NIS-2 in der M&A-Transaktion. Eine Compliance-Schicht, die die Bewertung verschiebt.
```htmlNIS-2 ist keine Fußnote in der Transaktionsdokumentation. Sie ist eine Bewertungsschicht, die Erwerbspreise verschiebt, Integrationskosten erzeugt und persönliche Haftungsrisiken auf Geschäftsleitungsebene begründet. Wer eine Technologiegesellschaft erwirbt, ohne den NIS-2-Status des Targets systematisch zu prüfen, übernimmt nicht nur Compliance-Defizite. Er übernimmt Strafzahlungsrisiken in Millionenhöhe, laufende Meldepflichten, und gegebenenfalls einen regulatorischen Reparaturaufwand, der den Erwerbspreis nachträglich als zu hoch erscheinen lässt.
Was NIS-2 für Erwerber bedeutet
Die NIS-2-Richtlinie, seit Oktober 2024 in deutsches Recht überführt, erweitert den Kreis der erfassten Einrichtungen erheblich gegenüber dem Vorgängerregime. Nicht mehr nur Betreiber kritischer Infrastrukturen im engsten Sinne sind betroffen. Erfasst sind nun mittlere und große Unternehmen in sechzehn Sektoren, darunter digitale Infrastruktur, Rechenzentren, Cloud-Dienste, Managed Services, sowie Hersteller bestimmter IKT-Produkte. Viele Technologiegesellschaften, die bislang unterhalb des regulatorischen Radars operierten, fallen heute in den Geltungsbereich.
Für einen Erwerber entsteht daraus eine strukturelle Frage. Ist das Target eine „wichtige" oder „besonders wichtige Einrichtung"? Welche Pflichten sind damit verbunden? Welche sind bislang nicht erfüllt? Die Antworten auf diese drei Fragen verschieben den Erwerbspreis-Korridor. Sie tun es nicht marginal. Sanktionen reichen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes für wichtige Einrichtungen, und bis zu sieben Millionen Euro oder 1,4 Prozent des Umsatzes für die erste Stufe. Das ist eine Größenordnung, die in der finanziellen Due Diligence als eigenständige Risikoposition zu führen ist.
Hinzu kommt die persönliche Haftung der Geschäftsleitung. NIS-2 sieht ausdrücklich vor, dass Leitungsorgane für unzureichende Umsetzung der Cybersicherheitsmaßnahmen haftbar gemacht werden können. Wer ein Unternehmen erwirbt und in dessen Führung eintritt, übernimmt diese Exposition, sofern die Compliance-Lage nicht vor Closing geklärt wird. Eine Mithaftung kraft Organstellung entsteht nicht abstrakt. Sie entsteht, wenn die Implementierungsdefizite bekannt oder erkennbar waren, und trotzdem kein Sanierungsplan aufgesetzt wurde.
Die Prüfungslogik in der Due Diligence
Eine NIS-2-Prüfung beginnt mit der Klassifikationsfrage. Fällt das Target in den sachlichen Anwendungsbereich? Und wenn ja, in welcher Kategorie? Die Abgrenzung zwischen „wichtig" und „besonders wichtig" hat unmittelbare Sanktionsfolgen. Sie ist nicht immer eindeutig. Managed-Service-Provider, die in mehreren Sektoren tätig sind, können je nach Kundenstruktur in unterschiedliche Kategorien fallen. Diese Frage wird in der juristischen Spur der Due Diligence geklärt, nicht in der technischen.
Parallel läuft die materielle Prüfung. NIS-2 verlangt von erfassten Einrichtungen technische und organisatorische Maßnahmen auf dem Stand der Technik. Dazu gehören Risikoanalysen und Sicherheitskonzepte für Informationssysteme, Business-Continuity-Management, Sicherheit der Lieferkette, Vorgaben zur Verschlüsselung, Zugangskontrolle und Multi-Faktor-Authentifizierung. Diese Anforderungen sind nicht neu. In der Praxis vieler Sondersituationen sind sie aber nicht vollständig umgesetzt. Veraltete Identity-Management-Systeme, fehlende Monitoring-Architekturen, inkonsistente Backup-Konfigurationen sind Befunde, die sich in Sondersituations-Targets regelmäßig zeigen.
