norppa.io
Leitfäden

NIS2-Leitfaden · 7 Min.

NIS2 und die Verantwortung der Leitung: Was Vorstand und Geschäftsführung wissen müssen

NIS2 tut etwas, was frühere Cybersicherheitsregeln weitgehend nicht taten: Es legt die Cybersicherheit ausdrücklich auf den Tisch des Leitungsorgans. Die Leitung muss die Risikomanagementmaßnahmen genehmigen, sie überwachen und kann persönlich haftbar gemacht werden, wenn sie versagt. Dieser Leitfaden erläutert, was die Richtlinie von Vorstand und Geschäftsführung erwartet, welche Fragen Sie Ihrem Sicherheitsteam stellen sollten, wie gute Berichterstattung aussieht und was Fehler kosten.

Wichtigste Punkte

  • Leitungsorgane müssen die Cybersicherheits-Risikomanagementmaßnahmen genehmigen und überwachen — und können für Versäumnisse haftbar gemacht werden (Art. 20).
  • Die Leitung muss an Cybersicherheitsschulungen teilnehmen; die Pflicht kann nicht vollständig an die IT delegiert werden.
  • Sanktionen erreichen bei wesentlichen Einrichtungen 10 Mio. € oder 2 % des weltweiten Umsatzes, bei wichtigen 7 Mio. € oder 1,4 % (Art. 34).
  • Der Vorstand sollte eine knappe, evidenzbasierte Berichterstattung erwarten — Abdeckung, Behebungstempo und offenes Risiko — keine jährliche Beteuerung.

Die Leitung wird benannt und in die Pflicht genommen

Nach Artikel 20 muss das Leitungsorgan einer wesentlichen oder wichtigen Einrichtung die Cybersicherheits-Risikomanagementmaßnahmen genehmigen und ihre Umsetzung überwachen. Dies ist keine delegierbare Formalität: Die Richtlinie macht die Leitung dafür verantwortlich, dass die Maßnahmen tatsächlich vorhanden sind und wirken.

Entscheidend ist, dass Mitglieder von Leitungsorganen für Verstöße der Einrichtung haftbar gemacht werden können. Diese Verantwortung ist in der Richtlinie selbst verankert; ihre konkrete Ausgestaltung hängt von der nationalen Umsetzung ab. Cybersicherheit ist daher eine Governance-Frage, nicht nur eine IT-Frage — sie gehört neben Finanz- und Rechtsrisiken auf die Tagesordnung des Vorstands.

Die vier Pflichten eines Leitungsorgans

In der Praxis laufen die Governance-Erwartungen der Richtlinie auf vier Dinge hinaus, die die Leitung tun muss:

  • Die Maßnahmen genehmigen — die Risikomanagementmaßnahmen (die Art.-21-Grundlage) mit ausreichendem Verständnis dessen freigeben, was Sie genehmigen.
  • Die Umsetzung überwachen — sicherstellen, dass die Maßnahmen tatsächlich eingeführt und über die Zeit wirksam sind, mit regelmäßiger Berichterstattung an den Vorstand.
  • An Schulungen teilnehmen — Mitglieder müssen an Cybersicherheitsschulungen teilnehmen, um Risiken zu erkennen und die Angemessenheit der Maßnahmen zu beurteilen (Art. 20(2)); vergleichbare Schulungen sollten dem Personal angeboten werden.
  • Verantwortung tragen — das Ergebnis verantworten. Die Haftung für Versäumnisse liegt beim Leitungsorgan, und Aufsichtsbehörden können direkt gegen die Leitung vorgehen.

Fragen an Ihr Sicherheitsteam

Sie müssen kein Sicherheitsingenieur sein, um Aufsicht auszuüben. Ein Vorstand kann einen Großteil seiner Pflicht erfüllen, indem er die richtigen Fragen stellt und evidenzbasierte Antworten erwartet:

Fallen wir als wesentliche oder wichtige Einrichtung in den Anwendungsbereich — und welche unserer Kunden, sodass uns Pflichten vertraglich übertragen werden?
Sind die Art.-21-Maßnahmen vorhanden, und wann wurden sie zuletzt von diesem Organ geprüft und genehmigt?
Können wir die Meldefristen von 24/72 Stunden einhalten, wenn ein Vorfall — auch bei einem Lieferanten — unsere Dienste beeinträchtigt?
Wie steuern wir das Cyberrisiko von Lieferanten und Dritten, und wie würden wir es in einer behördlichen Prüfung nachweisen?
Was sind aktuell unsere größten offenen Risiken, und wer verantwortet die Behebung bis wann?

Wie gute Vorstandsberichterstattung aussieht

Aufsicht braucht ein Signal, keinen 60-seitigen Anhang. Eine nützliche NIS2-Berichtslinie an den Vorstand ist kurz, über die Zeit vergleichbar und evidenzbasiert:

Abdeckung

Welcher Anteil der einschlägigen Lieferanten und Assets tatsächlich überwacht wird — Überraschungen kommen aus Lücken.

Behebungstempo

Durchschnittliche Behebungszeit kritischer und hoher Befunde — der Trend zählt mehr als eine einzelne Zahl.

Offenes Risiko

Aktuelle kritische/hohe Befunde und die dokumentierten, akzeptierten Risiken — NIS2 erwartet gesteuertes Risiko, nicht null Befunde.

