Was bedeutet NIS-2 für Governance und Management im Konzern?

NIS-2 Governance verpflichtet Konzerne, Cybersicherheit als zentrale Führungsaufgabe zu verankern. Die NIS-2-Managementpflichten verlangen, dass Vorstand und Geschäftsleitung dahingehend Verantwortung übernehmen – mit messbaren Vorteilen für Struktur und Effizienz. Dieser Artikel beleuchtet Chancen und Stolperfallen und liefert Impulse für eine zukunftssichere Konzernsteuerung.

Eine Gruppe von Geschäftsleuten diskutiert in einem modernen Büro über NIS-2-Governance im Konzern, während digitale Schutzschilde und Schlösser in der Luft schweben.

1. NIS-2 Governance im Konzern: Pflichten der Geschäftsleitung
2. NIS-2-Managementpflichten im konzernweiten Risikomanagement
3. Konzernstruktur und Rollen in der NIS-2 Governance
4. NIS-2-Umsetzung Deutschland: Konsequenzen für Konzerne

NIS-2 Governance im Konzern: Pflichten der Geschäftsleitung

NIS-2 Governance definiert, wie Leitungsorgane Cyberrisiken als Teil der Unternehmensführung steuern. Im Mittelpunkt stehen NIS-2-Pflichten der Geschäftsleitung. Dazu gehören: Risiken verstehen, Maßnahmen legitimieren und kontrollieren.
Die NIS-2-Richtlinie schafft innerhalb der EU einen Sicherheitsrahmen für 18 kritische Sektoren (Quelle: NIS2-Direktive der EU). Viele Unternehmen in diesen Bereichen müssen verbindliche Vorgaben zu Risikomanagement und Meldestrukturen erfüllen. Das Bundesinnenministerium erwartet, dass in Deutschland rund 29.500 Unternehmen unter das NIS2-Umsetzungsgesetz fallen (Quelle: BMI/Rechtsrahmen Cybersicherheit, 2024). Für betroffene Konzerne ist NIS-2 damit kein IT-Detail, sondern ein priorisiertes Thema für Vorstand und Aufsichtsorgane.

Dieser Text richtet sich an Vorstände und Geschäftsführungen, die NIS-2 in Prozesse und Entscheidungswegen verankern wollen. Die Grundlagen zu Geltungsbereich, Schwellenwerten und Fristen sind auf unserer NIS-2-Übersichtsseite erläutert. Typische operative Stolperfallen zeigt die Seite zu NIS2-Fehlern.

Welche Pflichten haben Vorstand und Geschäftsführung laut NIS-2?

NIS-2-Managementpflichten nehmen Leitungsorgane ausdrücklich in die Pflicht. Sie verlangen, dass Geschäftsleitung und Vorstand Cyberrisiken nicht nur „zur Kenntnis“ nehmen, sondern grundlegende Sicherheitsmaßnahmen formell billigen und deren Umsetzung überwachen. Diese Verantwortung muss im Governance-Rahmen des Konzerns klar erkennbar sein.
Artikel 20 NIS-2 verpflichtet Managementgremien, die cybersecurity risk-management measures zu genehmigen, regelmäßig zu prüfen und sich mit Schulungen auf dem neuesten Stand zu halten. Für die Praxis heißt das vor allem:

Strategische Entscheidungen (Investitionen, Transformation, neue Plattformen) werden um eine NIS-2-Risikobetrachtung ergänzt.
Beschlussvorlagen enthalten Hinweise zu betroffenen Systemen, Lieferketten und Meldepflichten.
Gremiensitzungen greifen Cyberrisiken wiederkehrend auf, dokumentiert in Agenda und Protokollen.

Klare Verantwortlichkeiten

Leitungsorgane erfüllen die NIS-2-Pflichten der Geschäftsleitung, indem sie klare Ziele, Verantwortlichkeiten und Berichtslinien vorgeben. Dazu zählt, dass Sicherheitsrisiken im konzernweiten Risikoreport auftauchen. Außerdem müssen passende Maßnahmen hinterlegt sein. Zudem werden definierte Kriterien benötigt, die festlegen, wann ein Thema in die Gremien gehoben wird.

NIS-2 Governance als Teil der Corporate Governance

Corporate Governance legt fest, wie ein Konzern geführt, kontrolliert und überwacht wird. NIS-2 ergänzt diese Ordnung um Anforderungen an Informations- und Cybersicherheit.
Viele Unternehmensgruppen verfügen bereits über Risk Committees, Audit-Ausschüsse oder Compliance-Gremien. Dort lassen sich NIS2-Managementpflichten verankern: Cyberrisiken werden im Konzernrisikobericht mitgeführt, kritische Projekte enthalten einen Sicherheits- und NIS-2-Abschnitt, der Aufsichtsrat erhält regelmäßige Lageberichte zur Informationssicherheit. Wichtig ist eine klare Zuordnung:

Wer bereitet vor?
Wer entscheidet?
Wer kontrolliert?