Meldepflichten als Transaktionsrisiko
Ein besonders unterschätztes Risiko sind die Meldepflichten nach NIS-2. Erhebliche Sicherheitsvorfälle müssen innerhalb von vierundzwanzig Stunden an die zuständige nationale Behörde gemeldet werden. Eine vollständige Meldung folgt innerhalb von zweiundsiebzig Stunden. Wer ein Unternehmen mit nicht gemeldeten Vorfällen aus dem Vorjahreszeitraum erwirbt, erbt deren Verletzungsfolgen. Die Behörde prüft nicht, ob der neue Eigentümer an den Vorfällen beteiligt war. Sie prüft, ob die Meldung rechtzeitig erfolgte und ob die Ursache beseitigt wurde. Beide Fragen sind in der Due Diligence zu stellen, nicht erst nach Closing.
Das verknüpft die NIS-2-Spur mit der operativen Due Diligence unmittelbar. Penetrationstests, Audit-Protokolle, SIEM-Logs, Incident-Response-Dokumentationen werden nicht als technische Alibidokumente behandelt, sondern als Beweismittel für oder gegen einen regulatorisch belasteten Übergabestand. Wer diese Dokumente anfordert und auswertet, bekommt ein belastbares Bild der Compliance-Lage. Wer darauf verzichtet, bekommt eine Indemnity-Diskussion in der Post-Closing-Phase.
Bewertungsverschiebung durch Compliance-Defizite
NIS-2-Defizite verschieben den Erwerbspreis in zwei Richtungen. Erstens nach unten, weil Sanktionsrisiken und Nachrüstungskosten den Wert der erworbenen Substanz mindern. Zweitens nach oben in den Investitionsaufwand, weil die Plattform nach Closing auf den erforderlichen Compliance-Stand gebracht werden muss. Beides ist quantifizierbar, wenn die Prüfung sorgfältig geführt wird. Beides ist nicht quantifizierbar, wenn sie fehlt.
In der Bewertungslogik von Distressed M&A gilt ein Grundsatz, der auch hier greift. Der Wiederbeschaffungswert der Substanz bildet einen unteren Bewertungsanker. Dieser Anker verändert sich, wenn eine regulatorische Nachrüstung den Integrationsbedarf erhöht. Wer ein Cyber-Security-Unternehmen erwirbt, das selbst NIS-2-pflichten nur teilweise erfüllt, hat einen Glaubwürdigkeits- und Marktzugangsnachteil, der in der Kundenkommunikation sichtbar wird. Ein MSSP, der seinen eigenen Compliance-Status nicht belegen kann, verliert Ausschreibungen. Das ist kein abstraktes Risiko. Es ist eine kommerzielle Konsequenz, die in der Konfigurationsbewertung zu führen ist.
Die Strukturierungsarbeit antwortet auf diese Risiken mit den üblichen Werkzeugen. Indemnities für vorvertragliche Compliance-Verletzungen. Escrow-Tranchen, die freigegeben werden, wenn innerhalb einer definierten Frist nach Closing der NIS-2-Status zertifiziert ist. Earn-Out-Mechaniken, die die fortbestehende Mitwirkung der Verkäufer-Seite bei der regulatorischen Sanierung honorieren. Diese Strukturen sind nicht boilerplate. Sie werden auf die spezifische Compliance-Lage des Targets kalibriert.
Wann NIS-2 die Vehikelarchitektur beeinflusst
NIS-2 hat nicht nur materielle Auswirkungen auf die Compliance-Führung des Targets. Sie hat strukturelle Auswirkungen auf die Vehikelarchitektur. Eine Plattformholding mit indirektem Einfluss auf NIS-2-relevante Betriebe ist selbst Adressat von Aufsichtspflichten, wenn sie als Kontrollinstanz qualifiziert wird. Das gilt insbesondere, wenn die Holding Weisungsbefugnis über IT-Entscheidungen ausübt. Diese Frage wird bei der Architektur des Erwerbsvehikels nicht automatisch mitgestellt. Sie sollte es.
