Auf den Punkt: NIS2 macht Vorstandsmitglieder persönlich verantwortlich für Cybersicherheit und verlangt jährliche Geschäftsleitungs-Dokumentation – CISOs müssen formale Compliance-Nachweise etablieren.
Die NIS2-Richtlinie der EU überträgt Cybersicherheit explizit auf die Geschäftsleitung und schafft damit eine direkte persönliche Haftung von Vorstandsmitgliedern für Datenschutzmaßnahmen. CISOs müssen diese Verantwortung nun dokumentieren und durchsetzen.
Die novellierte Netzwerk- und Informationssicherheits-Richtlinie (NIS2) der Europäischen Union verlagert die Verantwortung für Cybersicherheit auf die oberste Managementebene. Vorstandsmitglieder und Geschäftsführer werden damit persönlich haftbar für die Einhaltung von Cybersicherheitsstandards und können sich auf „fehlende Fachkenntnis“ nicht mehr berufen.
Die Regelung betrifft primär Unternehmen, die als kritische Infrastruktur klassifiziert sind (Energie, Wasser, Verkehr, Gesundheit, Finanzsektor und digitale Dienste). Der Kreis wird aber durch Verbindungsfirmen und Lieferanten erweitert. Organschaften müssen nachweisen, dass die Geschäftsleitung mindestens einmal jährlich mit Cybersicherheit befasst hat und Maßnahmen aktiv überwacht.
Für CISOs bedeutet dies: Sie benötigen formale Mandate und schriftliche Compliance-Dokumentation. Board-Präsentationen müssen Risiken, Maßnahmen und Ressourcenbedarf transparent darstellen. Die Beweislast liegt bei der Organisation – ein fehlender Nachweis der Geschäftsleitungs-Kontrolle führt zu Verstößen gegen NIS2, unabhängig vom tatsächlichen Sicherheitszustand.
Bußgelder können bis zu 10 Millionen Euro oder bei größeren Unternehmen bis zu 2 Prozent des globalen Jahresumsatzes betragen. Nationale Umsetzungsfristen laufen bis Oktober 2024; erste Auditierungen sind 2025 zu erwarten.
Quelle: news.google.com · Erschienen 5. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.4.