Tactical Management
DE·EN·ES Sondersituation einreichen
Sondersituation einreichen Schriftliche Erst-Einschätzung in 72 Stunden. Vertraulich.
Hotline+49 711 735 92 749 Akquisitionenacquisitions@tacticalmanagement.ch
DE · EN · ES München · Wien · Baar
Kapital8 Min. LesezeitApril 2026

NIS-2 Compliance für Investoren: Haftung, Kosten und Governance in KRITIS-Portfoliounternehmen

6 Min. Lesezeit · von Dr. Raphael Nagel (LL.M.)

TL;DR. NIS-2 Compliance für Investoren bedeutet: Mit dem Erwerb eines KRITIS-Portfoliounternehmens gehen sämtliche Pflichten der EU-Richtlinie 2022/2555 auf den neuen Eigentümer über – inklusive 24-Stunden-Meldepflicht, Risikomanagement und persönlicher Leitungshaftung. Dr. Raphael Nagel (LL.M.) zeigt in KAPITAL: Investoren müssen Compliance-Budgets von 2–10 Millionen Euro und Bußgeldrisiken bis 10 Millionen Euro einpreisen.

NIS-2 Compliance für Investoren ist das strukturelle Managen aller Pflichten, die sich aus der EU-Richtlinie 2022/2555 (NIS-2) für Eigentümer wesentlicher (Essential Entities) und wichtiger Einrichtungen (Important Entities) ergeben. Für Private-Equity-Investoren bedeutet dies, dass mit dem Erwerb eines KRITIS-Portfoliounternehmens nicht nur operative Verantwortung, sondern auch regulatorische Haftung auf Leitungsebene übergeht. Die Richtlinie schreibt umfassende Risikomanagementmaßnahmen, Vorfallmeldungen binnen 24 Stunden, Supply-Chain-Sicherheit und Nachweise gegenüber dem BSI vor. Dr. Raphael Nagel (LL.M.) beschreibt in KAPITAL, warum diese Pflichten keine operative Detailfrage sind, sondern als strategische Board-Agenda zu behandeln sind – mit Konsequenzen für Due Diligence, Kaufpreisstruktur, Governance und persönliche Direktorenhaftung.

Die wichtigsten Punkte

  • Die NIS-2-Richtlinie (EU 2022/2555) verpflichtet wesentliche Einrichtungen zu Erstmeldungen binnen 24 Stunden und Folgemeldungen binnen 72 Stunden bei sicherheitsrelevanten Vorfällen.
  • Das BSI kann bei Verstößen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes verhängen, mit direkter Haftungsauswirkung auf die Leitungsebene der KRITIS-Unternehmen.
  • Die Implementierung vollständiger NIS-2-Compliance in mittleren KRITIS-Unternehmen erfordert initial 2 bis 10 Millionen Euro; jährliche Folgekosten liegen zwischen 500.000 und 2 Millionen Euro.
  • Cybersecurity-Budgets müssen in KRITIS-Portfoliounternehmen typischerweise 10 bis 15 Prozent des IT-Budgets umfassen, ergänzt durch direkte Board-Anbindung des CISO.
  • Standard-D&O-Policen decken Cyber-Incidents, behördliche Enforcement-Verfahren und öffentlichrechtliche Bußgelder oft nicht ab und erfordern ausdrückliche Zusatzdeckungen.

Was verlangt NIS-2 Compliance von Investoren in KRITIS-Unternehmen konkret?

NIS-2 Compliance für Investoren bedeutet, dass mit jedem Erwerb eines KRITIS-Portfoliounternehmens die EU-Richtlinie 2022/2555 vollumfänglich gilt. Ein Eigentümerwechsel heilt keine bestehenden Compliance-Lücken. Der Investor tritt in sämtliche Meldepflichten, Risikomanagementanforderungen und Nachweispflichten gegenüber dem BSI ein – mit persönlicher Verantwortung der Leitungsebene.