Bei FDI-Screening-Verfahren tritt NIS-2 als parallele Prüfschicht hinzu. Eine Akquisition, die nach AWG oder CFIUS geprüft wird, weil sie KRITIS-relevante oder sicherheitssensible Technologie betrifft, wird durch eine unzureichende NIS-2-Compliance des Targets nicht leichter genehmigt. Im Gegenteil: Behörden, die den regulatorischen Reifegrad eines Targets bewerten, sehen NIS-2-Defizite als Hinweis auf breitere Governance-Schwächen. Die Genehmigungslandschaft wird komplexer, wenn die Compliance-Lage des Targets schlecht dokumentiert ist. Und sie wird teurer, weil Auflagen zur Compliance-Nachrüstung als Genehmigungsbedingung formuliert werden können.
In Cross-Border-Konfigurationen kommt die Frage der Zuständigkeit hinzu. NIS-2 hat eigene Regeln zur Bestimmung der zuständigen nationalen Behörde, die auf den Haupt-Niederlassungsort abstellt. Wenn das Target in einer Jurisdiktion operiert, die NIS-2 noch nicht vollständig umgesetzt hat, und die Plattformholding in Deutschland sitzt, entsteht eine Koordinationsaufgabe zwischen nationalen Behörden, die in der Closing-Planung frühzeitig adressiert werden muss. Sechs parallele Genehmigungsverfahren zu koordinieren ist eine bekannte Aufgabe. Einen NIS-2-Zuständigkeitskonflikt zu klären, der erst nach Closing eskaliert, ist eine teurere.
Die Lieferkette als Compliance-Risikoquelle
NIS-2 erstreckt die Sicherheitspflichten ausdrücklich auf die Lieferkette. Erfasste Einrichtungen müssen die Sicherheit ihrer Dienstleister und Zulieferer prüfen und vertraglich absichern. Das bedeutet für einen Erwerber: Die Lieferketten-Prüfung in der Due Diligence ist nicht nur eine operative Sorgfaltsfrage, sie ist eine NIS-2-Compliance-Frage. Welche kritischen Dienstleister hat das Target? Welche Verträge regeln deren Sicherheitspflichten? Welche Audit-Rechte bestehen?
Viele Targets in Sondersituationen haben diese Fragen nicht systematisch beantwortet. Die Verträge mit Managed-Service-Providern, Cloud-Anbietern und Softwarelieferanten enthalten keine NIS-2-konformen Sicherheitsanforderungen. Die Lieferantenbasis wurde nie auf Cybersicherheits-Reife geprüft. Diese Befunde sind in der operativen Spur der Due Diligence zu erheben, in der juristischen Spur zu bewerten, und in der Strukturierungsarbeit zu adressieren. Wer sie übersieht, baut eine Plattformlogik auf einem Fundament mit bekannten Schwachstellen.
Persönliche Haftung nach Closing
Die persönliche Haftung der Leitungsorgane ist das Thema, das im Transaktionsgespräch oft ausgeblendet wird. Es wird im Post-Closing-Alltag relevant. NIS-2 sieht vor, dass Mitglieder der Leitungsorgane für Verstöße haftbar gemacht werden können, wenn sie die erforderlichen Cybersicherheitsmaßnahmen nicht genehmigt, überwacht oder umgesetzt haben. Diese Formulierung ist weit. Sie erfasst nicht nur aktives Fehlverhalten, sondern auch organisiertes Wegsehen.
Wer nach Closing in das Leitungsorgan eines NIS-2-pflichtigen Unternehmens eintritt, und dabei weiß, dass die Compliance-Lage unzureichend ist, ohne einen dokumentierten Sanierungsplan aufzusetzen, bewegt sich in einem Haftungsbereich, der nicht durch Indemnities gegen den Verkäufer vollständig abgesichert werden kann. Indemnities wirken zwischen Vertragsparteien. Die Behördenhaftung wirkt gegen die Person. Diese Unterscheidung ist im Transaktionsalltag zu machen, nicht erst wenn die Behörde den Bescheid erlässt.
