamiliar terrain. Vendor security assessments were traditionally handled by procurement or IT. NIS2 elevates it to a governance issue. The directive requires organisations to evaluate supply chain risks and ensure contractual mechanisms are in place to mitigate them. This includes:
Security requirements in contracts with cloud providers, SaaS vendors, and critical infrastructure partners. Regular audits or certifications (SOC 2, ISO 27001) where appropriate. Incident notification requirements that flow back to your systems within agreed timeframes. Contractual termination rights if a vendor's security posture deteriorates materially.
The supply chain obligation is not a checkbox exercise. A single compromised vendor relationship can unravel an entire company's security architecture. The board needs to understand which vendors are critical, what their security profile looks like, and what happens if they fail. This requires a shift from transactional vendor relationships to strategic security partnerships.
The German Transposition Gap: What We Know and What We're Still Waiting For
The EU's NIS2 Directive had a transposition deadline of 17 October 2024. Germany's response was the NIS2-Umsetzungsgesetz (NIS2UmsuCG), which entered into force in autumn 2024. However, full compliance deadlines have been staggered: the directive requires operators to be fully compliant by 17 October 2024 for awareness-raising, and by 17 October 2025 for the full range of operational measures.
In practice, Germany's implementation has not been frictionless. Some sectoral authorities are still issuing guidance on how to interpret scope definitions and materiality thresholds. The BSI's requirements for incident reporting are clear, but enforcement practices are still evolving. For boards, this creates some uncertainty: the legal framework exists, but the practical application is still calibrating.
The advice here is simple: do not wait for perfect guidance. The directive is now law. The personal liability is real. The fines are escalating. Assuming that regulatory ambiguity gives you a grace period is a mistake. Boards should treat the transposition as already fully in effect and build governance structures now.
What Boards Must Do Now
Conduct a comprehensive gap analysis. Engage external counsel or a specialised consulting firm to assess your current cybersecurity governance against NIS2 requirements. This should cover: the status of your incident response plan, the adequacy of your risk assessment procedures, the completeness of your supply chain security inventory, and the effectiveness of your board-level reporting mechanisms. Document what you have; identify what you lack; prioritise remediation.
Establish formal board-level cybersecurity governance. Create a board committee or assign clear oversight responsibility to an existing committee. This committee should receive regular (at minimum quarterly) reports on cybersecurity posture, incidents (even minor ones), vendor risk assessments, and regulatory developments. The board should approve key cybersecurity policies and be briefed on material changes to the threat environment. This is not a delegated function; it is a board function.
Build and test your incident response plan. Have a documented, tested procedure for detecting, reporting, and managing security incidents. This plan should clearly define roles, escalation procedures, notification triggers, and communication protocols. It should specify who reports to whom within the first 24 hours, and when external counsel is engaged. Run a tabletop exercise at least once annually. Update the plan based on what the exercise reveals.
Inventory and assess your critical vendors. Map out which third parties have access to your systems, data, or critical functions. Assess their security maturity using industry standards (SOC 2, ISO 27001, or custom questionnaires). Document the assessment. Review it at least annually. Build contractual mechanisms to ensure security obligations flow through your supply chain: right to audit, incident notification requirements, minimum security standards, termination rights.
Document your governance decisions and compliance efforts. If a breach occurs and regulators or prosecutors investigate, you need evidence that your board took cybersecurity seriously. This means board minutes showing discussion of cybersecurity, signed-off policies, evidence of vendor assessments, training records for employees with access to sensitive systems, and regular reporting on security posture. The documentation is not just for compliance; it is a liability shield.
Engage legal counsel proactively. NIS2 compliance is not a task for IT alone, and it is not something a board can manage without legal input. You need an attorney who understands both cybersecurity and German corporate governance law to help structure your program, review your policies, and advise on specific risks in your sector. The cost of this engagement is far lower than the cost of a breach combined with a finding that your board was negligent.
The Reputational and Commercial Reality
Beyond the legal and regulatory exposure, NIS2 reflects a broader market reality: cybersecurity governance is now a marker of institutional maturity. Investors expect it. Customers demand it. Regulators require it. A board that treats cybersecurity as a check-the-box compliance issue is signalling weakness. A board that treats it as core to operational governance is signalling competence.
This is particularly true for companies in regulated sectors or those handling sensitive data. If you are bidding on government contracts, serving as a critical infrastructure provider, or handling personal data at scale, your cybersecurity governance program is part of your competitive advantage. Companies that have built mature, documented governance structures win more deals and face lower insurance costs.
