LAGEBRIEFING · 03.07.2026 DEENFRES

Strategie & Governance/7 Min.

Was die Geschäftsführung unter NIS2 dokumentieren muss

Von Benedikt Langer · 30. Juni 2026

6 Min. Lesezeit

Ein Szenario aus dem BSI-Audit: Die Geschäftsführung hat viel richtig gemacht. Sie hat Budget freigegeben, einen CISO benannt, Maßnahmen priorisiert und den Fortschritt im Blick behalten. Nur steht davon nichts auf Papier. Als der Prüfer fragt, wie die Leitung ihre Überwachungspflicht wahrnimmt, gibt es mündliche Zusicherungen und keine Protokolle. Die Arbeit war da, der Nachweis fehlt. Genau an dieser Stelle entscheidet sich, ob eine gute Sicherheitsorganisation im Audit auch als solche durchgeht. Ein förmlicher Beschluss ist dafür nicht nötig, eine nachvollziehbare Steuerungsspur schon.

Das Wichtigste in Kürze

  • Kein förmlicher Beschluss vorgeschrieben: Paragraf 38 BSIG verlangt, die Maßnahmen umzusetzen und ihre Umsetzung zu überwachen. Das Wort billigen aus der NIS2-Richtlinie steht im deutschen Gesetz nicht.
  • Dokumentation ist ausdrücklich Pflicht: Paragraf 30 Absatz 1 Satz 3 verlangt, die Einhaltung der Maßnahmen zu dokumentieren. Ein Verstoß ist nach Paragraf 65 bußgeldbewehrt.
  • Sechs Gegenstände gehören ins Protokoll: von der Maßnahmen-Dokumentation über Überwachungsnachweise und Steuerungsentscheidungen bis zu Wirksamkeitsbewertung, Schulungsnachweis und Meldekette.
  • Bußgeld trifft die Einrichtung, Haftung die Leitung: Die Rahmen von bis zu 10 Millionen Euro treffen das Unternehmen. Die persönliche Verantwortung der Leitung läuft zivilrechtlich über Paragraf 38 Absatz 2.

Verwandt:Fünf Kennzahlen, die der Aufsichtsrat wirklich versteht  /  Welche Entscheidungsrechte des CISO schriftlich geregelt sein müssen

Was muss die Geschäftsführung unter NIS2 dokumentieren?

Was verlangt das BSIG an Dokumentation von der Geschäftsführung? Das BSIG 2025 verpflichtet die Einrichtung, die Einhaltung ihrer Risikomanagementmaßnahmen zu dokumentieren. Die Geschäftsleitung muss deren Umsetzung überwachen. Aus beidem folgt die Praxis, die getroffenen Sicherheitsentscheidungen, ihre Überwachung und die Schulungsteilnahme so festzuhalten, dass sie in einem BSI-Audit oder in einer Haftungsprüfung belegbar sind.

Der häufigste Irrtum lautet, das Gesetz verlange einen förmlichen Geschäftsführungsbeschluss über die Sicherheitsmaßnahmen. Das ist die europäische, keine deutsche Formulierung. Wer seine Governance auf diesem Missverständnis aufbaut, dokumentiert am Gesetz vorbei. Die tatsächliche Pflicht ist enger definiert und praktisch besser handhabbar, wenn man den Wortlaut kennt.

Umsetzen und überwachen, nicht billigen

Der Blick in den Gesetzestext lohnt sich. Paragraf 38 Absatz 1 BSIG verpflichtet die Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen, die nach Paragraf 30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen. Von einer Billigung oder einem Beschluss ist dort keine Rede.

Die Verwirrung stammt aus der übergeordneten NIS2-Richtlinie. Deren Artikel 20 verlangt, dass die Leitungsorgane die Maßnahmen billigen, ihre Umsetzung überwachen und für Verstöße verantwortlich gemacht werden können. Der deutsche Gesetzgeber hat bei der Umsetzung das Wort billigen durch umsetzen ersetzt, überwachen beibehalten und die Verantwortlichkeit der Leitung in Paragraf 38 Absatz 2 verankert. Für die Praxis heißt das: Eine gesetzliche Pflicht zum formellen Beschluss lässt sich aus dem BSIG nicht ableiten. Das entlastet die Leitung aber nicht, denn Überwachung ohne dokumentierte Spur ist im Audit kaum zu belegen.