Governance wird stabil, wenn Entscheidungen zu Sicherheitsrisiken dokumentiert sind – etwa als wiederkehrender Tagesordnungspunkt oder kurzer NIS-2-Status im Vorstand. Der nächste Schritt ist, die aktuelle Abbildung mit dem konzernweiten Risikomanagement zu verbinden.

NIS-2-Managementpflichten im konzernweiten Risikomanagement

Konzernweites Risikomanagement bündelt Finanz-, Markt-, Compliance- und operationale Risiken. Konkrete NIS-2-Managementpflichten verlangen, Cyberrisiken in diese Logik zu integrieren. Angriffe, Systemausfälle oder Lieferkettenstörungen werden so nicht als Sonderfall der IT behandelt: Sie sind Teil des Gesamt-Risikoprofils.
Die meisten Konzerne arbeiten mit Risiko-Inventaren und einheitlichen Bewertungslogiken. NIS-2 verlangt, dass Risiken wie der Ausfall kritischer Systeme, eine Ransomware-Attacke oder Datenabfluss dort in vergleichbarer Tiefe geführt werden wie Währungs- oder Haftungsrisiken. Entscheidend ist, dass Leitungsorgane das Cyber-Risikoprofil regelmäßig prüfen und daraus Konsequenzen ziehen.

NIS2 Managementpflichten und Risikomanagement im Konzern – wie greift das zusammen?

Ein praktikabler Ansatz ist, NIS-2-relevante Risiken als eigene Kategorie im Konzernrisikokatalog zu führen. Betroffene Gesellschaften bewerten ihre Cyberrisiken nach einheitlichen Kriterien; die Holding konsolidiert und priorisiert. So entsteht ein klares Bild, welche Standorte, Plattformen oder Lieferketten für die Gruppe besonders kritisch sind und wo Lücken zu den NIS-2-Anforderungen bestehen.

Risikomanagement und Budgetplanung

NIS-2-Managementpflichten und Risikomanagement sollten auch gemeinsam in die Budgetplanung einfließen. Wenn ein Risiko als „nicht akzeptabel“ bewertet wird, muss nachvollziehbar sein, welche Maßnahmen mit welchen Ressourcen hinterlegt sind. Umgekehrt benötigt ein akzeptiertes Restrisiko eine dokumentierte Entscheidung der Geschäftsleitung.

Reporting, KPIs und Eskalation für NIS-2 im Konzern

Kennzahlen und Berichtswege machen Cyberrisiken für Leitungsorgane greifbar. Sinnvoll sind wenige, gut gewählte Indikatoren. Dazu gehören zum Beispiel:

Anzahl und Schwere relevanter Sicherheitsvorfälle
Zeit bis zur Erstmeldung
Reifegrad wichtiger Kontrollen
Dokumentierte Fortschritte im NIS-2-Umsetzungsplan
Anteil kritisch eingestufter Lieferanten mit geprüfter Sicherheit

Wichtiger als Perfektion ist ein verlässlicher Takt – etwa ein quartalsweiser Cyber-Risikobericht mit Ad-hoc-Information bei gravierenden Vorfällen. Eskalationsregeln legen fest, ab wann ein Problem aus einer Tochtergesellschaft auf Ebene der Unternehmensgruppe oder des Aufsichtsrats behandelt wird.

Konzernstruktur und Rollen in der NIS-2 Governance

Konzernstrukturen mit Holding, Shared Services und zahlreichen Tochtergesellschaften machen NIS-2 komplex. Handhabbar wird Governance dann, wenn klar ist, welche Aufgaben wo zentral gebündelt werden.
Laut der Bitkom-Studie „Wirtschaftsschutz 2025“ waren 87 Prozent der Unternehmen in den letzten zwölf Monaten von Diebstahl, Spionage oder Sabotage betroffen. Der Schaden summiert sich auf rund 289 Milliarden Euro. NIS-2 Governance ist in der Unternehmensgruppe damit nicht nur Regulierungsantwort, sondern Risikosteuerung im eigenen Interesse.

Wie sieht ein praktikables NIS-2 Governance-Modell im Konzern aus?

Ein pragmatisches Modell verteilt Aufgaben auf drei Ebenen. Die Konzernleitung definiert Leitplanken, genehmigt die NIS-2-Strategie und überwacht die Umsetzung. Zentrale Funktionen wie CISO-Office, IT, Compliance und Risikomanagement übersetzen diese Leitplanken in Standards, Prozesse und Services. Operative Einheiten und Tochtergesellschaften setzen Vorgaben um, melden Risiken und Vorfälle und verantworten lokale Maßnahmen.

Rückhalt bei der Einhaltung der NIS-2-Standards

Wichtig ist, dass jede betroffene Gesellschaft weiß, welche NIS-2-Mindeststandards gelten und wo sie Unterstützung erhält – etwa durch zentral organisierte Incident-Response-Teams oder eine konzernweite NIS-2-Checkliste. So bleibt das Modell schlank genug für den Alltag und robust genug für Audits.