The Bottom Line
NIS2 has redrawn the map of board accountability in Europe. Personal liability for cybersecurity governance is no longer theoretical; it is statutory. The expansion of scope means most mid-sized and larger companies are in scope. The 24-hour incident reporting requirement forces boards to build robust incident response infrastructure. The supply chain provisions require boards to understand and manage third-party risk. And the German transposition is now law, with compliance deadlines in effect.
For boards that have not yet acted, the time for passive compliance is over. The time for active governance has arrived. This means board-level oversight, documented decision-making, tested procedures, vendor assessments, and engagement with legal counsel who understands both the technology and the law. The cost of getting this right is manageable. The cost of getting it wrong—in terms of fines, personal liability, shareholder claims, and reputational damage—is not.
Der Wechsel von Compliance zu Verantwortlichkeit
Die Richtlinie über Netz- und Informationssicherheit 2 (NIS2) markiert eine grundlegende Veränderung der europäischen Rechtslandschaft in Bezug auf Cybersicherheitsgovernance. Während NIS1 prozedural war – im Wesentlichen eine Verantwortung, die an operative Teams delegiert wurde – stellt NIS2 persönliche Haftung direkt auf die Schultern der Geschäftsleitung. Für Vorstandsmitglieder und Geschäftsführer ist dies nicht länger ein technisches Problem. Es ist ein rechtliches Risiko.
Der Unterschied ist wichtig: Eine Compliance-Kultur konzentriert sich auf Abhaken von Kästchen. Eine Verantwortungskultur konzentriert sich auf die Verhinderung von Outcomes. NIS2 erzwingt letzteres, indem sie einzelne Geschäftsleiter persönlich verantwortlich macht – nicht nur das Unternehmen – für Sicherheitsmängel. Deshalb hat sie Vorstandszimmer in ganz Europa aufgeweckt. Und warum das deutsche Umsetzungsgesetz (NIS2UmsuCG) verlangt, dass Geschäftsleitungen nicht nur nachweisen, dass sie in Cybersicherheit investiert haben, sondern wie sie diese gesteuert haben.
Geltungsbereichserweiterung: Von eng definiert zu umfassend
NIS1 galt für eine enge Liste wesentlicher Betreiber kritischer Infrastrukturen: Energie, Verkehr, Wasser, Gesundheit. Die meisten Unternehmen entgingen der Verpflichtung. NIS2 änderte das grundlegend. Die Richtlinie erfasst nun 18 Sektoren, mit einer Wesentlichkeitsschwelle von mindestens 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Das bedeutet: Startups mit signifikantem Personalbestand, mittelständische Hersteller, Finanzdienstleistungen, Telekommunikation, Gesundheitsdienstleister – und entscheidend: digitale Dienstleister – sind nun im Geltungsbereich.
Die erweiterte Definition spiegelt eine hart erarbeitete Lektion wider: Cybersicherheit ist nicht mehr das Anliegen weniger Versorgungsunternehmen. Sie ist systemisch. Ein Breach bei einem Logistikanbieter oder einem mittelständischen SaaS-Unternehmen hat Kaskadeneffekte. Lieferketten hängen davon ab. Datenflüsse hängen davon ab. Die Wirtschaft hängt davon ab. NIS2 behandelt es so.
Für Geschäftsleitungen hat die Geltungsbereichserweiterung eine unmittelbare Konsequenz: Wenn Sie ein Unternehmen mit mehr als 50 Mitarbeitern oder über der Umsatzschwelle in einem dieser Sektoren führen, haben Sie es nicht länger mit einer optionalen Best Practice zu tun. Sie haben es mit einer verbindlichen gesetzlichen Verpflichtung zu tun, unterstützt durch Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes für schwerwiegende Verstöße.
Persönliche Haftung: Geschäftsleiter können das Problem nicht länger delegieren
NIS2 Artikel 18 legt eine ausdrückliche Pflicht der Geschäftsleitung fest, angemessene Cybersicherheitsmaßnahmen sicherzustellen. Im deutschen Recht übersetzt sich dies direkt in die Verantwortlichkeiten der Geschäftsleitung und des Aufsichtsrats. Die Sprache ist unmissverständlich: Die Geschäftsleitung muss die Cybersicherheitsgovernance überwachen, nicht nur an die IT-Abteilung delegieren und das Beste hoffen.
