top of page
Suche

NIS-2 – Mögliche Auswirkungen auf Geschäftsführung und HR

Aktualisiert: 4. Feb.

 

Symbolbild: Ein Mann und eine Frau mit Laptop, Schlosssymbol, Waage, Würfel, Bücher.

Nachdem wir im ersten Artikel zur NIS-2-Richtlinie den Hintergrund und die politische Einordnung erläutert und im zweiten Artikel aufgezeigt haben, welche Branchen und Unternehmen neu vom Regelwerk betroffen sind, rücke ich nun die Auswirkungen auf Geschäftsführung und HR in den Fokus.


Die NIS-2-Richtlinie steht für einen umfassenderen und strengeren Rechtsrahmen in Sachen IT-Sicherheit. Anders als die ursprüngliche NIS-Richtlinie von 2016 fokussiert sie sich nicht mehr nur auf klassische „kritische Infrastrukturen“ (KRITIS), sondern bindet nun auch zahlreiche weitere Unternehmen und Branchen ein, die zuvor gar nicht oder kaum reguliert waren. Das Ziel: ein hohes, europaweit einheitliches Sicherheitsniveau, das der wachsenden Bedrohungslage durch Cyberangriffe Rechnung trägt.



WICHTIG: Die Umsetzung in nationales Recht ist weiterhin im Verzug, da sich die Regierungsparteien bislang nicht auf ein gemeinsames Vorgehen einigen konnten. In Deutschland lagen hierfür bereits mehrere Entwürfe unter Federführung des Bundesministeriums des Innern und für Heimat vor. Die ursprünglich anvisierte Frist im Oktober 2024 wurde überschritten, nun ist für die zweite Jahreshälfte 2025 mit dem Inkrafttreten des Gesetzes zu rechnen. Mögliche Auswirkungen auf Geschäftsführung lassen sich bislang nur vermuten. Dieser Artikel bietet daher nur eine erste Orientierungshilfe.



Mit dem erweiterten Geltungsbereich stellt sich für Geschäftsführung  und HR die drängende Frage: Was wird sich konkret ändern? Welche neuen Verantwortlichkeiten, Auflagen und Pflichten werden aus NIS-2 erwachsen? Welche Konsequenzen drohen bei Nichteinhaltung? Und wie lässt sich das Ganze in den bestehenden betrieblichen Alltag integrieren, ohne die Organisation zu überlasten?

In diesem Artikel beleuchten wir die wichtigsten Aspekte:


  1. Rechtsrahmen und Haftungsfragen – Wie könnte sich NIS-2 nach der Umsetzung in deutsches Recht auf die persönliche und unternehmerische Verantwortung auswirken?

  2. Prozesse und Strukturen – Welche organisatorischen Anpassungen sind erforderlich?

  3. Rolle der HR – Wie kann das Personalmanagement IT-Sicherheit und Meldepflichten unterstützen?

  4. Zusammenspiel mit Betriebsrat – Warum NIS-2 mitbestimmungspflichtig sein kann.

  5. Praxisorientierte Handlungsempfehlungen – Tipps für Geschäftsführung, Personalabteilung und weitere Stakeholder.


Ziel ist es, ein umfassendes Bild zu zeichnen, das interessierten Leserinnen und Lesern nicht nur die rechtlichen Basics vermittelt, sondern auch konkrete Anknüpfungspunkte für die eigene betriebliche Praxis liefert.


1. Mögliche Auswirkungen auf Geschäftsführung - Rechtsrahmen und Haftungsfragen


1.1 NIS-2 im Kontext anderer Gesetze

Die NIS-2-Richtlinie ist keineswegs ein isoliertes Regelwerk, sondern Teil eines größeren Gefüges aus europäischen und nationalen Rechtsvorschriften zur IT- und Cybersecurity. In Deutschland überschneidet sie sich unter anderem mit:


  • BSI-Gesetz (BSIG): Regelt die Kompetenzen des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie Pflichten für Betreiber kritischer Infrastrukturen.

  • IT-Sicherheitsgesetz(en): Deutschland hat in den letzten Jahren mehrere IT-Sicherheitsgesetze erlassen, die das BSIG sowie andere Gesetze novellierten. NIS-2 wird wahrscheinlich zu weiteren Anpassungen führen.

  • DSGVO (Datenschutz-Grundverordnung): Auch hier geht es um technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten.


Für Geschäftsführung und HR stellt sich die Aufgabe, kompatible Compliance-Strukturen aufzubauen. Ein Schlupfloch wie „Wir erfüllen NIS-2, vernachlässigen aber DSGVO-Anforderungen“ kann es nicht geben. Vielmehr ist ein integrierter Ansatz nötig, bei dem die verschiedenen Vorschriften aufeinander abgestimmt werden.


1.2 Persönliche und Unternehmenshaftung

Eine oft unterschätzte Thematik im Zusammenhang mit IT-Sicherheit ist die Haftung: Wer haftet, wenn Sicherheitsanforderungen nicht erfüllt werden, was zu gravierenden Vorfällen führt?


  • Unternehmenshaftung: Verstöße gegen NIS-2 können hohe Bußgelder nach sich ziehen, ähnlich wie man es bereits aus der DSGVO kennt. Die EU will damit den Anreiz erhöhen, IT-Sicherheit ernst zu nehmen. Die genaue Höhe der Bußgelder hängt von nationalen Umsetzungsgesetzen und vom Schweregrad des Verstoßes ab.

  • Persönliche Haftung: Geschäftsführende Organe können persönlich in die Verantwortung genommen werden, sofern sie ihre Sorgfaltspflichten grob verletzen. Wenn z. B. das Management wissentlich IT-Sicherheitslücken ignoriert hat, obwohl es Anzeichen für ein hohes Risiko gab, kann es bei Schäden oder Datenleaks zu persönlicher Haftung kommen.


Gerade deshalb rücken Themen wie Risikomanagement und internes Kontrollsystem (IKS) in den Vordergrund. Es ist ratsam, dass die Geschäftsführung sich nicht allein auf den IT-Leiter oder externe Dienstleister verlässt, sondern klare Berichts- und Entscheidungswege etabliert. Dies könnte bedeuten:


  • Regelmäßige IT-Sicherheitsaudits.

  • Durchgängige Dokumentation von Prozessen.

  • Risikobewertungen im Rahmen von Gremiensitzungen.

  • Entsprechende Richtlinien oder Betriebsvereinbarungen, die alle Beschäftigten einbinden.


2. Prozesse und Strukturen


2.1 IT-Sicherheitskonzept neu denken

Unternehmen, die bereits nach der alten NIS-Richtlinie (2016) zu den Betreibern wesentlicher Dienste gehörten, haben in der Regel IT-Sicherheitskonzepte. Neu ist allerdings, dass diese Konzepte mit NIS-2 deutlich verschärft und erweitert werden:

  • Geltungsbereich: Mehr Unternehmensbereiche könnten zu „wesentlichen“ oder „wichtigen“ Einrichtungen zählen, weshalb das Sicherheitskonzept nicht mehr nur bestimmte Abteilungen abdeckt, sondern ggf. das gesamte Unternehmen.

  • Reporting: Meldepflichten bei Sicherheitsvorfällen (Incidents) werden strenger. Es kann vorkommen, dass Vorfälle innerhalb sehr kurzer Frist an zuständige Behörden (BSI oder Landesbehörden) gemeldet werden müssen.

  • Verschärfte Maßnahmen: IT-Systeme müssen oft nach dem „Stand der Technik“ gesichert werden. Das inkludiert u. a. Protokollierung, Angriffserkennungssysteme (IDS/IPS), Netzwerksegmentierung, Backup-Konzepte usw.