Hier setzt die eigentliche Dokumentationspflicht an. Paragraf 30 Absatz 1 Satz 3 BSIG verlangt ausdrücklich, dass die Einhaltung der Verpflichtung zur Ergreifung der Maßnahmen durch die Einrichtung dokumentiert wird. Diese Pflicht trifft die Einrichtung und ist direkt bußgeldbewehrt. Paragraf 65 nennt die fehlende, unrichtige oder unvollständige Dokumentation als eigenen Ordnungswidrigkeitentatbestand. Daneben steht die Leitungspflicht aus Paragraf 38 Absatz 1, die Umsetzung nachweisbar zu überwachen. Diese ist selbst kein Bußgeldtatbestand, verlangt aber praktisch dieselbe dokumentierte Spur. Die beiden Normen zusammen sind der gesetzliche Anker für jede Protokoll-Checkliste.

Sechs Gegenstände, die ins Protokoll gehören

Die folgende Übersicht übersetzt die gesetzlichen Anker in konkrete Dokumente. Das Gesetz schreibt kein Format vor. Entscheidend sind deshalb nachvollziehbare Spuren an den richtigen Stellen, belegbar und aktuell gehalten.

Dokumentationsgegenstand Was festgehalten wird Rechtsgrundlage
Maßnahmen-Dokumentation Alle Maßnahmen nach Paragraf 30 inklusive Verhältnismäßigkeitsabwägung nach Größe, Risiko und Kosten Paragraf 30 Abs. 1 Satz 3 (einzige direkt bußgeldbewehrte Doku-Pflicht)
Überwachungsnachweise Regelmäßige Statusberichte an die Leitung, offene Mängel, Fortschritt, Cyber-Risiko als Tagesordnungspunkt Paragraf 38 Abs. 1 (Umsetzung überwachen)
Steuerungsspur der Leitung Ziele, Budget, Rollen, akzeptierte Restrisiken, Priorisierung der Maßnahmenpakete, festgehalten als Managementspur ohne Beschlusszwang Paragraf 38 Abs. 1 und Paragraf 30 Abs. 1 Satz 1
Wirksamkeitsbewertung Konzepte und Verfahren plus die periodischen Ergebnisse aus Audits, Tests und Übungen Paragraf 30 Abs. 2 Nr. 6
Schulungsnachweise Teilnahmebelege, Inhalte, Datum und beteiligte Mitglieder der Geschäftsleitung Paragraf 38 Abs. 3
Melde- und Krisendokumentation Nachweis der Meldekette bei erheblichen Vorfällen, Information und Steuerung der Leitung in der Krise Paragraf 32 und Paragraf 30 Abs. 2 Nr. 2 und 3

Zwei dieser Gegenstände tragen das meiste Gewicht. Die Maßnahmen-Dokumentation nach Paragraf 30 Absatz 1 Satz 3 ist der einzige Punkt, dessen Fehlen unmittelbar einen Bußgeldtatbestand erfüllt. Die Überwachungsnachweise nach Paragraf 38 Absatz 1 sind der Beleg dafür, dass die Leitung selbst gesteuert und die Verantwortung nicht allein nach unten gegeben hat. Genau dieser Beleg entscheidet im Haftungsfall.

Für alle sechs Gegenstände gilt dasselbe handwerkliche Minimum: ein klarer Ablageort, eine benannte verantwortliche Person, ein Versionsstand und ein fester Aktualisierungsrhythmus. Ohne diese Dokumentenlenkung verliert auch eine inhaltlich gute Sammlung im Audit an Wert, weil sich Aktualität und Zuständigkeit nicht belegen lassen.

Was das BSI sehen will und wen die Sanktion trifft

Das Gesetz gibt dem BSI weitreichende Aufsichtsbefugnisse. Paragraf 61 erlaubt bei besonders wichtigen Einrichtungen die Anordnung von Audits und Prüfungen, die Anforderung von Nachweisen und die Vorlage von Aufzeichnungen, Schriftstücken und sonstigen Unterlagen. Bei wichtigen Einrichtungen greift diese Aufsicht nach Paragraf 62 erst bei einem begründeten Verdacht. Ausdrücklich prüfbar ist auch die Schulungspflicht der Geschäftsleitung nach Paragraf 38 Absatz 3. Ein festes Prüfschema oder ein vorgeschriebenes Protokollformat nennt das Gesetz nicht. Geprüft wird die materielle Erfüllung der Pflichten aus Paragraf 30 und Paragraf 32 samt der Umsetzungs- und Überwachungspflicht der Leitung aus Paragraf 38 Absatz 1 und Absatz 3.