Dies schafft persönliches Risiko. Wenn ein wesentlicher Breach auftritt und eine Ermittlung zeigt, dass die Geschäftsleitung es versäumt hat, angemessene Governance-Strukturen zu implementieren – kein Incident-Response-Plan, keine Supply-Chain-Sicherheitsbewertungen, keine regelmäßigen Berichterstattungen auf Geschäftsleitungsebene – drohen Geschäftsleitern potenzielle Haftung. Dies kann strafbare Haftung in eklatanten Fällen (grobe Fahrlässigkeit), Verwaltungsbußgelder und Ansprüche von Aktionären wegen Verletzung der Treuepflicht einschließen.
Die Geschäftsleitung kann sich nicht abschirmen, indem sie Unwissenheit behauptet. Die Richtlinie erfordert nachweisbare Überwachung. Das bedeutet dokumentierte Cybersicherheitsdiskussionen, gebilligte Richtlinien, regelmäßige Statusberichte und Nachweise, dass die Geschäftsleitung die Cybersicherheit tatsächlich überwacht hat. Passive Akzeptanz der Zusicherungen des CTO ist juristisch nicht mehr ausreichend.
Die 24-Stunden-Meldepflicht: Ein erzwungener Transparenzmoment
Artikel 23 von NIS2 schreibt vor, dass Betreiber „erhebliche Vorfälle" den zuständigen nationalen Behörden innerhalb von 24 Stunden nach Feststellung melden müssen. In Deutschland verwaltet das BSI (Bundesamt für Sicherheit in der Informationstechnik) diese Verpflichtung. Die 24-Stunden-Frist ist knapp. Sie zwingt Organisationen, vorgebaute Incident-Response-Verfahren zu haben – nicht improvisiert um 3 Uhr morgens in einem Krisentelefongespräch.
Was ist „erheblich"? Die Richtlinie lässt Raum für Interpretation, aber in der Praxis umfasst es Vorfälle, die Verfügbarkeit, Authentizität oder Integrität von Systemen oder Daten beeinträchtigen; Vorfälle, die kritische Funktionen beeinträchtigen; und Vorfälle, die große Mengen von Benutzern beeinträchtigen. Die niedrige Schwelle ist beabsichtigt: Sie ergeht sich auf der Seite der Meldung.
Aus Governance-Perspektive schafft die Meldepflicht einen Rechenschaftsmoment auf Geschäftsleitungsebene. Geschäftsleiter müssen sicherstellen, dass das Unternehmen einen formalen Incident-Response-Plan hat, dass dieser regelmäßig getestet wird, und dass Eskalationsverfahren klar sind. Wenn ein Vorfall erkannt wird, muss die Geschäftsleitung innerhalb von Stunden davon erfahren – nicht Tagen. Dies erfordert eine Informationsarchitektur und Kommunikationsprotokolle, die die meisten traditionellen Unternehmen noch nicht gebaut haben.
Es gibt eine praktische Implikation: Versicherung und Rechtsberatung müssen im selben Moment wie das Incident-Team eingebunden werden. Die Meldungsentscheidung hat rechtliche, reputationsmäßige und finanzielle Konsequenzen. Die Geschäftsleitung kann diese Entscheidung nicht isoliert von rechtlicher und regulatorischer Fachkompetenz treffen.
Supply-Chain-Sicherheit: Das Risiko Ihrer Anbieter ist Ihr Risiko
NIS2 Artikel 21 führt Supply-Chain-Risikomanagement als obligatorisches Element der Cybersicherheitsgovernance ein. Das bedeutet, dass Geschäftsleitungen nun nicht nur ihre eigene Sicherheitslage bewerten müssen, sondern auch die Sicherheitslage von Drittanbietern, Auftragnehmern und Dienstleistern. Wenn ein kritischer Anbieter einen Breach erleidet, der sich auf Ihre Systeme auswirkt, wird die Frage gestellt: Welche gebotene Sorgfalt haben Sie angewendet?
Für viele Geschäftsleitungen ist dies unbekanntes Terrain. Vendor-Sicherheitsbewertungen wurden traditionell von Beschaffung oder IT gehandhabt. NIS2 hebt es zu einem Governance-Thema. Die Richtlinie verlangt, dass Organisationen Supply-Chain-Risiken bewerten und vertragliche Mechanismen zur Risikominderung sicherstellen. Dies umfasst:
Sicherheitsanforderungen in Verträgen mit Cloud-Providern, SaaS-Anbietern und kritischen Infrastrukturpartnern. Regelmäßige Audits oder Zertifizierungen (SOC 2, ISO 27001) wo angemessen. Incident-Benachrichtigungsanforderungen, die innerhalb vereinbarter Zeitrahmen an Ihre Systeme zurückfließen. Vertragliche Kündigungsrechte, wenn sich die Sicherheitslage eines Anbieters erheblich verschlechtert.