Die Richtlinie unterscheidet zwischen wesentlichen Einrichtungen (Essential Entities) in Sektoren wie Energie, Verkehr, Banken und Gesundheit – mit den höchsten Anforderungen – und wichtigen Einrichtungen (Important Entities) in weiteren Sektoren. Für wesentliche Einrichtungen schreibt NIS-2 umfassende Risikomanagementmaßnahmen, Incident-Reporting innerhalb von 24 Stunden, Versorgungsketten-Sicherheit und Management-Verantwortlichkeit vor. Diese Pflichten gelten unabhängig von der Eigentümerstruktur – ein Punkt, den Dr. Raphael Nagel (LL.M.) in KAPITAL besonders betont.

Für Private-Equity-Fonds bedeutet das: Schon am Tag nach dem Closing muss der neue Eigentümer demonstrieren, dass sämtliche NIS-2-relevanten Prozesse funktionieren. Die Meldefristen werden nicht ausgesetzt, weil ein Eigentümerwechsel stattgefunden hat. Ein Cyber-Incident in Woche zwei nach dem Closing triggert dieselben 24-Stunden-Meldepflichten wie in einem etablierten Unternehmen.

Die Erweiterung des Anwendungsbereichs gegenüber NIS-1

NIS-2 hat den Adressatenkreis gegenüber der Vorgängerrichtlinie NIS-1 erheblich erweitert. Anbieter digitaler Dienste, öffentliche Verwaltungen, Post- und Kurierdienste, Abwasserentsorgung sowie Lebensmittelproduktion sind nun explizit erfasst. Diese Erweiterung betrifft zahlreiche PE-Portfoliounternehmen, die bisher nicht als KRITIS-reguliert galten und deren Compliance-Infrastruktur entsprechend nachgezogen werden muss.

Welche persönlichen Haftungsrisiken trägt die Leitungsebene unter NIS-2?

Unter NIS-2 können Geschäftsführer und Vorstände persönlich haften, wenn sie ihren Pflichten zur Implementierung von Cybersicherheitsmaßnahmen nicht nachkommen. Die Richtlinie verankert ausdrücklich die Verantwortlichkeit der Leitungsorgane – eine Delegation an die IT-Abteilung entlastet nicht. Bußgelder bis 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes sind möglich.

In Deutschland ergibt sich die persönliche Haftung von Geschäftsführern und Aufsichtsratsmitgliedern zusätzlich aus §§ 43, 52 GmbHG bzw. §§ 93, 116 AktG. Die Business Judgment Rule bietet Schutz für unternehmerische Entscheidungen auf informierter Basis – aber dieser Schutz entfällt, wenn systematische Compliance-Pflichten ignoriert wurden. Für Board-Mitglieder, die von PE-Fonds entsandt werden, bedeutet das: NIS-2 ist Board-Agenda, nicht Stabsstelle.

Dr. Raphael Nagel (LL.M.) hebt in KAPITAL hervor, dass die KRITIS-Compliance der Portfoliounternehmen damit nicht nur eine operative Frage ist, sondern eine persönliche Haftungsfrage für die GP-Vertreter im Board. Standard-D&O-Policen decken Cyber-Incidents, behördliche Enforcement-Verfahren und öffentlichrechtliche Bußgelder oft nicht ab – ein Ausschluss, der durch Zusatzdeckungen adressiert werden muss, bevor ein Board-Mitglied sein Mandat antritt.

Dokumentationspflichten als Haftungsschutz

Die systematische Dokumentation von Risikobewertungen, Schulungsmaßnahmen, Audit-Ergebnissen und Incident-Response-Übungen ist für die Leitungsebene nicht Bürokratie, sondern Haftungsschutz. Ein Board, das nachweisen kann, dass es quartalsweise Cybersecurity-Briefings erhalten, Budgetentscheidungen dokumentiert und regelmäßige Penetrationstests beauftragt hat, steht im Enforcement-Verfahren fundamental anders da als eines ohne diese Spur.

