Wissen/NIS2 für Familienunternehmen: Was ist anders?

NIS2 für Familienunternehmen: Was ist anders?

Familienunternehmen und NIS2: Verantwortung der Leitungsorgane bei mehrstufigen Strukturen, Generationswechsel, Asset-/Share-Deals, Fördermöglichkeiten. Strukturfragen abhängig von Gesellschafterkreis und Sektor.

ComplyCheck-Redaktion · Stand: 2026-06-30

NIS2KMUFamilienunternehmenQuick-Decision

NIS2 für Familienunternehmen: Was ist anders?

NIS2 unterscheidet rechtlich nicht zwischen familiengeführten und nicht-familiengeführten Einrichtungen. In der praktischen Anwendung treffen die Anforderungen des Art. 20 NIS2 jedoch auf typische Strukturen von Familienunternehmen — Beirat, mehrstufige Gesellschafterkreise, Übergaben — und erzeugen dort spezifische Strukturfragen. Dieser Beitrag ordnet sie ein, ohne pauschale Lösungsversprechen.

Wichtig

Diese Einordnung ist eine pauschale Orientierung auf Basis öffentlicher Quellen. Sie ersetzt keine Einzelfall-Prüfung durch qualifizierte Beratung. Die konkrete Pflichtenstellung und die geeignete Strukturierung hängen von der Gesellschaftsform, dem Gesellschafterkreis, dem Sektor und der Transaktionsstruktur ab — eine gesellschaftsrechtliche Beratung ist regelmäßig sinnvoll.
Rechtsstand

Das deutsche NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten (BGBl. 2025 I Nr. 301). Registrierungs- und Meldepflichten gelten — Selbst-Registrierung beim BSI binnen 3 Monaten ab Geltungsbeginn der Einrichtung. EU-Grundlage: Richtlinie (EU) 2022/2555.

Welche regulatorischen Vorgaben sind einschlägig?

Art. 20 Abs. 1 NIS2 verpflichtet die Leitungsorgane wesentlicher und wichtiger Einrichtungen, die Risikomanagement-Maßnahmen nach Art. 21 NIS2 zu billigen, ihre Umsetzung zu überwachen und für etwaige Verstöße zu haften. Art. 20 Abs. 2 NIS2 normiert die Schulungspflicht der Leitungsorgane und die Verpflichtung, Beschäftigten regelmäßige Cybersicherheits-Schulungen zu ermöglichen.

Detail

Der Begriff „Leitungsorgan" ist im deutschen Umsetzungsrecht (§ 38 NIS2UmsuCG) im Anschluss an die nationalen Gesellschaftsformen auszulegen. Maßgeblich sind die Personen, die nach Gesellschaftsvertrag, Satzung und Handelsregister mit der Geschäftsführung betraut sind — bei der GmbH der Geschäftsführer, bei der AG der Vorstand, bei der KG der persönlich haftende Gesellschafter mit Geschäftsführungsbefugnis.

Bei Familienunternehmen kommen ergänzend gesellschaftsrechtliche Strukturen hinzu, die nicht unmittelbar im handelsregisterlichen Geschäftsführungs-Status abgebildet sind:

  • Beirat / Aufsichtsrat (oft mit weitreichenden Mitspracherechten in Familienunternehmen) — die Einbeziehung in die NIS2-Berichts- und Aufsichtsstruktur ist abhängig von der konkreten Geschäftsordnung.
  • Familienpool / Familienholding / Familienstiftung — die wirtschaftliche Steuerungs-Kompetenz kann von der formalen Geschäftsführung abweichen.
  • Stille Gesellschafter — formal nicht in der Geschäftsführung, faktisch oft mit Einfluss.
  • Externe Geschäftsführung (Fremdmanagement bei Senior-/Junior-Übergangen) — die Verteilung der NIS2-Verantwortung zwischen Familienseite und externer Geschäftsführung ist vertraglich zu regeln.

Welche Konstellation passt zu deinem Unternehmen?

Die einschlägige Strukturierung hängt vom Aufbau ab:

  • Klassische GmbH mit einem Geschäftsführer und überschaubarem Gesellschafterkreis ohne Beirat: Die NIS2-Verantwortung ist eindeutig dem Geschäftsführer zugeordnet; spezifische Familienunternehmens-Strukturfragen sind regelmäßig nicht relevant.
  • Familienunternehmen mit Beirat oder Aufsichtsrat: Die Berichts- und Schulungs-Struktur sollte den Beirat einbeziehen, sofern dieser nach Geschäftsordnung Mitsprache- oder Überwachungsrechte über IT-/Compliance-Themen hat.

Detail

  • Mehrgenerationen-Familienunternehmen mit verteilten Gesellschafter-Funktionen: Eine formale Compliance-Owner-Bestellung auf Geschäftsleitungs- oder Prokurist-Ebene schafft eine stabile Anker-Rolle über Generationen-Übergänge hinweg.
  • Familienunternehmen vor Generations- oder Inhaberwechsel: Eine vorausschauende Compliance-Übergabe-Struktur (Asset-Inventar, Dienstleisterverträge, Maßnahmen-Status) ist regelmäßig sinnvoll — sie ist nicht NIS2-spezifisch, wird durch NIS2 aber schwerer aufschiebbar.

Welcher Aufbau-Rahmen ist verbreitet?