Die Supply-Chain-Verpflichtung ist keine Abhak-Übung. Eine einzige kompromittierte Anbieterbeziehung kann die gesamte Sicherheitsarchitektur eines Unternehmens zerstören. Die Geschäftsleitung muss verstehen, welche Anbieter kritisch sind, wie ihre Sicherheitslage aussieht, und was passiert, wenn sie ausfallen. Dies erfordert einen Wechsel von transaktionalen Anbieterbeziehungen zu strategischen Sicherheitspartnerschaften.
Die deutsche Umsetzungslücke: Was wir wissen und worauf wir noch warten
Die EU-Richtlinie NIS2 hatte eine Umsetzungsfrist zum 17. Oktober 2024. Deutschlands Antwort war das NIS2-Umsetzungsgesetz (NIS2UmsuCG), das im Herbst 2024 in Kraft trat. Allerdings wurden die vollständigen Compliance-Deadlines gestaffelt: Die Richtlinie verlangt von Betreibern, bis zum 17. Oktober 2024 zur Sensibilisierung vollständig zu entsprechen, und bis zum 17. Oktober 2025 für die volle Palette operativer Maßnahmen.
In der Praxis war Deutschlands Umsetzung nicht reibungslos. Einige Sektorbehörden geben immer noch Leitlinien zur Interpretation von Geltungsbereichsdefinitionen und Wesentlichkeitsschwellen aus. Die BSI-Anforderungen für die Incident-Meldung sind klar, aber Durchsetzungspraktiken entwickeln sich noch. Für Geschäftsleitungen schafft dies Unsicherheit: Das Rechtsrahmenwerk existiert, aber die praktische Anwendung kalibriert sich noch.
Der Rat hier ist einfach: Warten Sie nicht auf perfekte Leitlinien. Die Richtlinie ist nun Gesetz. Die persönliche Haftung ist real. Die Bußgelder steigen. Anzunehmen, dass regulatorische Mehrdeutigkeit Ihnen eine Schonzeit gibt, ist ein Fehler. Geschäftsleitungen sollten die Umsetzung als bereits vollständig in Kraft behandeln und Governance-Strukturen jetzt aufbauen.
Was Geschäftsleitungen jetzt tun müssen
Führen Sie eine umfassende Gap-Analyse durch. Beziehen Sie externe Rechtsberatung oder ein spezialisiertes Beratungsunternehmen ein, um Ihre aktuelle Cybersicherheitsgovernance gegen NIS2-Anforderungen zu bewerten. Dies sollte Folgendes abdecken: Status Ihres Incident-Response-Plans, Angemessenheit Ihrer Risikobewertungsverfahren, Vollständigkeit Ihres Supply-Chain-Sicherheitsinventars und Effektivität Ihrer Berichterstattungsmechanismen auf Geschäftsleitungsebene. Dokumentieren Sie, was Sie haben; identifizieren Sie, was Ihnen fehlt; priorisieren Sie Abhilfemaßnahmen.
Etablieren Sie formale Cybersicherheitsgovernance auf Geschäftsleitungsebene. Erstellen Sie einen Geschäftsleitungsausschuss oder weisen Sie einem bestehenden Ausschuss klare Überwachungsverantwortung zu. Dieser Ausschuss sollte regelmäßige (mindestens vierteljährlich) Berichte über Cybersicherheitslage, Vorfälle (auch geringfügige), Vendor-Risikobewertungen und regulatorische Entwicklungen erhalten. Die Geschäftsleitung sollte Schlüssel-Cybersicherheitsrichtlinien genehmigen und über wesentliche Veränderungen der Bedrohungslage unterrichtet werden. Dies ist keine delegierte Funktion; es ist eine Geschäftsleitungsfunktion.
Bauen Sie Ihren Incident-Response-Plan auf und testen Sie ihn. Haben Sie ein dokumentiertes, getestetes Verfahren für das Erkennen, Melden und Verwalten von Sicherheitsvorfällen. Dieser Plan sollte klar Rollen, Eskalationsverfahren, Benachrichtigungsauslöser und Kommunikationsprotokolle definieren. Er sollte angeben, wer innerhalb der ersten 24 Stunden an wen berichtet, und wann externe Rechtsberatung eingebunden wird. Führen Sie mindestens einmal jährlich eine Tisch-Übung durch. Aktualisieren Sie den Plan auf Basis dessen, was die Übung offenbart.
