Delegieren geht nicht: Cybersicherheit wird zur Führungsaufgabe
Unternehmen müssen dringend aktiv werden, um Bußgelder und Risiken zu vermeiden, rät die TÜV NORD Akademie.
Unternehmen müssen dringend aktiv werden, um Bußgelder und Risiken zu vermeiden, rät die TÜV NORD Akademie.
Hackerangriffe sind für Unternehmen eine immer größere Bedrohung. Die EU hat daher die Richtlinie Netz- und Informationssicherheit (NIS) grundlegend überarbeitet und neue Vorgaben zum Schutz vor Cyberangriffen festgelegt. Seit dem 6. Dezember 2025 sind mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie auch in Deutschland die Anforderungen für viele Unternehmen sowie zahlreiche Einrichtungen der Bundesverwaltungen erhöht worden.
So sind neben den Betreibern kritischer Anlagen jetzt auch zahlreiche mittlere und große Unternehmen aus anderen Bereichen verpflichtet, strengere Vorgaben zum Schutz vor Cyberangriffen einzuhalten. Das betrifft zum Beispiel Unternehmen aus der Lebensmittelproduktion, Post- und Kurierdienste, digitale Dienste oder öffentliche Verwaltungen; in Deutschland insgesamt etwa 30.000 Unternehmen aus 18 verschiedenen Sektoren (Branchen und Bereichen), abhängig von Größe und Jahresumsatz. „Allerdings sind nicht alle Unternehmen auf die neuen Anforderungen ausreichend vorbereitet“, berichtet Melanie Braunschweig, Expertin für IT-Security-Schulungen bei der TÜV NORD Akademie.
Vorgeschrieben sind für diese Unternehmen zum Beispiel eine umfassende Risikoanalyse sowie Maßnahmen zum Risikomanagement, die zu implementieren und zu dokumentieren sind. Zudem müssen die Mitarbeitenden zum Thema Cybersecurity regelmäßig geschult werden. „Neu ist aber vor allem auch die persönliche Haftung von Geschäftsführung und leitenden Manager:innen eines Unternehmens. Sie sind verantwortlich dafür, dass die Maßnahmen zur IT-Sicherheit umgesetzt werden und verpflichtet, entsprechende Schulungen zu absolvieren. Diese Verantwortung kann nicht an Dritte delegiert werden“, erklärt Melanie Braunschweig.
Mit der Einführung der NIS-2-Richtlinie sind außerdem strenge Meldepflichten in Kraft getreten. Über einen erheblichen Vorfall müssen die Aufsichtsbehörden innerhalb von 24 Stunden informiert werden, binnen 72 Stunden müssen sie eine erste Bewertung des erheblichen Sicherheitsvorfalls inkl. Schweregrad, Auswirkungen, ggf. Kompromittierungsindikatoren erhalten. „Bei Verstößen drohen empfindliche Strafen, die bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes ausmachen können“, sagt Melanie Braunschweig.
Die TÜV NORD Akademie unterstützt Unternehmen bei der Umsetzung der neuen Anforderungen mit Schulungen zur NIS-2-Richtlinie, wie beispielsweise mit Kursen für das Management oder dem viertägigen Zertifikatslehrgang „NIS-2-Experte (TÜV)“ für IT-Sicherheitsbeauftragte und -verantwortliche. Interessierte finden hier mehr Informationen und weitere Schulungsangebote:
https://www.tuev-nord.de/de/weiterbildung/themen/informationsmanagement
Vor über 150 Jahren gegründet, stehen wir weltweit für Sicherheit und Vertrauen. Als Wissensunternehmen haben wir die digitale Zukunft fest im Blick. Ob Ingenieurinnen, IT-Security-Experten oder Fachleute für die Mobilität der Zukunft: Wir sorgen in mehr als 100 Ländern dafür, dass unsere Kunden in der vernetzten Welt noch erfolgreicher werden.