Wer trägt welche Verantwortung in Konzernstruktur und Shared Services?

Geteilte IT-Services, Security-Teams oder zentrale Cloud-Plattformen verschieben Verantwortlichkeiten. NIS-2-Governance in der Konzernstruktur funktioniert nur, wenn NIS-2-relevante Aufgaben in SLAs, Betriebsvereinbarungen und internen Richtlinien konkret beschrieben sind. Ein RACI-Modell hilft zu klären, wer verantwortlich, wer entscheidungsbefugt, wer zu beteiligen und wer zu informieren ist.
Typische Fragen in der Praxis sind etwa:

Welche Aufgaben übernimmt ein Shared-Service-Center verbindlich – und mit welchen Nachweisen?
Welche Pflichten verbleiben zwingend bei der lokalen Geschäftsführung einer NIS2-pflichtigen Einheit?
Wie werden Lieferkettensicherheit und Meldeprozesse gruppenweit koordiniert?

So entsteht eine Governance-Struktur, die sowohl regulatorische Vorgaben als auch interne Steuerungsziele abbildet.

NIS-2-Umsetzung Deutschland: Konsequenzen für Konzerne

Die NIS-2 Umsetzung Deutschland konkretisiert, wie die EU-Vorgaben national angewendet werden, welche Behörden zuständig sind und welche Nachweise Unternehmen erbringen müssen. Für Konzerne stehen weniger juristische Detailfragen im Vordergrund. Warum es wichtig ist, dass die NIS-2-Leitungsorgane ihre Pflichten in Deutschland erfüllen, erläutern wir im kommenden Abschnitt.

Widerstandsfähigkeit durch NIS-2-Umsetzung

Entwürfe zum NIS-2-Umsetzungsgesetz und Anpassungen des BSI-Gesetzes sehen vor, dass Aufsichtsbehörden Strukturen, Prozesse und Nachweise verstärkt prüfen. Betroffene Unternehmen müssen dokumentieren können, wie sie Risiken steuern, Meldewege organisiert haben und welche Rolle Leitungsorgane spielen. Für die Unternehmensgruppe bedeutet das im Kern:

Betroffene Einheiten identifizieren und in einem konsistenten NIS-2-Ansatz bündeln
Konzernweite Mindeststandards und Reporting-Linien festlegen
Dokumentation und Nachweise zentral auffindbar halten

Aufgabe der Konzernleitung ist es, daraus ein schlüssiges Governance-Modell zu formen: mit klaren Rollen, schlanken Prozessen und einer Kultur, in der Cyberrisiken offen adressiert werden. So wird NIS-2 von einer formalen Pflicht zu einem Instrument, das die Unternehmensgruppe widerstandsfähiger macht.

FAQs

Wie sollten internationale Konzerne NIS-2 steuern, wenn nur einige Gesellschaften in der EU betroffen sind?

Internationale Konzerne sollten NIS-2 zentral steuern und lokal umsetzen. Die Konzernleitung definiert einheitliche NIS-2 Governance für alle Gesellschaften, EU-Einheiten erfüllen zusätzlich nationale Vorgaben. So bleiben NIS-2-Managementpflichten transparent, Doppelarbeit sinkt und nicht-europäische Standorte profitieren von höheren Sicherheitsstandards.

Wie lässt sich NIS-2 in ESG- und Nachhaltigkeitsberichte des Konzerns integrieren?

NIS-2 lässt sich gut in den ESG-Teil „Governance“ einbetten. Konzerne beschreiben dort ihre NIS-2 Governance, Rollen der Leitungsorgane und wie NIS-2-Managementpflichten im Risikomanagement verankert sind. Relevante KPIs sind z. B. Anzahl kritischer Vorfälle, Reifegrad des ISMS und geprüfte Lieferanten. In Nachhaltigkeitsberichten wird hervorgehoben, wie NIS-2 digitale Resilienz, Datenschutz und Lieferkettensicherheit stärkt. So wird klar: NIS-2 ist nicht nur Compliance, sondern Teil der verantwortungsvollen Unternehmensführung und der ESG-Strategie. Berichte können zudem erläutern, wie Schulungen des Managements und interne Audits die NIS-2-Umsetzung in Deutschland unterstützen.

Welche Chancen bietet NIS-2 Governance für die Digitalisierung und Effizienz eines Konzerns?

NIS-2 Governance bringt Struktur in komplexe IT- und Prozesslandschaften. Konzerne bündeln Risiken, Standards und Verantwortlichkeiten und entscheiden Digitalisierungsprojekte schneller. NIS2 Managementpflichten fördern klare Abläufe, bessere Schnittstellen und verlässliches Reporting – und machen NIS-2 Governance zu einem echten Effizienzhebel.