Der novellierte BSI-Act ist seit 5. Dezember 2025 in Kraft. Im April 2026 entfaltet er seine erste operative Wirkung. Die Umsetzung der NIS2-Richtlinie macht Cybersicherheit in Deutschland zu einem Thema, das die Geschäftsführung persönlich verantwortet. Nicht mehr delegierbar, nicht mehr an die IT-Abteilung auslagerbar, mit Bußgeldern bis 10 Millionen Euro oder 2 Prozent des weltweiten Konzernumsatzes. Die aktuelle Einordnung des National Law Review bringt den Kern auf den Punkt: Der neue BSIG macht Cybersicherheit zu einem Board-Level-Thema. Stand: 14. April 2026.

VerwandtReboot Germany: Drei Entscheidungen die im Board bleiben  /  Cloud Repatriation 2026 aus CIO-Perspektive

Für Führungskräfte in Unternehmen, die unter NIS2 fallen, ergeben sich aus dieser Veränderung drei konkrete Entscheidungen, die in den kommenden Wochen getroffen werden. Keine davon ist neu. Alle drei verändern sich aber in ihrer Mechanik, weil die gesetzlichen Konsequenzen bei Nichtentscheidung nun unmittelbar bei der Person der Geschäftsführung ankommen.

Die BSI-Advisory-Welle Ende März zu F5 BIG-IP, Citrix NetScaler und einer Trivy-Supply-Chain-Kompromittierung hat den ersten realen Stresstest geliefert. Drei kritische Warnungen in drei Wochen, jede mit 24-Stunden-Meldefrist bei festgestellter Ausnutzung. Die Frage, wie schnell eine Geschäftsführung entscheidungsfähig ist, hat im April 2026 ihre erste konkrete Antwort bekommen.

Was seit Dezember 2025 rechtlich neu ist

Der Kern der Novelle liegt in zwei Verschiebungen. Die erste betrifft die Verantwortung: Die Geschäftsführung muss Cybersicherheits-Risikomanagement-Maßnahmen nicht nur beschließen, sondern auch die Implementation überwachen und sich dazu regelmäßig weiterbilden. Die zweite Verschiebung ist die Sanktionierung: Neben den Bußgeldern gegen das Unternehmen können Geschäftsführungen persönlich belangt werden, wenn der Verstoß auf ein Organisationsverschulden zurückgeht.

Für große Unternehmen mit etablierten Compliance-Strukturen ist das eine graduelle Anpassung. Für mittelständische Unternehmen, die erstmalig unter die erweiterte NIS2-Definition fallen, ist es eine Neubewertung. Der erweiterte Anwendungsbereich umfasst jetzt auch Post- und Kurierdienste, Forschungseinrichtungen, Lebensmittelproduktion, Abfallwirtschaft und Teile der Chemieindustrie.

Die praktische Arbeit beginnt bei der Einordnung: Fällt das eigene Unternehmen unter die Kategorie „wesentlich“ oder „wichtig“? Die beiden Kategorien haben unterschiedliche Pflichten-Dichten. Wesentliche Einrichtungen unterliegen proaktiver Aufsicht, wichtige Einrichtungen werden anlassbezogen geprüft. Der Unterschied wird im Alltag spürbar, sobald das BSI eine Prüfung ankündigt.

Drei Entscheidungen, die jetzt auf dem Tisch liegen

Aus der operativen Praxis der ersten vier Monate nach dem Inkrafttreten kristallisieren sich drei konkrete Entscheidungen, die in den Leitungsgremien bearbeitet werden. Keine ist eine Überraschung, aber die Form, in der sie dokumentiert und entschieden werden, ist neu.

Erste Entscheidung: die Eskalations-Architektur. Wer entscheidet bei einem IT-Sicherheitsvorfall, ob eine Meldung an das BSI erfolgt? Die 24-Stunden-Early-Warning-Frist unter NIS2 lässt keine Zeit für ad-hoc-Gremien-Einberufungen. Die Antwort ist eine vorab definierte Entscheidungskette mit klaren Kompetenzen: Wer darf allein entscheiden, wer muss informiert werden, ab welchem Schweregrad wird die Geschäftsführung hinzugezogen? Die Mechanik dahinter ist eine RACI-Matrix, nicht ein Organigramm.