Die Konsequenz ist methodisch. Die NIS-2-Compliance-Prüfung ist keine Aufgabe für das Ende der Due Diligence. Sie beginnt in den ersten zweiundsiebzig Stunden mit der Klassifikationsfrage und zieht sich durch alle vier parallelen Spuren. Sie endet mit einem Integrationsplan, der den Compliance-Stand des Targets spätestens zwölf Monate nach Closing auf das erforderliche Niveau bringt, dokumentiert, und gegenüber der zuständigen Behörde belegt. Dieser Plan ist Teil der Transaktionsstruktur. Nicht Teil der Wunschliste.
NIS-2 und die Plattformintegration
In einer Plattformstrategie, die mehrere Technologiekomponenten zusammenführt, potenziert sich die NIS-2-Frage. Jede neu erworbene Komponente bringt ihren eigenen NIS-2-Status mit, ihre eigenen Meldepflichten, ihren eigenen Compliance-Rückstand. Die Plattform als Ganzes wird von Kunden, Behörden und institutionellen Investoren nach ihrem Gesamtbild der Cybersicherheitsreife bewertet. Eine Plattform, die in einer Vertikale hohe Standards zeigt und in einer anderen substanzielle Defizite hat, verliert die Glaubwürdigkeit in der gesamten Vertikale.
Das verbindet NIS-2 unmittelbar mit der Frage digitaler Souveränität. Wer Technologieplattformen mit sicherheitskritischer Relevanz aufbaut, positioniert sich in einem regulatorischen Umfeld, das Compliance nicht mehr als Eintrittshürde behandelt, sondern als laufende Betriebspflicht. Die Plattform, die diese Pflicht methodisch führt, hat einen strukturellen Wettbewerbsvorteil gegenüber Wettbewerbern, die Compliance als Kostenpunkt minimieren. Dieser Vorteil ist in der Exit-Bewertung sichtbar. Ein Käufer, der eine NIS-2-konforme Plattform übernimmt, zahlt anders als einer, der eine Plattform mit offenem Compliance-Rucksack übernimmt.
Die Prüfung, die in der Due Diligence beginnt, setzt sich in der Integration fort. Und die Integration setzt sich in der laufenden Plattformführung fort. Wer diese Kontinuität aufbaut, hat eine Compliance-Architektur, die investierbar ist. Wer sie unterbricht, hat eine Haftungsarchitektur, die es nicht ist.
Was Erwerber konkret tun
Eine NIS-2-fähige Due Diligence hat vier Prüfschritte. Erstens, Klassifikation. Fällt das Target in den Anwendungsbereich? Wenn ja, als welche Einrichtungsart? Zweitens, materielle Bestandsaufnahme. Welche der verpflichtenden technischen und organisatorischen Maßnahmen sind implementiert, welche nicht? Drittens, Vorfallhistorie. Welche Sicherheitsvorfälle sind in den letzten zwölf bis achtzehn Monaten aufgetreten? Wurden sie fristgerecht gemeldet? Viertens, Lieferkette. Welche kritischen Dienstleister hat das Target, und welchen Sicherheitsanforderungen unterliegen sie vertraglich?
Diese vier Schritte werden nicht sequenziell, sondern parallel durchgeführt. Sie verbinden die technische Spur mit der juristischen Spur und mit der operativen Spur. Das Ergebnis ist eine Risikomatrix mit gewichteten Eintrittswahrscheinlichkeiten und Schadenshöhen, die unmittelbar in die Transaktionsstruktur einfließt. Indemnities, Escrow-Tranchen, Bedingungen und Integrationsplan folgen aus dieser Matrix. Nicht aus Standardvorlagen.
Was kein Schritt ist: Die NIS-2-Prüfung auf einen Spezialisten zu delegieren und das Ergebnis als Anhang in den Datenraum zu legen. Eine Compliance-Schicht, die Bewertung, Struktur und persönliche Haftung beeinflusst, gehört in die Mitte der Transaktion. Nicht an ihren Rand.
Compliance ist nicht die Bremse. Sie ist die Last, die zeigt, ob das Fundament trägt.
```