NIS-2-Richtlinie: Human Risk Management wird Pflicht für elf Sektoren
20.06.2026 - 06:36:15 | boerse-global.de
Neben technischen Schutzmaßnahmen rücken organisatorische Aspekte und Personalüberprüfungen in den Fokus.
Human Risk Management wird Pflicht
Ein Kernstück der neuen Regeln ist das sogenannte Human Risk Management. Unternehmen in sicherheitskritischen Rollen müssen verstärkte Vorsorgemaßnahmen treffen. Dazu gehören verpflichtende Pre-Employment Checks und regelmäßige Re-Screenings von Mitarbeitern mit Zugang zu sensiblen Systemen oder Daten.
Anzeige: Die NIS-2-Richtlinie macht Human Risk Management zur Pflicht – mit persönlicher Haftung für Geschäftsführer. Unser Report liefert die Checkliste für Pre-Employment Checks, Re-Screenings und das dreistufige Meldeverfahren. Jetzt kostenlosen NIS-2-Report anfordern
Die Maßnahmen zielen darauf ab, Innentäter-Szenarien zu minimieren. Das Personal in Schlüsselpositionen muss kontinuierlich auf seine Zuverlässigkeit geprüft werden. Die Implementierung geht über rein technische Lösungen hinaus.
Dreistufiges Meldeverfahren bei Sicherheitsvorfällen
Die Meldepflichten bei erheblichen Sicherheitsvorfällen werden deutlich verschärft. Unternehmen müssen künftig ein dreistufiges Verfahren einhalten:
- Frühwarnung: Innerhalb von 24 Stunden nach Kenntnisnahme
- Vorfallmeldung: Detaillierte Bewertung innerhalb von 72 Stunden
- Abschlussbericht: Finaler Bericht spätestens einen Monat nach Erstmeldung
Die Fristen beginnen bereits bei begründetem Verdacht. Eine revisionssichere Dokumentation ist erforderlich. Von informellen Kommunikationsmitteln wie Messengerdiensten oder einfachen Tabellen wird abgeraten.
Ab dem 11. September 2026 greift zudem eine spezifische Meldepflicht für aktiv ausgenutzte Schwachstellen.
Persönliche Haftung für Geschäftsführer
Die Richtlinie hebt Cybersicherheit auf die Ebene der Unternehmensleitung. Bei Versäumnissen droht der Geschäftsführung persönliche Haftung. Die Sanktionen sind erheblich: Für besonders wichtige Einrichtungen können Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes verhängt werden. Auch Tätigkeitsverbote für verantwortliche Manager sind möglich.
In Deutschland ist das entsprechende Umsetzungsgesetz bereits seit dem 6. Dezember 2025 in Kraft. Dort läuft aktuell eine finale Nachfrist für die Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) bis zum 31. Juli 2026. Bis Mai hatten sich erst rund 18.500 der schätzungsweise 30.000 betroffenen Unternehmen registriert.
Bedrohungslage verschärft sich
Anzeige: Seit Jahresbeginn sind MFA-Umgehungen um das 37-Fache gestiegen – 82% der Phishing-Angriffe sind KI-generiert. Ohne NIS-2-konformes Human Risk Management drohen Bußgelder bis zu 10 Mio. Euro. Dieser Report zeigt, wie Sie Ihr Team schützen. NIS-2-Report jetzt sichern
Der IT-Sicherheitsmarkt verzeichnet zuletzt Zuwächse von über zehn Prozent. Grundlegende Sicherheitsmaßnahmen sind für kleine und mittlere Unternehmen (KMU) bereits für monatliche Beträge zwischen 200 und 500 Euro umsetzbar.
Die Notwendigkeit dieser Investitionen wird durch aktuelle Schadenszahlen untermauert. Studien beziffern den jährlichen Gesamtschaden durch Cyberkriminalität für die deutsche Wirtschaft auf rund 200 Milliarden Euro.
Besonders besorgniserregend: Seit Jahresbeginn 2026 ist die Zahl der Umgehungen von Multifaktor-Authentifizierungen (MFA) um das 37-Fache gestiegen. Im Finanzsektor haben sich Phishing-Versuche vervierfacht. 82 Prozent dieser Angriffe werden mittlerweile mithilfe von Künstlicher Intelligenz generiert.
