NIS2: Was persönliche Haftung für die Geschäftsführung bedeutet
Mit NIS2 haftet die Geschäftsleitung persönlich für Cybersicherheit. Was das konkret heißt, welche Pflichten entstehen und wie Sie sich absichern.
Seit Dezember 2025 gilt die NIS2-Umsetzung in Deutschland. Die meisten Unternehmen beschäftigen sich mit den technischen Anforderungen: Risikomanagement, Incident Response, Supply Chain Security. Doch ein Aspekt wird häufig unterschätzt: die persönliche Haftung der Geschäftsleitung.
Dieser Artikel erklärt, was auf Geschäftsführer, Vorstände und Aufsichtsräte zukommt.
Was sagt das Gesetz?
Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verpflichtet die Geschäftsleitung – nicht die IT-Abteilung – zur Umsetzung angemessener Cybersicherheitsmaßnahmen.
Konkret bedeutet das:
- Die Geschäftsleitung muss die Risikomanagementmaßnahmen billigen und deren Umsetzung überwachen
- Sie muss an Cybersicherheitsschulungen teilnehmen
- Bei Pflichtverletzung haftet sie persönlich gegenüber dem Unternehmen
- Diese Haftung kann nicht auf Dritte delegiert werden (z.B. nicht an den CISO)
Welche Unternehmen sind betroffen?
NIS2 erweitert den Kreis der betroffenen Unternehmen massiv. In Deutschland fallen rund 29.500 Unternehmen unter die Regulierung – unterteilt in “besonders wichtige” und “wichtige” Einrichtungen.
Betroffene Sektoren (Auswahl):
| Sektor | Beispiele |
|---|---|
| Energie | Strom, Gas, Öl, Fernwärme, Wasserstoff |
| Gesundheitswesen | Krankenhäuser, Labore, Pharma, Medizinprodukte |
| Transport | Luftfahrt, Schiene, Wasser, Straße |
| Digitale Infrastruktur | Rechenzentren, Cloud, DNS, TLD-Registrare |
| Öffentliche Verwaltung | Bundes- und Landesbehörden |
| Finanzmarkt | Banken, Versicherungen, Börsen |
| Abfallwirtschaft | Entsorgung, Recycling |
| Lebensmittel | Großhandel, Verarbeitung, Produktion |
Schwellenwerte: Ab 50 Mitarbeitende oder 10 Mio. EUR Jahresumsatz – aber es gibt Ausnahmen, bei denen auch kleinere Unternehmen betroffen sind (z.B. DNS-Dienste, Vertrauensdiensteanbieter).
Was sind die konkreten Pflichten?
1. Risikomanagement billigen und überwachen
Die Geschäftsleitung muss sicherstellen, dass ein angemessenes Risikomanagement implementiert ist. “Angemessen” bedeutet: dem Stand der Technik entsprechend, unter Berücksichtigung der Kosten, des Risikos und der Größe des Unternehmens.
Mindestanforderungen:
- Risikoanalyse und Sicherheitskonzepte
- Bewältigung von Sicherheitsvorfällen (Incident Response)
- Business Continuity und Krisenmanagement
- Sicherheit der Lieferkette
- Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
- Konzepte für Kryptografie und Verschlüsselung
- Zugangskontrollen und Asset-Management
- Multi-Faktor-Authentifizierung
- Sichere Kommunikation (Sprach-, Video-, Textkommunikation)
2. Meldepflichten einhalten
Bei erheblichen Sicherheitsvorfällen gelten strikte Fristen:
| Frist | Pflicht |
|---|---|
| 24 Stunden | Frühwarnung an das BSI (Erstmeldung) |
| 72 Stunden | Detaillierter Vorfallbericht (Bewertung, Schwere, Indikatoren) |
| 1 Monat | Abschlussbericht (Ursache, Maßnahmen, grenzüberschreitende Auswirkungen) |
Die Geschäftsleitung muss sicherstellen, dass diese Prozesse funktionieren – nicht erst im Ernstfall.
3. Schulungspflicht
Die Geschäftsleitung muss regelmäßig an Cybersicherheitsschulungen teilnehmen. Das ist keine optionale Weiterbildung, sondern eine gesetzliche Pflicht. Ziel: Die Geschäftsleitung soll in der Lage sein, Risiken zu bewerten und Maßnahmen zu beurteilen.
Was passiert bei Verstößen?
Bußgelder
| Kategorie | Maximales Bußgeld |
|---|---|
| Besonders wichtige Einrichtungen | 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen | 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes |
Persönliche Konsequenzen
- Schadensersatzansprüche des Unternehmens gegen die Geschäftsleitung
- D&O-Versicherung greift möglicherweise nicht, wenn Pflichtverletzung nachgewiesen wird
- Aufsichtsbehördliche Maßnahmen (Anordnungen, Prüfungen, Verbote)
- In schweren Fällen: Untersagung der Geschäftsführertätigkeit
Wie sichern Sie sich ab?
1. Bestandsaufnahme durchführen
Lassen Sie Ihren aktuellen Cybersicherheitsstand gegen die NIS2-Anforderungen prüfen. Ein NIS2 Readiness Assessment bewertet systematisch über 120 Prüfpunkte und liefert Ihnen eine priorisierte Maßnahmenliste.
2. Governance-Struktur aufbauen
- CISO oder Informationssicherheitsbeauftragten benennen (operativ verantwortlich)
- Regelmäßige Reports an die Geschäftsleitung etablieren (mindestens quartalsweise)
- Klare Eskalationswege definieren (insbesondere für die 24h-Meldepflicht)
3. Dokumentation als Schutzschild
Im Haftungsfall zählt, was nachweisbar ist. Dokumentieren Sie:
- Alle Beschlüsse zur Cybersicherheit
- Die Teilnahme an Schulungen
- Die Kenntnisnahme von Risikoberichten
- Die Billigung von Maßnahmenplänen
Eine saubere Dokumentation ist Ihr bester Schutz bei Haftungsfragen.
4. Incident Response testen
Ein Incident-Response-Plan auf dem Papier reicht nicht. Führen Sie regelmäßige Übungen durch – insbesondere für die 24h/72h-Meldekette. Nur so stellen Sie sicher, dass im Ernstfall die richtigen Personen die richtigen Schritte kennen.
5. D&O-Versicherung prüfen
Lassen Sie Ihre D&O-Versicherung auf NIS2-Kompatibilität prüfen. Klären Sie:
- Sind Cybersicherheitspflichtverletzungen abgedeckt?
- Gibt es Ausschlüsse bei grober Fahrlässigkeit?
- Ist die Deckungssumme angesichts der Bußgeldhöhen ausreichend?
Fazit
NIS2 macht Cybersicherheit zur Chefsache – im wörtlichen Sinne. Die Geschäftsleitung kann die Verantwortung nicht delegieren, und die Sanktionen sind empfindlich. Aber: Wer jetzt systematisch handelt, dokumentiert und Governance aufbaut, reduziert nicht nur das Haftungsrisiko, sondern stärkt auch die Sicherheitskultur im Unternehmen.
Erste Orientierung gesucht? Nutzen Sie unseren kostenlosen NIS2-Selbstcheck mit 20 Kernfragen aus 10 Anforderungsdomänen.
Sie wollen Ihre NIS2-Readiness professionell bewerten lassen? Vereinbaren Sie ein Erstgespräch – wir prüfen Ihren Status in 3–4 Tagen mit über 125 Prüfpunkten und liefern einen priorisierten Maßnahmenplan.