NIS2 und Deepfakes: Was Unternehmen jetzt beachten müssen

Das Wort "Deepfake" kommt im NIS2-Gesetz nicht vor - und trotzdem hat die neue Cybersicherheits-Regulierung viel mit dem Thema zu tun. Seit Dezember 2025 verpflichtet NIS2 in Deutschland rund 30.000 Unternehmen zu einem strukturierten Schutz gegen Cyberbedrohungen, und Deepfake-gestütztes Social Engineering gehört zu genau den Risiken, die dabei zu beherrschen sind. Diese Seite erklärt den Zusammenhang - und warum er besonders die Geschäftsführung angeht.

Zur Einordnung

Was NIS2 überhaupt ist

NIS2 ist eine EU-Richtlinie zur Cybersicherheit, die in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (kurz NIS2UmsuCG) in nationales Recht gegossen wurde. Es ist seit dem 6. Dezember 2025 in Kraft und novelliert das BSI-Gesetz. Der Kern: Unternehmen in bestimmten Sektoren müssen ein strukturiertes Cybersicherheits-Risikomanagement betreiben, Sicherheitsvorfälle melden und sich beim BSI registrieren.

Das Bemerkenswerte an NIS2 ist die enorme Ausweitung des betroffenen Kreises. Wo früher vor allem klassische kritische Infrastrukturen reguliert waren - einige tausend Unternehmen -, fallen jetzt schätzungsweise 30.000 Einrichtungen aus 18 Sektoren darunter. Die Schwelle liegt grundsätzlich bei 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in einem der regulierten Sektoren. Für viele Mittelständler - etwa aus Maschinenbau, Chemie, Lebensmittelproduktion oder digitaler Infrastruktur - ist das die erste verbindliche Cybersicherheitspflicht überhaupt, und viele wissen noch nicht, dass sie betroffen sind.

Der entscheidende Punkt: die persönliche Haftung der Geschäftsführung

Ein Element von NIS2 verdient besondere Aufmerksamkeit, weil es die Cybersicherheit aus der IT-Abteilung heraus in die Chefetage verlagert: die persönliche Haftung der Geschäftsleitung.

Nach dem Gesetz ist Cybersicherheit ausdrücklich Chefsache. Die Geschäftsführung muss die Risikomanagementmaßnahmen nicht nur formal genehmigen, sondern deren Umsetzung aktiv überwachen - und sie haftet bei Verstößen persönlich. Diese Verantwortung ist nicht vollständig an die IT delegierbar. Zusätzlich sind Geschäftsführer verpflichtet, an Schulungen zur Cybersicherheit teilzunehmen. Für Verstöße drohen empfindliche Bußgelder - bei besonders wichtigen Einrichtungen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Das ist der Grund, warum NIS2 auch für das Deepfake-Thema so relevant ist: Es macht den Schutz vor Social Engineering zu einer Frage, die den Vorstand persönlich betrifft - nicht nur die Technik.

Wo Deepfakes ins Spiel kommen

NIS2 nennt Deepfakes nicht beim Namen. Aber das Gesetz verlangt einen risikobasierten Ansatz: Unternehmen müssen die für sie relevanten Cyberrisiken erfassen und angemessene Maßnahmen dagegen ergreifen. Und Deepfake-gestütztes Social Engineering - der gefälschte Anruf des Chefs, die manipulierte Videokonferenz - ist ein solches Risiko, das ein sorgfältiges Risikomanagement heute nicht mehr ignorieren kann.

Mehrere der von NIS2 geforderten Maßnahmen adressieren genau diese Bedrohung, ohne sie ausdrücklich zu benennen:

Der Katalog der Risikomanagementmaßnahmen umfasst unter anderem gesicherte Sprach-, Video- und Textkommunikation - also genau die Kanäle, die Deepfake-Angriffe missbrauchen. Er umfasst Konzepte zur Bewältigung von Sicherheitsvorfällen, unter die auch ein Deepfake-Betrugsfall fällt. Und er umfasst die Schulung und Sensibilisierung von Mitarbeitern - die wichtigste Verteidigungslinie gegen Social Engineering überhaupt. Wer NIS2 ernst nimmt, kommt am Deepfake-Thema also nicht vorbei.

Was das konkret für den Deepfake-Schutz bedeutet

Die gute Nachricht: Die Maßnahmen, die gegen Deepfake-Betrug wirken, sind weitgehend dieselben, die ein NIS2-konformes Risikomanagement ohnehin verlangt. Wer das eine tut, erfüllt ein Stück weit auch das andere.

Deepfake-Schutz im NIS2-Kontext

  • Erfassen Sie Deepfake-gestütztes Social Engineering ausdrücklich in Ihrer Risikoanalyse - benannt, nicht nur implizit mitgemeint.
  • Etablieren Sie verbindliche Verifikationsprozesse für sensible Vorgänge (Rückruf-Regel, Vier-Augen-Prinzip, Codewort) und dokumentieren Sie sie - Dokumentation ist im NIS2-Kontext zentral.
  • Nehmen Sie Deepfake-Szenarien in Ihre Awareness-Schulungen auf, für Mitarbeiter mit Zahlungsbefugnis ebenso wie für die Geschäftsführung.
  • Definieren Sie einen Meldeweg und einen Reaktionsplan für den Verdachtsfall, der sich in Ihr NIS2-Vorfallmanagement einfügt.
  • Behandeln Sie das Thema als Führungsaufgabe - angesichts der persönlichen Haftung gehört es auf die Agenda der Geschäftsleitung, nicht allein in die IT.

Über NIS2 hinaus: der praktische Blick

So wichtig die regulatorische Perspektive ist - man sollte NIS2 nicht als bloße Pflichtübung begreifen. Der eigentliche Wert liegt darin, dass das Gesetz Unternehmen zu etwas zwingt, das ohnehin sinnvoll ist: sich systematisch mit ihren Risiken auseinanderzusetzen, statt zu hoffen, dass nichts passiert.

Für den Deepfake-Schutz bedeutet das: NIS2 liefert den regulatorischen Anlass, die organisatorischen Schutzmaßnahmen einzuführen, die wir auf dieser Seite ohnehin empfehlen. Die Verifikationsprozesse, die einen Deepfake-Betrug verhindern, sind zugleich Bausteine eines NIS2-konformen Risikomanagements. Pflicht und Sinn fallen hier ausnahmsweise zusammen. Wie diese Prozesse konkret aussehen, beschreibt der Leitfaden zu Verifikationsprozessen. Welche weiteren rechtlichen Vorgaben - etwa die Kennzeichnungspflicht des AI Act - für Unternehmen gelten, behandelt die Seite zum AI Act.

Weiterführend auf deepfake.de

Norbert Hofmann, Cyber Defense Analyst und Betreiber von deepfake.de

Norbert Hofmann

Cyber Defense Analyst

Über den AutorLinkedIn