Bei den Sanktionen lohnt eine saubere Trennung, die in vielen Darstellungen verschwimmt. Die oft zitierten Bußgeldrahmen aus Paragraf 65 treffen die Einrichtung, nicht persönlich die Geschäftsführung. Für besonders wichtige Einrichtungen liegt der Rahmen bei bis zu 10 Millionen Euro oder bei einem Gesamtumsatz über 500 Millionen Euro bei bis zu 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen sind es bis zu 7 Millionen Euro oder bis zu 1,4 Prozent. Diese Beträge sind Höchstrahmen für den Einzelfall, die dem Grundsatz der Verhältnismäßigkeit unterliegen, keine Regelsätze. Sie knüpfen an Verstöße gegen die Maßnahmen- und Meldepflichten an, etwa gegen die Dokumentationspflicht aus Paragraf 30 Absatz 1 Satz 3.

Die persönliche Verantwortung der Leitung läuft über einen anderen Weg. Paragraf 38 Absatz 2 knüpft an eine schuldhafte Pflichtverletzung eine Innenhaftung der Leitung gegenüber der eigenen Einrichtung nach den Regeln des Gesellschaftsrechts. In schweren Fällen kann bei besonders wichtigen Einrichtungen die zuständige Aufsichtsbehörde auf Mitteilung des BSI nach Paragraf 61 Absatz 9 die vorübergehende Untersagung der Leitungstätigkeit anordnen, wenn eine Anordnung trotz Frist nicht befolgt wird. Für die Praxis heißt das: Wer als Geschäftsleitung dokumentiert, wie überwacht und gesteuert wurde, macht die eigene Organisation auditfähig. Die Protokolle sind das Instrument, mit dem sich die aktive Wahrnehmung der Pflicht später belegen lässt, im BSI-Audit ebenso wie in einer Haftungsprüfung.

Häufige Fragen

Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.

Muss die Geschäftsführung NIS2-Maßnahmen förmlich beschließen?

Nein. Paragraf 38 BSIG verlangt, die Maßnahmen umzusetzen und ihre Umsetzung zu überwachen, nicht sie zu billigen oder zu beschließen. Eine formelle Beschlusspflicht folgt aus dem Gesetzestext nicht. Protokolle sind ein Governance-Instrument zur Nachweisführung, kein gesetzlich benannter Billigungsakt.

Welche Dokumentation ist unter dem BSIG ausdrücklich Pflicht?

Paragraf 30 Absatz 1 Satz 3 verlangt, die Einhaltung der Risikomanagementmaßnahmen zu dokumentieren. Das ist die einzige ausdrückliche Dokumentationspflicht mit eigenem Bußgeldtatbestand nach Paragraf 65. Ergänzend setzen die Wirksamkeitsbewertung nach Paragraf 30 Absatz 2 Nummer 6 und die Überwachung nach Paragraf 38 Absatz 1 schriftliche Spuren voraus.

Wie hoch sind die Bußgelder nach dem BSIG?

Nach Paragraf 65 liegen die Rahmen bei besonders wichtigen Einrichtungen bei bis zu 10 Millionen Euro oder bei bis zu 2 Prozent des weltweiten Jahresumsatzes, bei wichtigen Einrichtungen bei bis zu 7 Millionen Euro oder bis zu 1,4 Prozent. Die Umsatzgrenze greift ab einem Gesamtumsatz über 500 Millionen Euro. Die Bußgelder treffen die Einrichtung. Die persönliche Verantwortung der Leitung läuft über die gesellschaftsrechtliche Innenhaftung nach Paragraf 38 Absatz 2.

Muss die Geschäftsführung persönlich an Schulungen teilnehmen?

Der Gesetzestext verlangt in Paragraf 38 Absatz 3, dass die Geschäftsleitung regelmäßig an Schulungen teilnimmt. Die Wörter persönlich oder nicht delegierbar stehen dort nicht. Die Pflicht richtet sich an die Mitglieder der Geschäftsleitung als natürliche Personen. Für das Audit sollten Teilnahme, Inhalte und Regelmäßigkeit belegbar sein.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

Digital ChiefsGeopolitik trifft die Datacenter-Roadmap: Was CIOs jetzt absichernMyBusinessFutureEU AI Act: Was der Mittelstand kennzeichnen musscloudmagazinXFS4IoT trifft Cloud: Der Geldautomat wird Plattform

Bildquelle: KI-generiert (Juli 2026)

Weiterführende Lektüre

Strategie & Governance · 2. Juli 2026

Fünf Posten, die vor dem SIEM Budget brauchen

Security-Budget als Risikofinanzierung: welche fünf Posten ein CISO vor dem ersten teuren Tool finanziert und wie Paragraf 30 BSIG das stützt.

Innovation · 29. Juni 2026

DORA im Betrieb: Was die Aufsicht sehen will

DORA gilt seit 2025, doch erst die Hälfte der Finanzinstitute ist compliant. 2026 zählen Register-Meldung, Penetrationstests und CTPP-Aufsicht.

Ein Magazin der Evernine Media GmbH