Zweite Entscheidung: die Investitions-Reihenfolge. Risikomanagement unter NIS2 verlangt zehn konkrete Maßnahmenbereiche, von Supply-Chain-Security bis zu Business-Continuity. Welche werden zuerst umgesetzt? Die Entscheidung hängt vom eigenen Risikoprofil ab. Für produzierende Unternehmen hat Supply-Chain-Risikomanagement Priorität. Für Finanzdienstleister ist Incident-Handling der dringendste Baustein. Für ITK-Unternehmen liegt der Fokus auf Kryptografie und Zugriffskontrolle. Die Entscheidung ist keine Standard-Checkliste, sondern eine Priorisierung auf Basis eigener Bedrohungslage.

Dritte Entscheidung: die Governance-Struktur. Wer in der Leitung verantwortet Cybersecurity als Ressort? In vielen Mittelstandsunternehmen existiert keine formelle CISO-Rolle, die Verantwortung liegt beim IT-Leiter oder einem externen Dienstleister. Die NIS2-Novellierung macht diese Konstruktion riskant: Die Leitungspflicht liegt bei der Geschäftsführung, nicht bei einem Dienstleister. Die Entscheidung kann lauten, eine eigene CISO-Rolle zu schaffen, die Verantwortung explizit in einem Geschäftsführungsressort zu verankern oder eine dokumentierte Co-Governance mit einem zertifizierten Partner aufzubauen. Was nicht funktioniert, ist die bisherige stillschweigende Delegation.

Der Praxis-Test: BSI-Advisories im März und April

Die drei BSI-Advisories vom Ende März und Anfang April waren der erste Belastungstest für die neuen Strukturen. F5 BIG-IP-Schwachstelle mit Remote-Code-Execution, Citrix NetScaler mit dokumentierter aktiver Ausnutzung, Trivy-Container-Supply-Chain-Kompromittierung. Jede dieser Advisories hat bei Unternehmen, die die betroffenen Produkte einsetzen, die Frage ausgelöst: Liegt bei uns eine Early-Warning-Meldepflicht vor?

Die Erfahrung aus den ersten beiden Wochen zeigt drei Muster. Unternehmen mit klar dokumentierten Incident-Response-Prozessen haben innerhalb weniger Stunden Klarheit geschaffen und im Zweifel gemeldet. Unternehmen mit halb-formalisierten Prozessen haben Tage gebraucht, bis intern eine Entscheidung getroffen war – teils jenseits der 24-Stunden-Frist. Unternehmen, die erstmals mit NIS2-Meldepflichten konfrontiert waren, haben die Advisories als Weckruf verstanden und die fehlenden Strukturen parallel zum akuten Vorfall aufgebaut.

Keines dieser Muster ist akzeptabel für die zweite Jahreshälfte 2026. Ab Juli beginnen die ersten größeren BSI-Prüfungen bei wesentlichen Einrichtungen. Hier wird die Qualität der Entscheidungs-Architektur zum Thema. Eine Geschäftsführung, die im Prüfgespräch nicht präzise erklären kann, wie Eskalation funktioniert, wer was entscheidet und wie die Wirksamkeit gemessen wird, riskiert deutlich mehr als ein abschließendes Bußgeld.

Ein Blick über NIS2 hinaus

Die Cybersecurity-Anforderungen stehen nicht isoliert. Sie überlagern sich mit DORA für den Finanzsektor (seit Januar 2025 vollständig anwendbar), dem Cyber Resilience Act ab September 2026, den NIS2-Sektorgesetzen für Energie und Gesundheit und dem AI Act mit Inkrafttreten der ersten Verbote am 6. April 2026. Für Unternehmen, die in mehrere dieser Regimes fallen, ist Konsolidierung die einzige realistische Strategie. Ein einheitliches Risikomanagement-Framework, das alle relevanten Regulatoriken abdeckt, spart langfristig 40 bis 60 Prozent Aufwand gegenüber isolierten Compliance-Silos.

Dasselbe gilt für die Governance-Frage. Wer eine Chief-AI-Officer-Rolle einführt, sollte die Schnittstellen zu CISO und Datenschutzbeauftragtem von Anfang an klar definieren. Die drei Rollen haben Überlappungen in der Verantwortung. Eine saubere Abgrenzung entscheidet darüber, ob Compliance effizient oder fragmentiert läuft.

Auch die strategische Frage, welche Technologien ins Haus geholt werden, ist im Licht von NIS2 neu zu bewerten. Die vielzitierte Bewegung zu Cloud-Repatriation als Antwort auf Datensouveränität bekommt zusätzliche Argumente, wenn Meldeketten, Incident-Response und Audit-Rechte als Entscheidungskriterien dazukommen. Eine sauber geführte Hybrid-Architektur ist oft die bessere Antwort als ein reiner Lift-and-Shift in die Public Cloud.