Die Geschäftsführung sollte sicherstellen, dass ihre IT-Sicherheitsstrategie ganzheitlich ausgerichtet ist. Die reine Abwehr externer Angriffe reicht nicht; man muss auch interne Risiken (z. B. Insider-Bedrohungen, versehentliche Datenlecks) bedenken.


2.2 Rolle von Risikomanagement und Compliance

IT-Sicherheit ist kein separates Silo-Thema mehr, das allein in der Technik-Abteilung liegt. Mit NIS-2 gerät es in den Bereich von Risikomanagement und Compliance:


  • Risikomanagement: Unternehmen sollten IT-Risiken in ihre reguläre Risikobewertung integrieren, ähnlich wie Markt- oder Rechtsrisiken. Wenn z. B. ein Ausfall der IT zu Produktionsstillstand führt, ist das ein finanzielles Risiko, das in die Gesamtunternehmensstrategie einfließen muss.

  • Compliance: Da NIS-2 rechtsverbindlich ist, müssen Nachweise erbracht werden, dass die Vorschriften eingehalten werden. Das kann interne oder externe Audits, Zertifizierungen (z. B. ISO 27001) und regelmäßige Berichterstattung einschließen.


Für die Geschäftsführung lohnt es sich, ein Management-Board oder ein eigenes Gremium für IT-Sicherheit ins Leben zu rufen. Dort sitzen idealerweise die IT-Leitung, der/die CISO (Chief Information Security Officer), Vertreter aus dem Risikomanagement, der Personalabteilung und ggf. der Betriebsrat. Eine gemeinsame Abstimmung erleichtert die Übersetzung der NIS-2-Vorgaben in die Praxis.


3. Rolle der HR

Die Bedeutung der Personalabteilung (HR) für die IT-Sicherheit nimmt mit NIS-2 zu. Warum?


3.1 Personalplanung und Ressourcen

Mehr Pflichten in der IT-Sicherheit bedeuten oft mehr Personalbedarf. Unternehmen könnten zusätzliche Fachkräfte für IT-Security einstellen oder bestehende Teams aufstocken müssen. HR spielt hier eine Schlüsselrolle:


  • Rekrutierung: Security-Experten sind auf dem Arbeitsmarkt stark nachgefragt. HR muss proaktiv suchen, Employer Branding betreiben und attraktive Arbeitsbedingungen bieten, um geeignete Fachleute zu gewinnen.

  • Personalentwicklung: Bestehende Mitarbeiter brauchen eventuell Weiterbildungen, um den gestiegenen Anforderungen gerecht zu werden. Das kann Schulungen in Penetration Testing, Netzwerksicherheit oder Incident Response umfassen.


Da IT-Fachkräfte rar sind, sollten Unternehmen strategische Partnerschaften mit Fachhochschulen, Universitäten oder Weiterbildungsinstituten erwägen. Auch interne Ausbildungsprogramme oder Traineestellen können helfen, qualifiziertes Personal aufzubauen.


3.2 Schulungs- und Sensibilisierungsmaßnahmen

Menschliches Fehlverhalten ist eine der häufigsten Ursachen für Sicherheitsvorfälle – egal ob Phishing-Attacken, unsichere Passwörter oder USB-Sticks, die in fremden Rechnern landen. Umso wichtiger ist es, dass alle Beschäftigten die Grundregeln der IT-Sicherheit verstehen. Hier kommt HR ins Spiel:


  • Awareness-Kampagnen: Regelmäßige Schulungen und Workshops sollten nicht als „lästige Pflicht“ betrachtet werden. Ein Kreativansatz (z. B. Gamification oder interaktive Übungen) erhöht die Akzeptanz.

  • Onboarding-Prozesse: Neue Mitarbeitende sollten direkt bei Eintritt ins Unternehmen über Sicherheitsstandards aufgeklärt werden. HR kann Checklisten und Leitfäden erstellen, die zentralen Sicherheitsregeln vermitteln.

  • Feedback-Schleifen: Mitarbeiterinnen und Mitarbeiter benötigen eine Anlaufstelle, um Unsicherheiten oder Vorfälle zu melden. Das kann eine Hotline, ein Ticketsystem oder ein dedizierter E-Mail-Kanal sein.


Die Kultur im Unternehmen spielt ebenfalls eine Rolle. Wer Angst vor Sanktionen hat, wenn er einen versehentlichen Klick auf einen Phishing-Link meldet, wird Vorfälle möglicherweise verschweigen. Eine offene Fehlerkultur dagegen fördert das sofortige Eingestehen und damit eine schnellere Gegenreaktion.


3.3 Verträge, Richtlinien und Mitbestimmung

HR ist typischerweise für Arbeitsverträge, Betriebsvereinbarungen und weitere interne Regelungen zuständig. Mit NIS-2 können sich hier verschiedene Anpassungsbedarfe ergeben:


  • Vertragsklauseln: Je nach Unternehmenspolitik kann es sinnvoll sein, IT-Sicherheitsstandards bereits in Arbeitsverträgen zu verankern (z. B. Verpflichtung zur Geheimhaltung, Verbot privater Softwareinstallationen etc.).

  • Betriebsvereinbarungen: Wenn neue Überwachungstools oder Monitoring-Systeme eingeführt werden, ist das in aller Regel mitbestimmungspflichtig. Die HR sollte den Betriebsrat früh einbinden und transparent kommunizieren, welche Daten erhoben werden sollen.

  • Disziplinarmaßnahmen: In seltenen Fällen könnte grob fahrlässiges Verhalten von Mitarbeitenden (z. B. Weitergabe von Zugangsdaten an Externe) zu Schäden führen. Es empfiehlt sich, in einer Richtlinie festzulegen, wie man in solchen Fällen vorgeht, ohne das Betriebsklima zu vergiften.


Gerade hier zeigt sich die enge Verzahnung von Geschäftsführung, HR, IT-Abteilung und Betriebsrat. Wer siloartig agiert, riskiert Verzögerungen und unnötige Konflikte.


4. Zusammenspiel mit dem Betriebsrat

Spätestens seit der ersten Version der NIS-Richtlinie und den IT-Sicherheitsgesetzen hat sich gezeigt, dass Mitbestimmung ein wesentlicher Faktor bei der Umsetzung von Sicherheitsmaßnahmen ist. NIS-2 verschärft dies noch, weil mehr Unternehmen einbezogen werden.


4.1 Mitbestimmungsrechte

Das deutsche Betriebsverfassungsgesetz (BetrVG) schreibt vor, dass der Betriebsrat in bestimmten Fällen ein Mitbestimmungsrecht hat. Insbesondere relevant:


  • § 87 Abs. 1 Nr. 1 BetrVG: Betriebliche Ordnung und Verhaltensregeln. Wenn z. B. IT-Security-Vorschriften das Verhalten der Beschäftigten regeln (Passwortrichtlinien, BYOD-Policy etc.), ist der Betriebsrat zu beteiligen.

  • § 87 Abs. 1 Nr. 6 BetrVG: Einführung von technischen Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung von Beschäftigten zu überwachen. Viele Sicherheitsmaßnahmen (z. B. Intrusion-Detection-Systeme) können zumindest indirekt Daten über das Verhalten von Mitarbeitenden sammeln.


4.2 Chancen einer kooperativen Umsetzung

Obwohl Mitbestimmungsprozesse zuweilen als Hemmnis empfunden werden, können sie letztlich zu einer höheren Akzeptanz beitragen. Ein Betriebsrat, der in die Konzeption von Sicherheitsmaßnahmen eingebunden ist, wird eher Verständnis für deren Notwendigkeit haben und kann gegenüber der Belegschaft erklären, warum bestimmte Einschränkungen im Interesse aller sind.


Offener Dialog zwischen Geschäftsführung, HR, IT und Betriebsrat:

  • Verkürzt Abstimmungszeiten,

  • Verhindert Widerstände durch mangelnde Information,

  • Sichert, dass die Interessen der Beschäftigten (z. B. Datenschutz) gewahrt bleiben.


Auch die EU-Bestrebungen um mehr Sicherheit wollen keineswegs Arbeitnehmerrechte aushebeln. Vielmehr sollen Unternehmens- und Mitarbeitersicherheit Hand in Hand gehen.


5. Praxisorientierte Handlungsempfehlungen

Nachfolgend einige konkrete Tipps, wie Geschäftsführung und HR den Anforderungen aus NIS-2 begegnen können:


5.1 Klare Verantwortlichkeiten definieren

  1. Benennung eines ISOs (Information Security Officer) oder einer ähnlichen Funktion. Diese Person koordiniert alle Maßnahmen rund um IT-Sicherheit.

  2. Etablierung eines Lenkungskreises (oder Gremiums), in dem Geschäftsführung, IT, HR und Betriebsrat vertreten sind. Dort werden Entscheidungen zur IT-Sicherheit abgestimmt.

  3. Verbindliche Eskalationswege: Wer informiert wen bei einem Cybervorfall? Wie sehen die Notfallpläne aus? Solche Prozesse sollten schriftlich fixiert sein.


5.2 Schulungs- und Sensibilisierungsprogramme ausweiten

  1. Regelmäßige Trainings (mind. einmal im Jahr) zu Themen wie Phishing, Passwortrichtlinien, Social Engineering.

  2. Awareness-Kampagnen mit internen Newslettern, Plakaten oder Kurzvideos.

  3. Übungen und Tests (z. B. Phishing-Simulationen), um den Lernfortschritt zu messen.


5.3 Betriebsrat frühzeitig einbeziehen

  1. Informationsfluss: Betriebsrat über geplante Security-Projekte, Tools oder Richtlinien informieren, bevor sie eingeführt werden.

  2. Gemeinsame Workshops: Bei der Ausgestaltung von Betriebsvereinbarungen zur IT-Sicherheit können IT-Experten, HR und Betriebsrat zusammenarbeiten.

  3. Klärung von Datenschutzfragen: Ggf. Hinzuziehung des betrieblichen Datenschutzbeauftragten, wenn personenbezogene Daten verarbeitet werden.


5.4 Dokumentation und Compliance

  1. Protokollierung von Entscheidungen: Wann wurde eine bestimmte Sicherheitsmaßnahme beschlossen? Welche Argumente wurden abgewogen?

  2. Übersicht über IT-Systeme: Ein Asset-Register, das alle relevanten Systeme, Anwendungen und Dienste aufführt, ist hilfreich, um Schwachstellen schnell zu identifizieren.

  3. Externe Audits: Unabhängige Prüfungen (z. B. durch IT-Sicherheitsdienstleister oder Zertifizierer) bringen oft neue Erkenntnisse über die Wirksamkeit des eigenen Sicherheitskonzepts.


5.5 Notfallübungen

  1. Simulierte Cyberangriffe: Regelmäßige Penetrationstests oder Red-Team-Übungen zeigen, wie robust die IT-Systeme wirklich sind.

  2. Crisis Communication: Auch die Kommunikation mit Kunden, Medien und Behörden sollte geübt werden.

  3. Lessons Learned: Jeder „Test-Angriff“ ist eine Chance, Schwachstellen offenzulegen und die Pläne zu verbessern.


6. Praxisausblick: Wo Geschäftsführung und HR besonders gefordert sind


6.1 Lieferketten und Vertragsgestaltung

NIS-2 legt großen Wert auf die Sicherheit entlang der Lieferkette. Das heißt, Unternehmen müssen nicht nur ihre eigenen Systeme absichern, sondern auch prüfen, ob Lieferanten und Dienstleister ausreichende Sicherheitsstandards erfüllen.