Wie kalkulieren Investoren Compliance-Kosten und integrieren sie in die Due Diligence?

Die Compliance-Kosten für NIS-2 sind erheblich und müssen vor dem Closing quantifiziert werden. Für mittlere KRITIS-Unternehmen bewegen sich die initialen Investitionen zwischen 2 und 10 Millionen Euro, laufende Kosten zwischen 500.000 und 2 Millionen Euro jährlich. Diese Beträge gehören in die Kaufpreisverhandlung – nicht in die Post-Closing-Überraschung.

Die Cyber-Due-Diligence ist in systemkritischen Transaktionen zur eigenständigen Disziplin geworden. Sie umfasst: Bewertung der bestehenden IT- und OT-Sicherheitsarchitektur, Analyse historischer Incidents und deren Meldedisziplin, Prüfung der NIS-2-Readiness gemäß den konkreten Anforderungen für wesentliche oder wichtige Einrichtungen, sowie Identifikation von Altlasten aus unzureichender Sicherheitsgovernance unter dem Vorgängereigentümer. Diese Analyse muss von spezialisierten Experten durchgeführt werden – klassische IT-Audits reichen nicht aus.

In der Kaufpreismechanik wird NIS-2-Nachinvestitionsbedarf typischerweise als Abschlag auf das EV/EBITDA-Multiple abgebildet oder über Kaufpreis-Escrows abgesichert, die bis zur nachgewiesenen Compliance-Implementierung einbehalten werden. Tactical Management und vergleichbare Investoren, die systematisch in KRITIS-Sektoren agieren, haben entsprechende Bewertungsmodelle institutionalisiert. PE-Fonds ohne diese Analyse zahlen systematisch zu hohe Preise für Assets mit verborgenen Compliance-Lasten.

W&I-Versicherungen in KRITIS-Transaktionen

Warranty-&-Indemnity-Versicherungen für KRITIS-Transaktionen sind verfügbar, aber teurer und mit engeren Deckungsausschlüssen versehen als Standard-M&A-Policen. Versicherer verlangen vertiefte Due Diligence in regulatorischen Compliance-Bereichen. Bestimmte KRITIS-spezifische Risiken – Cyber-Incidents, regulatorische Bußgelder – werden von Standard-W&I-Policen oft nicht gedeckt und müssen durch separate Cyber-Policen abgedeckt werden.

Welche Governance-Struktur sichert dauerhafte NIS-2 Compliance im Portfolio?

Dauerhafte NIS-2 Compliance erfordert eine Governance-Architektur, die Cybersicherheit auf Board-Ebene verankert. Der CISO muss direkte Board-Anbindung haben – nicht nur Berichterstattung über den CIO. Cybersecurity-Budgets von 10 bis 15 Prozent des gesamten IT-Budgets sind in KRITIS-Portfoliounternehmen der Richtwert. Quartalsweise Threat-Briefings sind Standard, jährliche Red-Team-Übungen Pflicht.

Das Board-Reporting in KRITIS-Portfoliounternehmen muss explizit regulatorische Compliance-Status, politische Risikoentwicklungen und KRITIS-spezifische Sicherheits-KPIs umfassen – nicht nur Finanzkennzahlen. Die quartalsweise Überprüfung von Incident-Statistiken, der Wirksamkeit von Schutzmaßnahmen und der Readiness-Scores gegenüber NIS-2-Anforderungen ist ebenso zentral wie die klassische EBITDA-Diskussion. Ein Board, das 90 Prozent seiner Zeit auf Finanzperformance verwendet und 10 Prozent auf Compliance, arbeitet im KRITIS-Kontext falsch priorisiert.