Vorfallbereitschaft

Können die Meldefristen eingehalten werden, und wurden sie geübt, auch für von Lieferanten verursachte Vorfälle?

Was Fehler kosten — und was Erfolg

Sanktionen nach Artikel 34 erreichen bei wesentlichen Einrichtungen bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist) und bei wichtigen Einrichtungen bis zu 7 Mio. € oder 1,4 %. Aufsichtsbehörden können zudem verbindliche Anweisungen erteilen, die Offenlegung von Vorfällen anordnen und — bei wesentlichen Einrichtungen — Leitungsfunktionen vorübergehend aussetzen. Für die Leitung kann das Reputations- und Haftungsrisiko schwerer wiegen als die Geldbuße selbst.

Gut gemacht geht es oft weniger um neue Ausgaben als um die Umnutzung vorhandener Kontrollen: Die Art.-21-Maßnahmen überschneiden sich stark mit Kontrollen, die viele Organisationen bereits betreiben (ISO 27001, Betriebskontinuität, Zugriffskontrolle). Die von NIS2 erzwungene Verschiebung geht von punktueller Beteuerung hin zu kontinuierlichem, evidenzbasiertem Management — was die Aufsichtsberichterstattung auch wirklich aussagekräftig statt formell macht.

Quelle: Richtlinie (EU) 2022/2555 (NIS2), Artikel 20 und 34 — konsultieren Sie Ihr nationales Umsetzungsgesetz für die genauen Haftungs- und Schulungsbestimmungen in Ihrem Land.

Wie norppa.io hilft

norppa.io verwandelt das Cyberrisiko von Lieferanten und Dritten in die Art von Nachweis, die ein Vorstand tatsächlich nutzen kann: ein klarer Risikowert je Lieferant, Befunde den NIS2-Artikeln zugeordnet und ein monatlicher Führungsbericht, der für die Leitung statt für Ingenieure gestaltet ist.

Abdeckung, Behebungsverlauf und offenes Risiko sind auf einen Blick sichtbar, mit vollständig exportierbarem Prüfpfad — so kann die Leitung aktive Aufsicht nachweisen, und derselbe Nachweis beantwortet die Fragen einer Aufsichtsbehörde.

Geben Sie Ihrem Vorstand Nachweise, keine Behauptungen

Sehen Sie den Führungs-Lieferantenbericht — Risikowert, NIS2-Zuordnung und Nachweise — in zwei Minuten.

Musterbericht ansehen

Verwandte Leitfäden

NIS2 und die Lieferkettenpflicht — was das in der Praxis bedeutet

NIS2 verpflichtet wesentliche und wichtige Einrichtungen zur Bewertung ihrer Lieferkettenrisiken. Lieferanten-Tiering, 4th-Party-Risiken, Art. 23-Meldepflicht und worauf Prüfer achten.

NIS2 Art. 21(2) — Sicherheits-Checkliste für Lieferanten

Checkliste für Beschaffungs- und Sicherheitsteams: Was zu fragen ist, welche Nachweise zu sammeln sind und wie zu reagieren ist, wenn ein Lieferant Anforderungen nicht erfüllt. Mit empfohlenen Nachweisdokumenten.

Lieferanten-Cyberrisikobeurteilung: was das automatisierte NIS2-Monitoring prüft

Alle Prüfkategorien erklärt: Ransomware, Dark-Web-Lecks, TLS/DNSSEC, Cookie-Sicherheit, CVE/EPSS, Sanktionen, MX-Blacklists und SAQ. Befundslebenszyklus und NIS2-Artikelzuordnung.

Wer fällt unter NIS2? Wesentliche und wichtige Einrichtungen, Sektoren und Größenschwellen

Stellen Sie fest, ob NIS2 für Sie gilt: die zwei Kategorien, die Sektoren aus Anhang I/II, die Größenschwellen, größenunabhängige Ausnahmen und wie die Lieferkette Sie auch ohne Benennung erfasst.

NIS2-Lieferantenfragebogen (SAQ): was fragen, wie bewerten, plus Vorlage

Was Lieferanten nach Art. 21(2)(d) zu fragen ist, wie man Antworten bewertet und auf Lücken reagiert, warum Selbstauskunft Überprüfung braucht, plus eine kostenlose Vorlage.

NIS2 vs. DORA: Unterschiede, Überschneidungen und was für Sie gilt

Wie sich die zwei EU-Regime unterscheiden und überschneiden, warum DORA Lex specialis für Finanzunternehmen ist, was für Sie gilt und was beide für Drittparteienrisiko bedeuten.

NIS2-Vorfallmeldung: die 24- und 72-Stunden-Fristen erklärt

Was ein erheblicher Vorfall ist, der Zeitplan nach Artikel 23 (24-Stunden-Frühwarnung, 72-Stunden-Meldung, Abschlussbericht nach einem Monat) und wann der Vorfall eines Lieferanten zu Ihrer Pflicht wird.

ISO 27001 und NIS2: Was Ihr ISMS bereits abdeckt — und die Lücken, die bleiben

Wenn Sie ISO 27001 halten: was auf NIS2 übertragbar ist und was nicht — gesetzliche Vorfallmeldung, Haftung der Leitung, Registrierung und kontinuierliche Lieferkettensicherung — und wie Sie die Lücke schließen.