NIS2 + KI: Geschäftsführerhaftung 2026 – was Sie jetzt regeln müssen

NIS2 ist das Cyber-Compliance-Thema, das 2026 vom „Wir haben davon gehört" in das „Wir bekommen einen Bescheid" übergeht. Während DSGVO ein Thema von Datenschutzbeauftragten ist, ist NIS2 ein Thema, bei dem die Geschäftsführung mit ihrem Privatvermögen haftet, wenn die Richtlinie nicht umgesetzt wird. Und KI-Nutzung – insbesondere unkontrollierte – wird zu einem prüfbaren Element dieser Sorgfalt.

Dieser Artikel erklärt, wer betroffen ist, was NIS2 konkret zu KI verlangt, und welche acht Dinge in Ihrem Unternehmen jetzt – nach Inkrafttreten des deutschen Umsetzungsgesetzes – dokumentiert sein müssen.

Was ist NIS2?

NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie aus 2022. Die EU-Frist zur Umsetzung in nationales Recht lief am 17. Oktober 2024 ab – Deutschland hat sie verpasst. Das deutsche NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde am 13. November 2025 vom Bundestag verabschiedet, am 21. November 2025 vom Bundesrat bestätigt und ist seit 6. Dezember 2025 ohne Übergangsfrist in Kraft. Stand 2026: Audits laufen, Bußgeldverfahren beginnen.

Ziel der Richtlinie: ein einheitliches, höheres Cyber-Sicherheitsniveau in kritischen und wichtigen Sektoren. Sie ersetzt die ältere NIS1-Richtlinie und erweitert deren Anwendungsbereich erheblich.

Drei Verschärfungen gegenüber NIS1, die 2026 spürbar werden:

• Erweiterter Anwendungsbereich. Von ca. 4.000 Unternehmen unter NIS1 auf rund 29.500 in Deutschland unter NIS2 (BSI-Statement zur Verabschiedung).
• Geschäftsführungs-Pflichten. Geschäftsführung muss Cyber-Risikomanagement-Maßnahmen persönlich freigeben und überwachen. Im Schadensfall: persönliche Haftung mit Privatvermögen.
• Bußgelder. Bis zu 10 Mio. € oder 2 % des Konzernumsatzes – analog DSGVO, in Einzelfällen darüber.

Wer ist betroffen?

Im Kern sind zwei Gruppen erfasst, definiert nach Sektor und Unternehmensgröße:

Wesentliche Einrichtungen (höchste Pflichten): u. a. Energie, Transport, Banken, Trinkwasser, digitale Infrastruktur, ITK-Dienstleister, öffentliche Verwaltung. Schwellwerte oft ab 250 MA oder 50 Mio. € Umsatz.

Wichtige Einrichtungen (etwas reduzierte, aber substanzielle Pflichten): u. a. Post, Abfallwirtschaft, Lebensmittelproduktion und -vertrieb, chemische Industrie, Forschung, Hersteller bestimmter digitaler Produkte. Schwellwerte oft ab 50 MA oder 10 Mio. € Umsatz.

Ergänzend sind Lieferantenketten mit erfasst: Wer einer wesentlichen oder wichtigen Einrichtung zuarbeitet, kann mittelbar in NIS2-Pflichten geraten – über Verträge.

Praxis-Empfehlung: Auch Unternehmen, die formal nicht unter NIS2 fallen, werden in der Praxis betroffen, sobald sie als Zulieferer einer betroffenen Organisation fungieren. Steuerberater von NIS2-Pflichtigen, IT-Dienstleister, Marketing- und Beratungs-Agenturen mit Zugang zu Kundendaten – sie alle erleben 2026, dass Auftraggeber NIS2-konforme Nachweise einfordern.

Was hat NIS2 mit KI zu tun?

NIS2 nennt KI nicht expressis verbis, aber die geforderten Maßnahmen lesen sich wie eine direkte Beschreibung dessen, was unkontrollierte KI-Nutzung gerade unmöglich macht:

• Risikobeurteilung und -behandlung im Bereich Informationssicherheit
• Cybersicherheits-Vorfallbehandlung und -berichterstattung
• Lieferketten-Sicherheit
• Sicherheit beim Erwerb, der Entwicklung und der Wartung von Netz- und Informationssystemen
• Bewertung der Wirksamkeit von Cybersicherheits-Maßnahmen
• Schulungen, Verschlüsselung, Zugangskontrolle, Multi-Faktor-Authentifizierung

Wer in seinem Unternehmen 50 % Schatten-KI-Nutzer hat, kann keine dieser Pflichten substantiell erfüllen. Konkret prüft ein Auditor 2026 etwa:

• „Haben Sie Risiken aus generativen KI-Diensten bewertet?" → wenn keine systematische Bewertung vorliegt, ist das ein NIS2-Mangel.
• „Wie stellen Sie sicher, dass keine sensiblen Daten in Drittsysteme abfließen?" → ohne technische Controls oder offizielle Alternative ist das nicht beantwortbar.
• „Welche Anbieter sind Auftragsverarbeiter Ihrer Informationen?" → wenn Mitarbeitende ChatGPT, Claude oder Gemini privat nutzen, ist die Antwort unvollständig.
• „Wie dokumentieren Sie KI-Vorfälle?" → ohne Audit-Log existieren Vorfälle nicht offiziell – und genau das ist das Problem.

