Mit der europäischen NIS-2-Richtlinie hat der Gesetzgeber die Anforderungen an die Cyber-Sicherheit von Unternehmen deutlich verschärft. In Deutschland wurde das NIS2-Umsetzungsgesetz am 13. November 2025 vom Bundestag beschlossen und ist seit dem 6. Dezember 2025 in Kraft. Damit sind die neuen Pflichten für viele Unternehmen unmittelbar relevant. Dennoch herrscht in zahlreichen Betrieben noch Unsicherheit darüber, ob und in welchem Umfang sie tatsächlich betroffen sind.
Der Anwendungsbereich ist deutlich weiter gefasst als bei der bisherigen Regulierung. Neben klassischen Betreibern kritischer Infrastrukturen werden nun zahlreiche weitere Branchen erfasst, darunter Unternehmen aus IT, Digitalwirtschaft, Logistik, Gesundheitswesen oder dem Finanzsektor. Bereits mittelständische Unternehmen ab 50 Mitarbeitenden oder mit einem Jahresumsatz von zehn Millionen Euro können unter die Kategorie „wichtige Einrichtung“ fallen. Gerade IT-Dienstleister und Managed Service Provider stehen häufig unmittelbar im Fokus.
Doch selbst Unternehmen, die formal nicht direkt unter das Gesetz fallen, kann es treffen. Denn NIS-2 verpflichtet betroffene Unternehmen ausdrücklich dazu, Risiken in ihrer Lieferkette zu minimieren. Das bedeutet in der Praxis, dass Auftraggeber ihre Dienstleister und Zulieferer genauer prüfen und höhere Anforderungen an deren IT-Sicherheitsniveau stellen müssen. Wer also „nur“ Dienstleister ist, spürt den regulatorischen Druck indirekt über seine Kundschaft. Sicherheitsfragebögen, vertragliche Zusicherungen, Audit-Rechte und verschärfte Meldepflichten bei Sicherheitsvorfällen entwickeln sich zum Standard. Cyber-Resilienz wird damit zu einer faktischen Voraussetzung für stabile Geschäftsbeziehungen.
Besonders brisant ist die persönliche Verantwortung der Geschäftsleitung. Das Gesetz verlangt, dass Geschäftsführer geeignete Sicherheitsmaßnahmen einführen, schulen und deren Umsetzung dauerhaft überwachen. Die Zeiten, in denen Cyber-Sicherheit allein als technische Aufgabe der IT-Abteilung betrachtet werden konnte, sind damit endgültig vorbei.
Verstöße können empfindliche Folgen haben. Abhängig von der Einordnung des Unternehmens sind Bußgelder von bis zu zehn Millionen Euro beziehungsweise zwei Prozent des weltweiten Jahresumsatzes möglich. Noch gewichtiger ist jedoch das persönliche Haftungsrisiko. Wenn der Vorwurf im Raum steht, dass Organisations- und Überwachungspflichten verletzt wurden, kann die Geschäftsleitung persönlich haftbar gemacht werden.
Vor diesem Hintergrund gewinnt die D&O-Versicherung weiter an Bedeutung. Sie dient dem Schutz von Geschäftsführern und Vorständen vor den finanziellen Folgen von Haftungsansprüchen wegen Pflichtverletzungen. Angesichts der verschärften gesetzlichen Anforderungen sollte sorgfältig geprüft werden, ob Deckungssummen ausreichend bemessen sind und ob regulatorische Verfahren sowie Pflichtverletzungen im Zusammenhang mit IT-Compliance vom Versicherungsschutz erfasst werden.
Parallel dazu bleibt die Cyber-Versicherung ein wesentliches Instrument zur Absicherung operativer Schäden. Sie übernimmt typischerweise Kosten für IT-Forensik, Krisenmanagement, Datenwiederherstellung oder Betriebsunterbrechungen nach einem Cybervorfall. Allerdings ist auch hier eine Entwicklung erkennbar: Versicherer verlangen zunehmend ein belastbares Sicherheitsniveau als Voraussetzung für den Abschluss oder die Verlängerung einer Police. Unternehmen, die die Anforderungen aus NIS-2 strukturiert umsetzen und dokumentieren, verbessern daher nicht nur ihre regulatorische Position, sondern stärken zugleich ihre Versicherbarkeit.
Für Zulieferunternehmen ist NIS-2 somit weit mehr als eine weitere gesetzliche Formalie. Die neuen Vorgaben beeinflussen Vertragsbeziehungen, Haftungsrisiken, Versicherungsbedingungen und letztlich die eigene Wettbewerbsfähigkeit. Cyber-Sicherheit ist zur strategischen Managementaufgabe geworden – und zu einem Thema, das untrennbar mit unternehmerischer Verantwortung verbunden ist.
