NIS2 und die Geschäftsführerhaftung: Was Vorstände persönlich riskieren

1 Min. Lesezeit

NIS2 macht Cybersecurity zur Chefsache – im wörtlichen Sinne. Geschäftsführer und Vorstände können persönlich haftbar gemacht werden, wenn Sicherheitsmaßnahmen unzureichend sind. Die Delegierung an die IT-Abteilung reicht nicht mehr. Wer Security nicht versteht, darf sie trotzdem nicht ignorieren.

Das Wichtigste in Kürze

NIS2 Art. 20: Leitungsorgane müssen Risikomanagement-Maßnahmen billigen und deren Umsetzung überwachen
Persönliche Haftung: Geschäftsführer können bei Pflichtverletzungen persönlich sanktioniert werden
Pflichtschulung: Leitungsorgane müssen regelmäßig an Cybersecurity-Schulungen teilnehmen
Bußgelder: bis 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes

Was NIS2 von der Geschäftsführung verlangt

Artikel 20 NIS2 ist unmissverständlich: Die Leitungsorgane (Geschäftsführer, Vorstände, Aufsichtsräte) müssen die Cybersecurity-Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und können für Verstöße haftbar gemacht werden. Cybersecurity ist keine IT-Aufgabe mehr – sie ist eine Governance-Pflicht auf höchster Ebene.

Konkret bedeutet das: Der Geschäftsführer muss die Security-Strategie kennen, die Risiken verstehen und aktiv Entscheidungen treffen. „Das hat die IT gemacht“ ist keine Verteidigung mehr.

Persönliche Haftung: Was das in der Praxis bedeutet

Die NIS2-Richtlinie erlaubt den Mitgliedstaaten, natürliche Personen – also Geschäftsführer persönlich – für Pflichtverletzungen zu sanktionieren. In Deutschland wird das durch das NIS2-Umsetzungsgesetz konkretisiert. Mögliche Konsequenzen: Bußgelder gegen die Person, vorübergehendes Verbot der Ausübung von Leitungsfunktionen und zivilrechtliche Haftung gegenüber dem Unternehmen.

Die Haftung greift nicht bei jedem Sicherheitsvorfall, sondern bei nachweislicher Pflichtverletzung: fehlende Risikoanalyse, ignorierte Audit-Empfehlungen, unterlassene Schulung oder Missachtung von Meldepflichten.

Die Pflichtschulung: Security-Kompetenz auf C-Level

NIS2 fordert explizit, dass Mitglieder der Leitungsorgane an regelmäßigen Cybersecurity-Schulungen teilnehmen. Das ist keine optionale Empfehlung, sondern eine prüfbare Pflicht. Die Schulung muss nachweisbar sein – Datum, Inhalt, Teilnahme.

Der Inhalt muss kein technisches Deep-Dive sein: Verständnis der Bedrohungslage, Kenntnis der wichtigsten Risiken für das eigene Unternehmen, Verständnis der Schutzmaßnahmen und Fähigkeit, informierte Entscheidungen über Security-Investitionen zu treffen.

Compliance-Fahrplan für Geschäftsführer

Fünf Schritte: Erstens, Betroffenheitsanalyse – fällt das Unternehmen unter NIS2 (Sektoren, Schwellenwerte)? Zweitens, Gap-Analyse – welche der 10 Mindestmaßnahmen (Art. 21) sind bereits umgesetzt? Drittens, Risikomanagement formalisieren und vom Leitungsorgan beschließen lassen. Viertens, Meldeprozesse etablieren (24h-Erstmeldung, 72h-Folgemeldung). Fünftens, Schulungsprogramm für die Geschäftsführung einrichten und dokumentieren.

Der wichtigste Rat: Dokumentation. Jede Entscheidung, jede Maßnahme, jede Schulung muss nachweisbar sein. Im Haftungsfall zählt nicht, was gemacht wurde – sondern was nachgewiesen werden kann.

Key Facts

Bußgelder: Bis 10 Mio. EUR oder 2 Prozent des globalen Jahresumsatzes

Betroffene: Geschätzt 30.000+ Unternehmen in Deutschland

Persönliche Sanktionen: Bußgelder gegen natürliche Personen und temporäres Management-Verbot möglich

Häufige Fragen

Kann ich die NIS2-Verantwortung an den CISO delegieren?

Die operative Umsetzung ja, die Governance-Pflicht nein. Die Geschäftsführung muss die Maßnahmen billigen und deren Umsetzung überwachen. Der CISO ist das ausführende Organ – die Verantwortung bleibt auf C-Level.

Ab wann gilt NIS2?

Die EU-Richtlinie musste bis Oktober 2024 in nationales Recht umgesetzt werden. Deutschland ist im Verzug, das NIS2-Umsetzungsgesetz wird 2025 erwartet. Unternehmen sollten die Umsetzung nicht aufschieben – die Anforderungen sind bekannt und der Zeitdruck real.

Deckt eine D&O-Versicherung NIS2-Haftung?

Standardmäßig ja, solange kein Vorsatz vorliegt. Prüfen Sie jedoch die Ausschlussklauseln: Einige D&O-Policen schließen regulatorische Bußgelder aus. Eine explizite Erweiterung für Cyber-Governance-Haftung kann sinnvoll sein.