Persönliche Haftung der Geschäftsführung

Der Punkt, den viele Gründer und Geschäftsführerinnen 2026 unterschätzen: NIS2 verlangt nicht, dass das Unternehmen sich kümmert – es verlangt, dass Sie als Person sich kümmern. Konkret:

• Geschäftsführung muss die Cybersicherheits-Risikomanagement-Maßnahmen billigen und überwachen.
• Bei Pflichtverletzung haftet sie mit Privatvermögen.
• Der Schaden muss nicht eingetreten sein – es reicht eine festgestellte Sorgfaltsverletzung.

In der Praxis heißt das: ein Geschäftsführer, der bei Schatten-KI-Nutzung weggeschaut hat, der keine offizielle Alternative bereitgestellt hat, der keine KI-Richtlinie verabschiedet hat – haftet im Schadensfall persönlich. Selbst wenn er es delegiert hat, kann er die Haftung nicht vollständig delegieren. Die Übersichtspflicht verbleibt bei ihm.

Dieser Punkt verändert 2026 die Geschwindigkeit, mit der Geschäftsführungen entscheiden. Was 2024 noch „Wir warten ab" war, wird 2026 „Lassen Sie uns das diese Woche durchsprechen".

Acht Punkte, die jetzt dokumentiert sein müssen

Das NIS2UmsuCG enthält keine Übergangsfrist – die Pflichten gelten seit dem Tag der Verkündung. Aus Audit-Sicht und aus Haftungs-Sicht sind dies die acht konkreten Dokumente / Maßnahmen, die in einer NIS2-pflichtigen Organisation 2026 vorhanden sein sollten:

1. Cybersicherheits-Risikoanalyse, in der KI-Nutzung als Risiko-Kategorie auftaucht und bewertet wird.
2. Verzeichnis aller eingesetzten KI-Dienste (offiziell und tolerierter Schatten-KI), inkl. Datenklassen und Verarbeiter-Sitz.
3. KI-Richtlinie für Mitarbeitende, freigegeben durch Geschäftsführung, kommuniziert in Onboarding und Regel-Trainings.
4. Auditierbares Logging aller offiziellen KI-Verarbeitungen – wer hat wann welche Daten verarbeitet, mit welchem Ergebnis.
5. Technische Maßnahmen zur Eindämmung von Schatten-KI: Web-Filter, DLP-Regeln (Data Loss Prevention), Endpoint-Controls, oder funktional gleichwertige Maßnahmen plus eine offizielle KI-Plattform mit besserer UX als die Schatten-Variante.
6. Vorfallsbehandlungs-Prozess, der KI-spezifische Vorfälle (Datenabfluss, Halluzinationen, Bias) explizit abdeckt.
7. Lieferanten-Bewertung für KI-Dienste, inklusive Auftragsverarbeitungsvertrag und Sub-Auftragnehmer-Kette.
8. Geschäftsführungs-Beschluss, der die Maßnahmen formal billigt und einen Verantwortlichen für die laufende Überwachung benennt.

Diese acht Punkte sind nicht nur eine Compliance-Pflichtübung. Sie sind in Summe das, was eine professionelle KI-Einführung im Mittelstand sowieso ausmacht – und sie schützen Sie persönlich.

Wo Private KI ins Spiel kommt

NIS2 verlangt Kontrolle über Datenflüsse und Verarbeitung. Eine Private-KI-Plattform, korrekt aufgesetzt, liefert genau das:

• Vollständiges Audit-Log über alle KI-Verarbeitungen → Punkt 4.
• Technische Eindämmung von Schatten-KI durch attraktive offizielle Alternative → Punkt 5.
• Klare Auftragsverarbeitungs-Kette mit EU-Anbietern → Punkt 7.
• Strukturierte Risikoanalyse statt diffuser Annahmen → Punkt 1.

Sie löst NIS2 nicht alleine – aber sie löst die KI-Komponenten von NIS2 strukturell, statt mit Workarounds.

Empfehlung

Wenn Ihr Unternehmen NIS2-pflichtig ist (oder mittelbar betroffen, weil Sie Lieferant eines Pflichtigen sind), ist 2026 das Jahr, in dem Schatten-KI von einem ärgerlichen IT-Thema zu einem persönlichen Geschäftsführungs-Risiko wird.

Drei pragmatische Schritte:

1. Klären Sie binnen vier Wochen, ob und wie Sie unter NIS2 fallen. Eine seriöse Anwaltskanzlei oder ein spezialisierter Berater liefert das in einer Sitzung.
2. Verabschieden Sie eine vorläufige KI-Richtlinie und ein Risikoregister, das KI als Kategorie enthält. Ihr Datenschutzbeauftragter kann das innerhalb weniger Wochen aufsetzen.
3. Planen Sie eine Private-KI-Pilotphase mit definiertem 30-Tage-Scope, Pilotgruppe und Erfolgskriterien. Damit nehmen Sie der Schatten-KI strukturell die Grundlage und liefern den Audit-Nachweis.

Weiterlesen

• "Private KI für den Mittelstand: Der Leitfaden 2026" – der Hauptleitfaden mit Architektur, DSGVO/NIS2 und 30-Tage-Pilot.
• "Schatten-KI im Unternehmen" – das praktische Pendant zur NIS2-Sicht.
• "Private KI vs. ChatGPT" – die Tool-Diskussion.

Wer NIS2 + KI persönlich durchsprechen möchte: Direkt mit Nico Meyer, werktags 9–18 Uhr.