  • Vertragliche Klauseln: Geschäftsführung und HR sollten mit dem Einkauf klären, wie man in (Neu-)Verträge mit Dienstleistern Sicherheitsanforderungen festschreibt.

  • Audits und Nachweise: Ggf. müssen externe Partner regelmäßig Zertifizierungen oder Penetrationstests nachweisen. Auf HR-Seite kann das bedeuten, dass man Unterstützung braucht, um mit externem Personal oder Subunternehmern umzugehen, die auf interne Systeme zugreifen.


6.2 Berichterstattung an Behörden

Während nach der alten NIS-Richtlinie meist nur gravierende Vorfälle gemeldet werden mussten, könnte NIS-2 mehr oder kürzere Fristen vorschreiben. Das bedeutet für die Geschäftsführung, dass sie klare Prozesse benötigt, um Vorfälle innerhalb von Stunden oder wenigen Tagen zu melden. HR könnte in die Datensammlung involviert sein, wenn personalbezogene Daten betroffen sind.


6.3 Interne Kommunikation und Change Management

IT-Sicherheit ist auch ein Change-Thema. Neue Richtlinien, Passwortrichtlinien oder Zugangsbeschränkungen ändern den Arbeitsalltag vieler Mitarbeiter. HR ist gefragt, Change-Prozesse zu moderieren:

  • Kommunikationsplan erstellen: Wie informiert man die Belegschaft über neue Maßnahmen? Wer beantwortet Fragen?

  • Ansprechpartner und Support: Ein internes Support-Team (z. B. IT-Hotline) sollte nicht nur technische Fragen klären, sondern auch bei Unsicherheiten rund um den Datenschutz helfen.


7. Ausgewählte Praxisbeispiele

Um das Gesagte noch greifbarer zu machen, hier drei fiktive, aber praxisnahe Szenarien:


  1. Beispiel Lebensmittelkonzern

    • Das Unternehmen war bisher nicht als KRITIS-Einrichtung eingestuft, da es „nur“ Produkte für den Massenmarkt produziert. Nun, mit NIS-2, gelten neue Kriterien, und der Konzern erfährt, dass er als „wichtige Einrichtung“ eingestuft wird. Plötzlich müssen Vorstands- und HR-Ebene ein umfassendes IT-Sicherheitskonzept aufsetzen. Ein externer CISO (Chief Information Security Officer) wird engagiert, Verträge mit Lieferanten werden neu verhandelt, und der Betriebsrat wird in die Planung eines neuen Intrusion-Detection-Systems eingebunden.

  2. Beispiel Stadtwerke (Energie & Wasser)

    • Die Stadtwerke waren bereits KRITIS-betroffen und hatten ein IT-Sicherheitskonzept. NIS-2 verschärft jedoch die Anforderungen, etwa bei der Dokumentation von Vorfällen und bei der Frage, wie man Subunternehmer in Wartung und Betrieb integriert. Die Geschäftsführung beauftragt HR, gezielt neue IT-Security-Spezialisten zu rekrutieren und plant zusätzliche Penetrationstests. Der Betriebsrat legt bei der Auswahl des Monitorings Wert auf Datenschutz.

  3. Beispiel Pharma-Familienbetrieb

    • Ein mittelständisches Unternehmen, das bestimmte Arzneimittel herstellt und damit eine Nische bedient. Obwohl weniger als 250 Beschäftigte, weist es eine kritische Rolle in der Versorgung auf. Mit NIS-2 fällt es nun unter „wesentliche Einrichtungen“. Die Geschäftsleitung reagiert zunächst überrascht, realisiert dann jedoch das Haftungsrisiko. Zusammen mit HR werden rasch interne Schulungen aufgesetzt. Ein externer Auditor prüft, ob Produktions- und Forschungs-IT den Anforderungen entspricht, und der Betriebsrat erhält Mitspracherecht bei der Einführung einer neuen SIEM-Software (Security Information and Event Management).


8. Mögliche Herausforderungen und Stolpersteine

Auch wenn sich der Nutzen verbesserter IT-Sicherheit kaum bestreiten lässt, gibt es ein paar Bereiche, in denen Unternehmen schnell in Schwierigkeiten geraten können:


  1. Zeitliche Engpässe: Es kann passieren, dass nationale Umsetzungsfristen knapp werden und gleichzeitig das Unternehmen nicht rechtzeitig Personal oder Budget bekommt.

  2. Interessenkonflikte: Manchmal kollidieren security-orientierte Maßnahmen (z. B. umfassende Protokollierung) mit dem Recht auf Privatsphäre am Arbeitsplatz. Ein ungeklärter Interessenkonflikt kann den Betriebsrat auf den Plan rufen.

  3. Unklare Zuständigkeiten: Wenn nicht eindeutig definiert ist, wer für IT-Security-Entscheidungen verantwortlich ist, kommt es zu Reibungsverlusten. Das kann im Ernstfall – also bei einem Sicherheitsvorfall – fatale Verzögerungen auslösen.

  4. Kosten und ROI: Die Geschäftsführung könnte sich fragen, wie sich die Investition in IT-Sicherheit rechnet. Allerdings haben große Ransomware-Angriffe gezeigt, dass die Kosten eines langen Ausfalls weit über denen liegen, die für Prävention und Compliance anfallen.


9. FAQ: Häufig gestellte Fragen von Geschäftsführung und HR


Muss ich ein komplett neues IT-Sicherheitskonzept erstellen, wenn wir bereits NIS (2016) unterlagen?

Nicht unbedingt komplett neu, aber Sie sollten bestehende Konzepte evaluieren und anpassen. NIS-2 erweitert den Geltungsbereich und verschärft einige Anforderungen.

Wie hoch können die Bußgelder ausfallen?

Kann ein HR-Verantwortlicher persönlich haften?

Wie stark ist das Mitbestimmungsrecht des Betriebsrats?

Wie finde ich Fachpersonal für IT-Sicherheit?

10. Fazit

NIS-2 bedeutet für viele Unternehmen und Organisationen einen deutlichen Kulturwandel in Bezug auf IT-Sicherheit. Während manche Branchen schon jahrelange Erfahrungen mit regulatorischen Anforderungen haben, kommt auf andere jetzt viel Neues zu. Die Geschäftsführung muss sich dabei nicht nur auf technische Abwehrmaßnahmen konzentrieren, sondern auch organisatorische, rechtliche und personelle Weichen stellen.


HR avanciert zur treibenden Kraft hinter Schulungs- und Sensibilisierungsinitiativen, der Rekrutierung von IT-Security-Talenten und der internen Kommunikation. Zugleich braucht es einen intensiven Austausch mit dem Betriebsrat, da viele Maßnahmen mitbestimmungspflichtig sind und datenschutzrechtliche Fragen aufwerfen.


Kurz: NIS-2 ist mehr als nur ein weiterer Schritt in der IT-Sicherheitsregulierung. Es stellt für zahlreiche Unternehmen einen Sprung in komplexere Compliance-Welten dar. Wer früh beginnt, Verantwortlichkeiten klärt und einen kooperativen Ansatz verfolgt, wird den Übergang zur neuen Regelungsrealität besser meistern. Das wiederum kann sich auch als Wettbewerbsvorteil erweisen, wenn Kunden und Partner gezielt nach sicheren und verlässlichen Dienstleistern suchen.

Im vierten Artikel unserer Reihe gehen wir dann einen Schritt tiefer in die betrieblichen Mitbestimmungsrechte hinein und beleuchten, welche formalen Prozesse sich hierdurch ergeben und wie man IT-Sicherheitsmaßnahmen sozialverträglich einführt. Bleiben Sie also gespannt!



Quellen und Weiterführende Links

bottom of page