Erstellen Sie ein Inventar Ihrer kritischen Anbieter und bewerten Sie diese. Ordnen Sie, welche Dritte Zugriff auf Ihre Systeme, Daten oder kritische Funktionen haben. Bewerten Sie ihre Sicherheitsreife anhand von Industriestandards (SOC 2, ISO 27001 oder benutzerdefinierte Fragebögen). Dokumentieren Sie die Bewertung. Überprüfen Sie sie mindestens jährlich. Bauen Sie vertragliche Mechanismen ein, um Sicherungsverpflichtungen in Ihre Supply Chain fließen zu lassen: Audit-Recht, Incident-Benachrichtigungsanforderungen, Mindest-Sicherheitsstandards, Kündigungsrechte.
Dokumentieren Sie Ihre Governance-Entscheidungen und Compliance-Bemühungen. Wenn ein Breach auftritt und Regulatoren oder Strafverfolgungsbehörden ermitteln, brauchen Sie Beweise, dass Ihre Geschäftsleitung Cybersicherheit ernst genommen hat. Das bedeutet Geschäftsleitungsprotokolle, die Diskussionen über Cybersicherheit zeigen, unterzeichnete Richtlinien, Beweise von Vendor-Bewertungen, Schulungsaufzeichnungen für Mitarbeiter mit Zugang zu sensiblen Systemen und regelmäßige Berichterstattung über die Sicherheitslage. Die Dokumentation schützt nicht nur Compliance; sie schützt vor Haftung.
Beziehen Sie Rechtsberatung proaktiv ein. NIS2-Compliance ist nicht eine Aufgabe allein der IT, und es ist nicht etwas, das eine Geschäftsleitung ohne rechtlichen Input verwalten kann. Sie brauchen einen Anwalt, der sowohl Cybersicherheit als auch deutsches Unternehmensgovernancerecht versteht, um Ihr Programm zu strukturieren, Ihre Richtlinien zu überprüfen und Sie bei spezifischen Risiken in Ihrem Sektor zu beraten. Die Kosten dieses Engagements sind weitaus geringer als die Kosten eines Breach kombiniert mit dem Befund, dass Ihre Geschäftsleitung fahrlässig war.
Die Reputations- und Geschäftsrealität
Über das rechtliche und regulatorische Risiko hinaus spiegelt NIS2 eine breitere Markefrealität wider: Cybersicherheitsgovernance ist nun ein Marker für institutionelle Reife. Investoren erwarten es. Kunden fordern es. Regulatoren verlangen es. Eine Geschäftsleitung, die Cybersicherheit als Check-the-Box-Compliance-Problem behandelt, signalisiert Schwäche. Eine Geschäftsleitung, die es als zentral für operative Governance behandelt, signalisiert Kompetenz.
Dies trifft besonders auf Unternehmen in regulierten Sektoren oder solche, die sensible Daten verarbeiten, zu. Wenn Sie auf Regierungsverträge bieten, als kritischer Infrastrukturanbieter fungieren oder persönliche Daten im großen Maßstab verarbeiten, ist Ihr Cybersicherheits-Governance-Programm Teil Ihres Wettbewerbsvorteils. Unternehmen, die reife, dokumentierte Governance-Strukturen aufgebaut haben, gewinnen mehr Deals und sind mit niedrigeren Versicherungskosten konfrontiert.
Die Quintessenz
NIS2 hat die Karte der Geschäftsleitungshaftung in Europa neu gezeichnet. Persönliche Haftung für Cybersicherheitsgovernance ist nicht länger theoretisch; sie ist gesetzlich. Die Erweiterung des Geltungsbereichs bedeutet, dass die meisten mittelständischen und größeren Unternehmen im Geltungsbereich sind. Die 24-Stunden-Incident-Meldepflicht zwingt Geschäftsleitungen, robuste Incident-Response-Infrastruktur zu bauen. Die Supply-Chain-Bestimmungen verlangen, dass Geschäftsleitungen Drittrisiken verstehen und verwalten. Und die deutsche Umsetzung ist nun Gesetz, mit Compliance-Deadlines in Kraft.
Für Geschäftsleitungen, die noch nicht gehandelt haben, ist die Zeit für passive Compliance vorbei. Die Zeit für aktive Governance ist gekommen. Das bedeutet Überwachung auf Geschäftsleitungsebene, dokumentierte Entscheidungsfindung, getestete Verfahren, Vendor-Bewertungen und Engagement mit Rechtsberatung, die sowohl die Technologie als auch das Recht versteht. Die Kosten, dies richtig zu machen, sind überschaubar. Die Kosten, es falsch zu machen – in Form von Bußgeldern, persönlicher Haftung, Ansprüchen von Aktionären und Reputationsschaden – sind es nicht.