machCon Logo
Blogbeitrag_NIS2UmsuCG_NIS-2_Umsetzungsgesetz

§38 NIS2UmsuCG (NIS-2 Umsetzungsgesetz): Neue Leitungsverantwortung in der Cybersicherheit

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) am 6. Dezember 2025 beginnt für viele deutsche Unternehmen eine neue Phase der Cybersicherheitsregulierung. Das Gesetz setzt die europäische NIS-2-Richtlinie in nationales Recht um und erweitert den Anwendungsbereich gegenüber der bisherigen Rechtslage deutlich. Dadurch sind wesentlich mehr Unternehmen und Einrichtungen als bisher zu verbindlichen Cybersicherheitsmaßnahmen und Meldepflichten verpflichtet.

Besondere Bedeutung kommt § 38 zu: Er definiert erstmals eindeutig und rechtlich verbindlich die Verantwortung der Geschäftsleitung für die Cybersicherheit im Unternehmen. Damit steht fest, dass Cybersicherheit seit dem 6. Dezember 2025 nicht mehr allein in der Zuständigkeit der IT liegt, sondern eine zentrale Führungsaufgabe darstellt.

Die Geschäftsleitung trägt die Gesamtverantwortung für die Cybersicherheit des Unternehmens. Sie hat sicherzustellen, dass angemessene Schutzmaßnahmen geplant, umgesetzt und regelmäßig überprüft werden. Dies wird durch die Einführung eines Informationssicherheitsmanagementsystems (ISMS) erreicht. Zu den Pflichtbestandteilen eines ISMS zählen unter anderem:

  • Risikoanalysen
  • Business-Impact-Analysen
  • Notfall- und Wiederanlaufpläne
  • Incident-Response-Prozesse
  • Technische Basismaßnahmen wie Patch-Management, Zugriffskontrollen und Verschlüsselung
  • Lieferantenmanagement

Die Leitungsverantwortung umfasst dabei stets die Überwachung, Bewertung und Freigabe dieser Maßnahmen.

1. Wer zählt zur Geschäftsleitung?

Der Gesetzgeber hat den Begriff der Geschäftsleitung bewusst weit gefasst. Er umfasst alle natürlichen Personen, die aufgrund gesetzlicher Regelungen, der Satzung oder des Gesellschaftsvertrags mit der Leitung und Vertretung eines Unternehmens betraut sind. Dazu gehören unter anderem:

  • Geschäftsführer
  • Vorstandsmitglieder
  • Mitglieder der obersten Führungsebene wie CEO, CFO, COO, CIO oder CSO
  • geschäftsführende Gesellschafter
  • persönlich haftende Gesellschafter, etwa Komplementäre

2. Deutlich mehr Unternehmen sind betroffen als bisher

Der Anwendungsbereich ist deutlich größer als bei der bisherigen NIS-Richtlinie, das Gesetz gilt Organisationen und Unternehmen aus insgesamt 18 kritischen und wichtigen Sektoren (Anhang 1 und 2). In der Folge steigt die Zahl der betroffenen Einrichtungen in Deutschland erheblich.

Eine Übersicht aller betroffenen Sektoren findest du hier: https://machcon.com/nis-2-compliance/

Ein besonders wichtiger Aspekt der NIS-2 ist die Einbeziehung der Lieferkette. Das bedeutet für Zulieferer, Dienstleister und insbesondere IT-Dienstleistungsunternehmen: Auch Unternehmen, die formal nicht direkt unter die NIS-2 fallen, können verpflichtet sein, erhöhte Sicherheitsanforderungen zu erfüllen, wenn sie für eine wesentliche oder wichtige Einrichtung tätig sind.

Cybersicherheit wird damit erstmals zu einem durchgängigen Thema entlang der gesamten Lieferkette.

3. Die neuen, rechtsverbindlichen Pflichten der Unternehmensleitung

38 BSIG definiert die Verantwortung der Geschäftsleitung in drei klaren Absätzen:

  • 38 Abs. 1 BSIG: Verantwortung für Umsetzung und Überwachung der IT-Sicherheitsmaßnahmen
  • 38 Abs. 2 BSIG: gesellschaftsrechtliche Binnenhaftung
  • 38 Abs. 3 BSIG: verpflichtende Schulung der Geschäftsleitung

Diese Regelungen bilden gemeinsam eine geschlossene Verantwortungs- und Haftungskette. Die Geschäftsleitung ist nicht nur für die Umsetzung und Kontrolle der Sicherheitsmaßnahmen zuständig, sondern haftet bei Verstößen. Die Schulungspflicht stellt sicher, dass Unwissen künftig kein Entlastungsargument mehr ist.

Konkret bedeutet das unter anderem:

  • Ein wirksames Sicherheitsmanagement etablieren
  • Risikoanalysen initiieren und bewerten
  • Sicherheitsmaßnahmen freigeben
  • Ausreichende personelle und finanzielle Ressourcen bereitstellen
  • Regelmäßige Lage- und Statusberichte einfordern
  • Internes Reporting sicherstellen
  • Klare Sicherheitsziele definieren
  • Verantwortlichkeiten eindeutig festlegen

Ein einfaches „Delegieren an die IT“ reicht nicht mehr aus.

4. Die Meldepflichten: klar geregelt und mit kurzen Fristen

Mit dem NIS-2 Umsetzungsgesetz gelten verschärfte und eindeutig definierte Meldepflichten bei erheblichen Sicherheitsvorfällen:

  • Erstmeldung innerhalb von 24 Stunden
  • Zwischenmeldung nach 72 Stunden
  • Abschlussbericht innerhalb eines Monats

Verstöße gegen diese Meldepflichten können erhebliche Bußgelder nach sich ziehen, selbst dann, wenn der eigentliche Vorfall nur einen begrenzten Schaden verursacht hat.

5. Sanktionen und persönliche Haftung

Mit Wirkung ab 06.12.2025 führt Deutschland die hohen Sanktionsstufen der NIS-2 Richtlinie ein:

  • bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes für wichtige Einrichtungen
  • bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen

Fazit

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes am 06.12.2025 ist Cybersicherheit rechtlich endgültig zur Chefsache geworden. §38 verpflichtet die Geschäftsleitung zu aktiver Überwachung, fundierten Entscheidungen und nachweisbaren Sicherheitsmaßnahmen. Unternehmen, die frühzeitig handeln, klare Strukturen schaffen und Verantwortlichkeiten ernst nehmen, profitieren langfristig von höherer Resilienz und weniger Sanktionsrisiken. Wer dagegen abwartet, riskiert nicht nur Bußgelder, sondern auch eine potenzielle Haftung der Führungsebene.

 

Christian Herbst - CEO, IT-Security, NIS-2, Projektmanagement und Datenschutz

Christian Herbst

Chief Executive Officer

contact@machcon.com