Die Post-Merger-Integration nach Add-on-Akquisitionen ist besonders anspruchsvoll: KRITIS-Compliance-Systeme lassen sich nicht über Nacht zusammenführen. Sicherheitsüberprüfungen von Mitarbeitern des neu akquirierten Unternehmens erfordern Vorlaufzeiten. Diese regulatorische PMI-Timeline muss in der Akquisitionsplanung realistisch berücksichtigt werden – das volle Synergiepotenzial wird oft erst 18 bis 36 Monate nach Closing realisiert, wie Dr. Raphael Nagel (LL.M.) in KAPITAL ausführt.

Incident-Response als Board-Thema

PE-Investoren sollten darauf bestehen, dass ihre KRITIS-Portfoliounternehmen mindestens jährliche Cyber-Incident-Response-Table-Top-Exercises durchführen und alle drei Jahre vollständige simulierte Incident-Response-Übungen. Der NIST Cybersecurity Framework-Zyklus – Identify, Protect, Detect, Respond, Recover – muss operativ trainiert sein, bevor der erste echte Incident eintritt.

NIS-2 Compliance für Investoren ist kein nachgelagertes Compliance-Thema, sondern ein strategischer Werthebel – und ein existenzielles Risiko, wenn er ignoriert wird. Wer KRITIS-Unternehmen erwirbt, übernimmt regulatorische Verantwortung mit persönlichen Haftungskonsequenzen, mehrjährigen Compliance-Investitionspfaden und direkter Board-Verantwortung für Cybersicherheit. Die Investoren, die in der kommenden Dekade in systemkritischen Sektoren erfolgreich agieren werden, haben NIS-2 nicht als Kostenposition begriffen, sondern als institutionelles Qualitätssignal, das regulatorisches Vertrauen, politische Akzeptanz und letztlich bessere Exit-Multiples generiert. Dr. Raphael Nagel (LL.M.) analysiert in KAPITAL, wie die Verschmelzung von Cyber-Due-Diligence, Governance-Architektur und operativer Transformation zum Kernhandwerk des systemkritischen Private Equity wird. Als Founding Partner von Tactical Management hat er diese Methodik an der Schnittstelle von Recht, Kapitalmarkt und Betriebsführung institutionalisiert. Die vorausschauende Perspektive: Mit der Ausweitung der KRITIS-Sektoren auf Lebensmittelproduktion, Pharmazulieferung und Cloud-Infrastruktur wird NIS-2-Expertise in den kommenden fünf Jahren zum Eintrittsticket für die attraktivsten Transaktionen im europäischen Infrastruktur- und Mittelstandsmarkt.

Wichtige Datenpunkte

  • Das BSI kann bei NIS-2-Verstößen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes verhängen <em>— NIS-2-Richtlinie (EU 2022/2555) und deutsches Umsetzungsgesetz</em>
  • Die Implementierung vollständiger NIS-2-Compliance in mittleren KRITIS-Unternehmen kostet initial zwischen 2 und 10 Millionen Euro <em>— KAPITAL von Dr. Raphael Nagel (LL.M.)</em>
  • Jährliche NIS-2-Folgekosten für CISO-Funktion, Security Operations Center und regelmäßige Audits liegen zwischen 500.000 und 2 Millionen Euro <em>— KAPITAL von Dr. Raphael Nagel (LL.M.)</em>
  • Cybersecurity-Budgets in KRITIS-Unternehmen sollten typischerweise 10 bis 15 Prozent des gesamten IT-Budgets umfassen <em>— KAPITAL von Dr. Raphael Nagel (LL.M.)</em>
  • NIS-2 schreibt für wesentliche Einrichtungen Erstmeldungen binnen 24 Stunden und Folgemeldungen binnen 72 Stunden bei sicherheitsrelevanten Vorfällen vor <em>— NIS-2-Richtlinie EU 2022/2555</em>
KAPITAL bestellen

Häufige Fragen

Was unterscheidet wesentliche von wichtigen Einrichtungen unter NIS-2?