Was in den kommenden 90 Tagen realistisch ist

Bis Ende Juni 2026 können Unternehmen, die jetzt starten, die drei genannten Entscheidungen treffen und dokumentieren. Die Eskalations-Architektur lässt sich in zwei Workshops mit Geschäftsführung, IT-Leitung, Rechtsabteilung und Kommunikation entwickeln, wenn eine strukturierte Vorlage genutzt wird. Die Investitions-Reihenfolge ergibt sich aus einer Bedrohungsanalyse, die ein erfahrenes Security-Team in vier bis sechs Wochen liefern kann. Die Governance-Struktur ist eine Personalentscheidung, die binnen eines Quartals umsetzbar ist.

Die parallel laufende Vendor-Consolidation-Roadmap vieler CIOs ist ein natürlicher Bündnispartner: Wer den SaaS-Portfolio ohnehin reduziert, kann Cybersecurity-Governance-Fragen gleich mit prüfen. Zwei Entscheidungsfelder werden damit zu einem, mit klarer Effizienzgewinn.

Wer später startet, verliert die Kontrolle über das Timing. Die BSI-Prüfungen, die im dritten und vierten Quartal 2026 erwartet werden, werden ohne Rücksicht auf interne Ressourcen-Verfügbarkeiten stattfinden. Die Entscheidung, heute mit drei klaren Schritten zu beginnen, ist die einzige, die Raum für eigene Prioritäten lässt. Wer wartet, entscheidet mittelbar mit, nur eben unter deutlich mehr Druck und mit weniger Spielraum für individuelle Gewichtung.

Was Leitungsgremien jetzt aus anderen Branchen lernen können

Einige Branchen haben die Entwicklung zur Leitungsverantwortung früher durchlaufen. Der Finanzsektor kennt mit MaRisk und DORA vergleichbare Strukturen seit über zehn Jahren. Die Erfahrung dort zeigt drei Lektionen, die sich direkt übertragen lassen. Die erste: dokumentierte Entscheidungen sind wichtiger als besonders ausgefeilte Entscheidungen. Eine nachvollziehbare Begründung, warum eine Investition hintangestellt wurde, hält jeder Prüfung stand. Eine ungeschriebene, aber gut überlegte Entscheidung reicht nicht.

Die zweite Lektion: die Wirksamkeitsprüfung ist der aufwändigste Teil. Maßnahmen zu beschließen ist in wenigen Sitzungen erledigt. Die Wirksamkeit regelmäßig zu messen und die Maßnahmen bei Bedarf anzupassen, ist ein kontinuierlicher Prozess, der Ressourcen bindet. Finanzinstitute haben dafür dedizierte Compliance-Teams aufgebaut. Für Mittelständler ist eine einfachere Variante mit jährlichem Review plus quartalsweisem KPI-Dashboard oft ausreichend.

Die dritte Lektion: die Kommunikation zwischen Leitung und Fachabteilung muss strukturiert sein. Informelle Abstimmungen reichen nicht, wenn im Prüfungsfall Kommunikationspfade und Entscheidungsergebnisse rekonstruiert werden müssen. Ein monatliches Strukturgespräch mit fester Tagesordnung und protokollierten Entscheidungen ist die Minimalausstattung. Wer das ergänzt um eine jährliche unabhängige Prüfung durch einen externen Partner, erreicht das Niveau, das BSI-Prüfer bei wesentlichen Einrichtungen erwarten.

Eine vierte Erfahrung aus dem Finanzsektor gehört dazu: Leitungsmitglieder, die das Thema verstanden haben, entlasten die Geschäftsführung spürbar. Eine Investition in Weiterbildung der Leitung zahlt sich doppelt aus: in reduzierter persönlicher Haftungsrisiko und in schnelleren, fundierteren Entscheidungen. Ein zweitägiger Kompaktkurs in den nächsten drei Monaten ist eine kleine Investition mit klarem Effekt. Vergleichbare Angebote gibt es bei TÜV-Akademien, Fraunhofer-Weiterbildung und branchenspezifischen Verbänden. Wer Aufsichtsratsmandate neu besetzt, berücksichtigt NIS2- und DORA-Kenntnisse jetzt bei der Kandidatenauswahl – auch das ist ein subtiler, aber relevanter Hebel der kommenden 24 Monate. Unternehmen, die jetzt kompetenzstark aufstellen, werden 2027 nicht unter der dritten Welle von Regulatorik ächzen, sondern sie als Grundvoraussetzung akzeptieren.

Häufige Fragen

Quelle Titelbild: Pexels / fauxels