NIS2 und Geschäftsführerhaftung: Warum Cybersecurity jetzt Chefsache ist

NIS2 führt eine persönliche Haftung der Geschäftsführung für Cybersecurity ein. Vorstands- und Geschäftsführungsmitglieder müssen Security-Maßnahmen genehmigen und deren Umsetzung überwachen – bei Verstößen drohen persönliche Bußgelder.

Das Wichtigste in Kürze

NIS2 führt eine persönliche Haftung der Geschäftsführung für Cybersecurity ein. Vorstands- und Geschäftsführungsmitglieder müssen Security-Massnahmen genehmigen, deren Umsetzung überwachen und an Schulungen teilnehmen. Bei Verstößen drohen persönliche Bussgelder und temporäre Tätigkeitsverbote.

Cybersecurity war in vielen Unternehmen bisher ein IT-Thema. NIS2 ändert das fundamental: Artikel 20 der Richtlinie macht die Leitungsebene persönlich verantwortlich.

Was Artikel 20 konkret fordert

Die Leitungsorgane betroffener Unternehmen müssen:

Genehmigen: Die Cybersecurity-Risikomanagement-Massnahmen formal freigeben
Überwachen: Die Umsetzung der Massnahmen aktiv kontrollieren
Schulung absolvieren: Regelmäßig an Cybersecurity-Schulungen teilnehmen
Haften: Für Verstöße persönlich einstehen

Sanktionen bei Verstößen

NIS2 sieht abgestufte Sanktionen vor:

Wesentliche Einrichtungen: Bis 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes
Wichtige Einrichtungen: Bis 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes
Persönliche Sanktionen: Temporäres Verbot der Ausübung von Leitungsfunktionen

Praktische Konseqünzen für die C-Suite

Regelmäßiges Security-Reporting: CISOs müssen quartalsweise an Vorstand/Geschäftsführung berichten. Das Reporting muss Risikobewertungen, Vorfälle und Massnahmenstatus umfassen.

Budget-Verantwortung: Die Geschäftsführung kann Cybersecurity-Investitionen nicht mehr mit Verweis auf andere Prioritäten ablehnen, ohne Haftungsrisiken einzugehen.

Persönliche Weiterbildung: Vorstandsmitglieder müssen Cybersecurity-Grundlagen verstehen. Eintägige Awareness-Seminare reichen nicht aus — NIS2 fordert «regelmäßige» Schulungen.

Was CISOs jetzt tun sollten

Die persönliche Haftung als Argument für angemessene Security-Budgets nutzen
Quartalsweises Board-Reporting mit klaren KPIs etablieren
Geschäftsführerschulungen organisieren und dokumentieren
D&O-Versicherungen auf NIS2-Deckung prüfen lassen
Die Genehmigung der Security-Strategie formalisieren (Vorstandsbeschluss)

Key Facts

Artikel 20 NIS2: Persönliche Haftung der Geschäftsführung

Bussgelder bis 10 Mio. EUR oder 2% des weltweiten Umsatzes

Temporäre Tätigkeitsverbote für Geschäftsführer möglich

Pflicht zur regelmäßigen Security-Schulung der Leitungsebene

D&O-Versicherungen decken NIS2-Verstöße oft nicht automatisch

Fakt: NIS2 sieht bei Verstößen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist.

Fakt: Laut Bitkom haben nur 31 Prozent der betroffenen Unternehmen in Deutschland bis Anfang 2025 mit der NIS2-Umsetzung begonnen.

Häufige Fragen

Kann die Geschäftsführung die Verantwortung delegieren?

Die operative Umsetzung ja (an CISO/IT-Leitung). Die Genehmigung der Massnahmen und die Aufsichtspflicht bleiben bei der Geschäftsführung. Delegation der Haftung ist nicht möglich.

Deckt unsere D&O-Versicherung NIS2-Bussgelder?

In der Regel nicht. Die meisten D&O-Policen schliessen regulatorische Bussgelder aus. Prüfen Sie Ihre Police mit einem spezialisierten Makler und erwägen Sie eine Cyber-Versicherung als Ergänzung.

Können Geschäftsführer die Haftung durch Delegation an den CISO vermeiden?

Nein. NIS2 verankert die Verantwortung explizit auf Leitungsebene. Eine Delegation an den CISO oder IT-Leiter entbindet die Geschäftsführung nicht von ihrer Überwachungspflicht. Geschäftsführer müssen nachweisen, dass sie sich regelmäßig über den Stand der Cybersicherheit informieren und angemessene Ressourcen bereitstellen.