Wesentliche Einrichtungen (Essential Entities) umfassen Sektoren mit höchster Kritikalität – Energie, Verkehr, Banken, Gesundheit, digitale Infrastruktur. Sie unterliegen proaktiver Aufsicht und höchsten Compliance-Anforderungen. Wichtige Einrichtungen (Important Entities) in weiteren Sektoren wie Post, Chemie oder Lebensmittelproduktion tragen reduzierte, aber substantielle Pflichten und unterliegen reaktiver Aufsicht. Beide Kategorien müssen Risikomanagement, Incident-Reporting und Leitungsverantwortung sicherstellen; Bußgelder sind für wesentliche Einrichtungen höher.

Ab wann greift NIS-2 nach einem Eigentümerwechsel für einen PE-Investor?

NIS-2 greift ohne jede Übergangsfrist ab dem Closing. Regulatorische Pflichten sind asset-bezogen, nicht eigentümerbezogen. Ein Cyber-Incident am Tag nach dem Signing triggert dieselben Meldepflichten wie zuvor. PE-Investoren müssen deshalb bereits vor dem Closing sicherstellen, dass Meldeprozesse funktionieren, CISO-Zuständigkeiten dokumentiert sind und die Behördenkommunikation gesichert ist. Dr. Raphael Nagel (LL.M.) empfiehlt in KAPITAL, die NIS-2-Handover-Prozesse als festen Bestandteil des 100-Tage-Plans zu institutionalisieren.

Haftet der PE-Investor persönlich für Cybervorfälle im Portfoliounternehmen?

Direkte persönliche Haftung trifft primär die Geschäftsführer und Vorstände des Portfoliounternehmens – inklusive der vom PE-Fonds entsandten Board-Mitglieder. Die Richtlinie verankert ausdrücklich Leitungsverantwortung; Delegation entlastet nicht. GP-Vertreter im Board tragen entsprechend §§ 93, 116 AktG bzw. § 43 GmbHG persönliche Verantwortung. Eine adäquate D&O-Deckung mit ausdrücklichem Cyber-Baustein, Enforcement-Cost-Schutz und Bußgeld-Erstreckung (wo rechtlich zulässig) ist deshalb unerlässlich, bevor ein Mandat angetreten wird.

Wie wirkt sich NIS-2-Nachinvestitionsbedarf auf den Kaufpreis aus?

NIS-2-Compliance-Lücken werden in professionellen Transaktionen entweder als Abschlag auf das EV/EBITDA-Multiple verhandelt oder über Kaufpreis-Escrows abgesichert, die bis zur nachgewiesenen Compliance-Implementierung einbehalten werden. Bei Nachinvestitionsbedarf von 2 bis 10 Millionen Euro kann das einen signifikanten Prozentsatz des Eigenkapital-Tickets ausmachen. Erfahrene KRITIS-Investoren wie Tactical Management lassen diese Analyse durch spezialisierte Cyber-Due-Diligence-Teams erstellen und reflektieren sie systematisch in ihren Bewertungsmodellen.

Welche Versicherungen decken NIS-2-Risiken angemessen ab?

Standard-D&O-Policen decken zentrale NIS-2-Risiken oft nicht vollständig. Erforderlich ist typischerweise eine Kombination aus: erweiterter D&O mit expliziter Cyber- und Regulatory-Enforcement-Deckung, separater Cyber-Versicherung für Incident-Response-Kosten, Betriebsunterbrechung und Haftpflichtansprüche Dritter, sowie gegebenenfalls spezifischer Supply-Chain-Cyber-Deckung. Bußgelder selbst sind in vielen Jurisdiktionen nicht versicherbar; die Absicherung erstreckt sich dann nur auf Abwehrkosten und Folgeschäden. Die Prüfung durch einen spezialisierten Versicherungsmakler ist vor Closing essenziell.

Verwandte Themen