NIS2 verlangt die Zuverlässigkeitsüberprüfung Ihres Personals — wörtlich

Das Wichtigste zuerst: Das deutsche NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft. Wer darunter fällt, muss nicht nur die IT absichern, sondern auch organisatorische Maßnahmen umsetzen — darunter die dokumentierte Zuverlässigkeitsüberprüfung von Mitarbeitenden in sicherheitsrelevanten Rollen. Und die Geschäftsleitung steht dafür gerade.

NIS2 ist keine Zukunftsmusik mehr

Die EU-Frist zur Umsetzung der NIS2-Richtlinie lief bereits im Oktober 2024 ab. Deutschland hat verspätet umgesetzt: Das NIS2-Umsetzungsgesetz wurde im Dezember 2025 verkündet und ist in Kraft. Wer auf ein „kommt ja erst noch“ gesetzt hat, liegt falsch — die Pflichten gelten jetzt.

Der Kreis der Betroffenen ist groß. NIS2 unterscheidet zwei Hauptkategorien:

• Besonders wichtige Einrichtungen — u. a. große Unternehmen mit mindestens 250 Beschäftigten oder mehr als 50 Mio. EUR Jahresumsatz (und über 43 Mio. EUR Bilanzsumme), dazu bestimmte Anbieter unabhängig von der Größe.

• Wichtige Einrichtungen — mittlere Unternehmen ab 50 Beschäftigten oder mehr als 10 Mio. EUR Umsatz und Bilanzsumme, sowie große Unternehmen in den benannten Sektoren.

Hinzu kommen die klassischen Betreiber kritischer Anlagen (KRITIS). Nach gängigen Schätzungen fallen in Deutschland rund 29.000 Einrichtungen unter das Regime — viele zum ersten Mal und ohne etablierte Sicherheits-Governance.

Der Satz, den viele überlesen

NIS2 gilt im öffentlichen Bild als „Cyber-Gesetz“ — Firewalls, Incident Response, Meldepflichten. Das greift zu kurz. Artikel 21 Absatz 2 der Richtlinie zählt die Mindestmaßnahmen auf, und Buchstabe (i) nennt ausdrücklich die „Sicherheit des Personals“ als eigenen Baustein.

Die deutsche Umsetzungsverordnung wird konkret. Im Anhang, Abschnitt 10.2.1, heißt es, Einrichtungen müssten „Zuverlässigkeitsüberprüfungen ihrer Mitarbeitenden“ durchführen — und zwar, „wenn dies für deren Rollen, Verantwortlichkeiten und Weisungsbefugnisse erforderlich ist“. Die Pflicht erstreckt sich ausdrücklich auch auf direkte Lieferanten und Dienstleister, soweit relevant.

Drei Punkte sind entscheidend:

1. Es geht um Rollen, nicht um alle. Geprüft wird, wer Zugriff auf sensible Systeme, Daten oder Befugnisse hat.

2. Die Prüfung erfolgt vor Aufnahme der sensiblen Tätigkeit — ein nachgelagerter Check verfehlt den Zweck.

3. Verhältnismäßigkeit ist erlaubt, Beliebigkeit nicht. Die Maßnahme darf risikoangemessen ausfallen, muss aber nach definierten Kriterien erfolgen und überprüfbar sein.

Warum ein Häkchen nicht reicht

„Wir schauen uns die Leute schon an“ ist keine NIS2-konforme Antwort. Der Unterschied zwischen einer beiläufigen Sichtung und einer belastbaren Zuverlässigkeitsüberprüfung liegt in der Nachweisbarkeit.

Eine Aufsicht — oder im Schadensfall ein Gericht — fragt nicht, ob Sie „ein gutes Gefühl“ hatten. Sie fragt: Nach welchen Kriterien haben Sie sicherheitsrelevante Rollen bestimmt? Welche Quellen haben Sie geprüft? Wann, durch wen, mit welchem Ergebnis? Und wie stellen Sie sicher, dass die Prüfung bei Rollenwechseln wiederholt wird?

Eine Zuverlässigkeitsüberprüfung, die diesem Anspruch genügt, umfasst typischerweise den Abgleich mit Sanktionslisten, die Prüfung auf den Status als politisch exponierte Person (PEP) sowie eine strukturierte Adverse-Media-Recherche — und hält das Ergebnis in einer Form fest, die man zur Akte nehmen kann.

Was die Geschäftsleitung jetzt verantwortet

NIS2 verschiebt die Verantwortung nach oben. Artikel 20 verpflichtet die Leitungsorgane, die Risikomanagement-Maßnahmen zu billigen und ihre Umsetzung zu überwachen — und sieht vor, dass sie für Verstöße in die Verantwortung genommen werden können. Personalsicherheit lässt sich also nicht vollständig delegieren; sie ist Chefsache.

Praktisch heißt das vier Schritte:

• Sensible Rollen definieren. Welche Funktionen rechtfertigen eine Überprüfung? Kriterien schriftlich festhalten.

• Prüfumfang festlegen. Welche Quellen (Sanktionen, PEP, Adverse Media, ggf. Register) sind je nach Risiko angemessen?

• Dokumentieren. Jede Prüfung mit Zeitpunkt, Quelle und Ergebnis auditfest ablegen.

• Wiederholen. Die Richtlinie in geplanten Abständen und bei Rollenwechseln überprüfen.

Die Sanktionen — nüchtern betrachtet

NIS2 ist mit spürbaren Bußgeldrahmen unterlegt: für besonders wichtige Einrichtungen bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt), für wichtige Einrichtungen bis zu 7 Mio. EUR oder 1,4 %. Diese Rahmen wurden in deutsches Recht übernommen. Wichtiger als die reine Bußgeldhöhe ist jedoch die persönliche Mitverantwortung der Leitung — und der Reputationsschaden, der einem dokumentierten Versäumnis folgt.

Vom Pflicht-Satz zum Prozess

Der Schritt vom Gesetzestext zur gelebten Praxis scheitert selten am Willen, sondern am Aufwand. Eine manuelle Zuverlässigkeitsüberprüfung — Sanktionslisten, PEP, Adverse Media, sauber dokumentiert — bindet je Person Stunden und ist schwer skalierbar, sobald mehrere Rollen und wiederkehrende Prüfungen zusammenkommen.

Genau hier setzt Indicium an: Die Plattform verdichtet hunderte Quellen zu einem strukturierten, auditfesten Risikoreport — in Minuten statt Tagen, DSGVO-konform und „Made in Europe“, mit menschlicher Letztkontrolle statt Black-Box. Aus dem Pflicht-Satz im Anhang wird so ein wiederholbarer Prozess, den man der Aufsicht zeigen kann. So funktioniert ein Check mit Indicium →

Quellen

• Europäische Kommission — NIS2-Richtlinie: digital-strategy.ec.europa.eu

• NIS2UmsVO-Anhang, Abschnitt 10.2 — Zuverlässigkeitsüberprüfung: nis2-umsetzung.com

• openKRITIS — NIS2-Umsetzung in Deutschland: openkritis.de

• Deutscher Bundestag — KRITIS-Dachgesetz: bundestag.de

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall.

Weiterlesen — verwandte Artikel

• Sanktionslisten-Screening: Was Unternehmen wissen müssen

• PEP-Prüfung: Politisch exponierte Personen