In Familienunternehmen mit mehrstufigen Strukturen sind die folgenden Bausteine verbreitet — die konkrete Ausgestaltung hängt von Gesellschaftsform und Gesellschaftervereinbarung ab:

Schriftliche Zuweisungsmatrix für die NIS2-Berichtskette: Eine eigenständige, in die Geschäftsordnung eingebettete Übersicht regelt, welche Person (mit Name und Funktion) NIS2-Berichte erhält, in welchem Rhythmus und mit welchem Detaillierungsgrad. Sie ersetzt nicht die gesellschaftsrechtliche Geschäftsführungs-Struktur, ergänzt sie aber um die NIS2-spezifischen Kommunikationswege.

Detail

Formale Compliance-Owner-Funktion: Eine intern benannte Person — häufig aus dem kaufmännischen Bereich, ein IT-Hintergrund ist nicht zwingend — fungiert als operative Schnittstelle zur Geschäftsführung, zu externen Dienstleistern und ggf. zur Aufsichtsbehörde. Diese Rolle ist über Generations-Übergänge hinweg stabil und ist Anker-Punkt für externe Auditoren. Aufwand: typischerweise 0,2-0,5 Personentage pro Monat plus jährliche Fortbildung.

Compliance-Übergabe-Dokumentation für Nachfolge-Phasen: Eine strukturierte Übergabe-Dokumentation umfasst Asset-Inventar, Liste aller IT-Dienstleister mit Vertragsstand, Status der einschlägigen Mindestmaßnahmen, offene Maßnahmen mit Verantwortlichen und Fristen. Diese Dokumentation ist Bestandteil einer professionellen Nachfolge-Vorbereitung — sie ist nicht NIS2-exklusiv, wird durch NIS2 aber unverzichtbar.

Transaktionsstruktur-bewusste Vertragsgestaltung bei Unternehmensnachfolge:

  • Bei einem Share-Deal (Anteilsverkauf) bleibt die juristische Person identisch — NIS2-Pflichten bleiben bei der Gesellschaft; die persönliche Verantwortung nach Art. 20 NIS2 wechselt mit der Geschäftsführung.
  • Bei einem Asset-Deal (Verkauf einzelner Vermögensgegenstände) ist die NIS2-Pflichtenstellung des Erwerbers gesondert zu prüfen; die Registrierung bei der zuständigen Aufsicht und die Übergabe der Dokumentation sind vertraglich zu regeln.
  • Übliche Garantie- und Freistellungsklauseln in Kaufverträgen decken typischerweise einen Zeitraum von 12-36 Monaten ab; die genaue Ausgestaltung ist Verhandlungsgegenstand.

Förderprogramme zur IT-Sicherheits-Investition: BMWK „go-digital" (Zuschüsse für IT-Sicherheits-Projekte, Förderhöhe und -konditionen variabel), Länder-Digitalprogramme (z.B. NRW Digital-Gutschein, Bayern Digitalbonus, BW Digitalisierungsprämie Plus) sowie KfW-Digitalisierungskredite. Förderanträge müssen typischerweise vor Projektstart gestellt werden — die Förderlogik ist in den NIS2-Fahrplan zu integrieren.

Welche Konstellationen erfordern abweichendes Vorgehen?

Der hier skizzierte Strukturrahmen ist nicht ausreichend oder nicht das geeignete Modell, sofern eine der folgenden Konstellationen vorliegt:

  • Wesentliche Einrichtung in einem hochkritischen Sektor (Anhang I NIS2): Regelmäßig sind formalisierte Aufsichtsrats- oder Beirats-Strukturen zur Cybersicherheits-Steuerung einschlägig; die hier skizzierte schlanke Compliance-Owner-Funktion ist dann typischerweise nicht ausreichend.
  • KRITIS-Betreiber nach BSI-Kritisverordnung: Die Anforderungen nach § 8a BSIG (insb. die Audit-Pflicht) gelten unabhängig von der Eigentümerstruktur und sind durch familienunternehmens-typische Vereinfachungen nicht substituierbar.

Detail

  • Komplexe Familienholding-Struktur mit verbundenen Unternehmen: Die NIS2-Bewertung erfolgt ggf. konsolidiert; die Schwellwert-Logik der Empfehlung 2003/361/EG ist im Verbund zu prüfen.
  • Aktive Transaktion (Verkauf, Spaltung, Verschmelzung) während des NIS2-Implementierungsfensters: Eine gesellschafts- und transaktionsrechtliche Begleitung ist regelmäßig zwingend.
  • Mehrjurisdiktionale Familienunternehmen mit EU- oder Drittlands-Töchtern: Die Zuständigkeits-Klärung nach Art. 26 NIS2 ist gesondert zu prüfen.

Nächster Schritt

Eine erste Einordnung des voraussichtlichen NIS2-Status liefert der NIS2-Scope-Check. Bei Konzern- oder Familienholding-Strukturen ist die Scope-Klärung Ausgangspunkt für die anschließende gesellschaftsrechtliche Strukturierung.

Bei mehrstufigen Gesellschafterkreisen, Beirats-Strukturen oder anstehenden Generations-Übergängen ist eine Begleitung durch eine auf Gesellschafts- und Compliance-Recht spezialisierte Anwaltskanzlei in Verbindung mit einer IT-Sicherheits-Beratung regelmäßig sinnvoll. Die hier dargestellten Informationen sind redaktionell aufbereitet und ersetzen keine Rechtsberatung im Einzelfall.

Hintergrund zur persönlichen Haftung der Leitungsorgane: NIS2 Bußgelder und Haftung der Geschäftsleitung.

Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 30. Juni 2026.

Verantwortlich i.S.d. § 18 MStV: siehe Impressum.

Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de

Artikel teilen
CC

Compliance-Updates ohne GRC-Bloat

NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.

🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU

Das könnte dich auch interessieren

Kommentare (0)

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft.