1. Per­sön­li­che Haf­tung des Geschäfts­füh­rers unter NIS2 #

Das Wich­tigs­te zuerst: NIS2 in Kraft seit 6. Dezem­ber 2025 ver­pflich­tet Unter­neh­men zur IT-Resi­li­enz. Aber das ist nicht ein­fach eine Com­pli­ance-Pflicht wie eine ande­re. NIS2 § 30 des neu­en BSIG defi­niert Busi­ness Con­ti­nui­ty und Inci­dent Hand­ling als Manage­ment­auf­ga­ben mit per­sön­li­cher Ver­ant­wor­tung des Geschäftsführers.

Was das bedeu­tet: Wenn ein Unter­neh­men einen Cyber­an­griff erlei­det und IT-Resi­li­enz-Maß­nah­men feh­len oder evi­dent unter­in­ves­tiert wur­den, kann der Geschäfts­füh­rer per­sön­lich für Fahr­läs­sig­keit oder Ver­let­zung sei­ner Sorg­falts­pflich­ten haft­bar gemacht wer­den. Das ist nicht Com­pli­ance-Thea­ter — das ist Schuld­recht mit ech­ten Konsequenzen.

Die Leh­re: Doku­men­tie­ren Sie Resi­li­enz-Ent­schei­dun­gen und Inves­ti­tio­nen. Ein Audit-Trail, dass der Vor­stand sich bewusst mit IT-Resi­li­enz aus­ein­an­der­ge­setzt hat, ist der bes­te Schutz gegen Vor­wür­fe später.

2. Kos­ten eines Aus­falls vs. Kos­ten der Prä­ven­ti­on #

Las­sen Sie uns rech­nen. Nach Bit­kom 2024 beträgt der durch­schnitt­li­che Scha­den pro Cyber­an­griff in Deutsch­land 5,3 Mio. EUR (Schät­zung). Das umfasst nicht nur direk­te Kos­ten (Löse­geld, Foren­sik, Reco­very) son­dern auch indi­rek­te Kos­ten (Aus­fall­zei­ten, Kun­den­ab­gang, Repu­ta­ti­ons­scha­den, regu­la­to­ri­sche Strafen).

Ein typi­sches Enter­pri­se-Resi­li­enz-Pro­gramm kos­tet zwi­schen 500.000 EUR und 2 Mio. EUR im ers­ten Jahr (abhän­gig von Grö­ße und Kom­ple­xi­tät), dann fal­len jähr­li­che Betriebs­kos­ten von 200.000 bis 500.000 EUR an.

Die Rech­nung ist ein­fach: Eine ein­zi­ge erfolg­rei­che Ran­som­wa­re-Atta­cke ohne robus­te Resi­li­enz kos­tet 5,3 Mio. EUR im Mit­tel. Mit guter Resi­li­enz (und schnel­ler Wie­der­her­stel­lung) sin­ken Schä­den oft auf 10 – 20% die­ser Sum­me ab. Ein Jahr Resi­li­enz-Inves­ti­ti­on kann sich bei einem ein­zi­gen Angriff amortisieren.

Zusätz­lich: Unter­neh­men ohne doku­men­tier­te Reco­very-Fähig­keit zah­len Löse­geld häu­fi­ger (56% der Opfer zah­len, laut Sophos 2024). Mit nach­ge­wie­se­ner Reco­very-Kapa­zi­tät kön­nen Angrei­fer abge­wehrt wer­den — weil ihre Erpres­sung unwirk­sam wird.

3. Ver­si­che­rungs­an­for­de­run­gen ver­schär­fen sich #

Cyber-Ver­si­che­run­gen, die bis 2021 noch rela­tiv groß­zü­gig waren, stel­len heu­te deut­lich höhe­re Anfor­de­run­gen. Vie­le Asse­ku­ran­zen ver­lan­gen jetzt nach­ge­wie­se­ne Resi­li­enz-Maß­nah­men als Bedin­gung für Deckung:

  • Back­up-Iso­la­ti­on (Air-Gap-Archi­tek­tur mit min­des­tens Tier-2-Backups)
  • Regel­mä­ßi­ge Reco­very-Tests (min­des­tens quartalsweise)
  • Doku­men­tier­ter Inci­dent Respon­se Plan
  • Doku­men­tier­tes Busi­ness Con­ti­nui­ty Management
  • Mul­ti-Fak­tor-Authen­ti­fi­zie­rung auf kri­ti­schen Systemen

Ohne die­se Maß­nah­men: Prä­mi­en stei­gen, oder der Ver­si­che­rer lehnt Deckung ab. Mit doku­men­tier­ter Resi­li­enz: bes­se­re Kon­di­tio­nen, nied­ri­ge­re Prä­mi­en, höhe­re Deckungs­sum­men. Ein Unter­neh­men mit Tier-2-Back­ups und Reco­very-Tests kann mit Ver­si­che­rern um 15 – 30% nied­ri­ge­re Prä­mi­en verhandeln.

4. Kun­den­ver­trau­en und Repu­ta­ti­ons­schutz #

Gro­ße Kun­den — ins­be­son­de­re im Finan­cial Ser­vices, im Public Sec­tor oder in Kri­ti­scher Infra­struk­tur — ver­lan­gen jetzt durch Ver­trä­ge, dass Sie nach­weis­ba­re IT-Resi­li­enz haben. Sie wer­den nach RTO/RPO (Reco­very Time Objec­ti­ve / Reco­very Point Objec­ti­ve) gefragt, Sie wer­den zu Reco­very-Tests ein­ge­la­den, Sie müs­sen Com­pli­ance-Audits bestehen.

Ein Unter­neh­men, das bei einem Angriff her­um­tau­melt und nicht weiß, wann es wie­der ver­füg­bar ist, ver­liert nicht nur den Kun­den son­dern auch Ver­trau­be bei ande­ren Kun­den, die von dem Vor­fall erfahren.

Umge­kehrt: Ein Unter­neh­men, das sagen kann Wir hal­ten Tier-2-Back­ups mit Air-Gap-Iso­la­ti­on, unse­re RTO ist 4 Stun­den für ERP und 24 Stun­den für File­ser­ver, und wir tes­ten das vier­tel­jähr­lich” — die­ses Unter­neh­men gewinnt Kun­den­ver­trä­ge und Marktanteile.

In der B2B-Welt ist Resi­li­enz ein Wett­be­werbs­vor­teil geworden.

5. Lie­fer­ket­ten-Abhän­gig­kei­ten und Sys­tem­ri­si­ko #

Jedes Unter­neh­men ist Teil einer Lie­fer­ket­te. Ein Aus­fall bei Ihnen kann Kun­den scha­den. Ein Aus­fall bei einem Ihrer kri­ti­schen Zulie­fe­rer kann Ihre Pro­duk­ti­on lahm­le­gen. Das ist kei­ne theo­re­ti­sche Fra­ge mehr — es ist All­tag seit COVID und den jüngs­ten -Wellen.

NIS2 § 30 ver­langt von grö­ße­ren Unter­neh­men, auch ihre Lie­fer­ket­te zu bewer­ten und mit Zulie­fe­rern Resi­li­enz-Anfor­de­run­gen zu ver­ein­ba­ren. Das bedeu­tet: Ihre Cus­to­mers wer­den Sie fra­gen, wie resi­li­ent Sie sind. Und Sie müs­sen Ihre Sup­pli­ers fra­gen, wie resi­li­ent sie sind.

Ein Unter­neh­men ohne doku­men­tier­te Resi­li­enz wird zum Schwach­punkt der gesam­ten Lie­fer­ket­te. Das kann zu Auf­trä­gen-Ver­lust führen.

Wie man den Vor­stand über­zeugt #

Resi­li­enz wird zum The­ma, wenn Sie es im Busi­ness-Case-Framing präsentieren:

  1. Ver­lust-Ver­mei­dung: Für 1 Mio. EUR Invest­ment kön­nen wir 5+ Mio. EUR Scha­dens­er­satz vermeiden.”
  2. Com­pli­ance-Erfül­lung: NIS2 ver­langt Resi­li­enz. Ohne doku­men­tier­te Maß­nah­men haben wir per­sön­li­che Haftungsrisiken.”
  3. Ver­si­che­rungs-Kos­ten­er­spar­nis: Mit Tier-2-Back­up und Reco­very-Tests spa­ren wir 15 – 30% Ver­si­che­rungs­prä­mi­en jedes Jahr.”
  4. Kun­den­ge­win­nung: Gro­ße Kun­den fra­gen jetzt nach RTO/RPO. Ohne doku­men­tier­te Resi­li­enz ver­lie­ren wir Aufträge.”
  5. Sys­tem­ri­si­ko-Min­de­rung: Als Lie­fe­rer müs­sen wir Resi­li­enz-Stan­dards erfül­len, sonst wer­den wir deselektiert.”

Das ist die Vor­stands­spra­che: Risi­ko­min­de­rung, Kos­ten­er­spar­nis, Wett­be­werbs­fä­hig­keit, Compliance.

Häu­fi­ge Fra­gen #

Wer ist ver­ant­wort­lich — IT oder Vorstand? Der Vor­stand trägt die Gesamt­ver­ant­wor­tung. IT umsetzt. Aber die Gover­nan­ce-Ver­ant­wor­tung liegt beim Board oder dem Audit Committee.

Kann ein klei­ne­res Unter­neh­men IT-Resi­li­enz leisten? Ja, ska­liert. Ein KMU braucht nicht die glei­che Kom­ple­xi­tät wie ein DAX-Kon­zern. Aber Air-Gap-Back­up und regel­mä­ßi­ge Reco­very-Tests sind auch für KMUs wirtschaftlich.

Wenn wir in die Cloud gehen, brau­chen wir dann weni­ger Resilienz? Nein. Cloud-Anbie­ter haben ihre eige­ne Ver­füg­bar­keit, aber Ihre Geschäfts­lo­gik und Daten-Inte­gri­tät sind Ihre Ver­ant­wor­tung. Cloud ersetzt nicht Resilienz-Planung.

Disclaimer

Dieser Beitrag wurde redaktionell erstellt und mit KI-Unterstützung aufbereitet. Er gibt einen allgemeinen Überblick und stellt keine Rechtsberatung dar – für Ihre konkrete Situation empfehlen wir professionellen Rat.