Haftung der Geschäftsleitung bei NIS2-Verstößen

Inhalt

Die NIS2-Richtlinie und das dadurch geänderte BSI-Gesetz (BSIG) konkretisieren die Pflichten der Geschäftsleitung im Bereich Cybersicherheit. NIS2-Compliance wird damit zu einem zentralen Thema für die oberste Entscheidungsebene in allen betroffenen Unternehmen. Wir erklären, was Personen aus Geschäftsführung und Vorstand zur persönlichen Haftung unter NIS2 wissen sollten.

In aller Kürze

  • NIS2 macht Cybersicherheit zur Chefsache. Geschäftsleitung und Vorstand tragen die Verantwortung.
  • Delegieren entlastet nicht vollständig. Auch bei IT, CISO oder externen Dienstleistern bleibt eine Überwachungspflicht.
  • Nachweise sind entscheidend. Risikoanalysen, Sicherheitsmaßnahmen, Schulungen und Notfallprozesse müssen dokumentiert sein.
  • Haftung kann persönlich werden. Bei Pflichtverletzungen drohen Bußgelder und mögliche Schadensersatzansprüche.

Wofür haftet die Geschäftsleitung unter NIS2 konkret?

Gemäß § 38 BSIG in Verbindung mit § 30 BSIG trägt die Geschäftsleitung die Letztverantwortung für die Umsetzung eines strukturierten Katalogs von Cybersicherheitsmaßnahmen. Dazu zählen unter anderem

Diese Verantwortlichkeit gilt auch dann, wenn operative Aufgaben an eine CISO-Funktion (Chief Information Security Officer) oder IT-Abteilung delegiert sind.

Hinweis: Delegation schützt nicht vor Haftung – Billigung und aktive Überwachung bleiben Pflicht der Leitungsebene.

Welche Nachweise muss das Management unter NIS2 konkret erbringen?

Entscheidend für das Haftungsrisiko ist nicht allein die faktische Umsetzung von Sicherheitsmaßnahmen gemäß den NIS2-Vorgaben, sondern deren lückenlose Dokumentation. § 30 Abs. 1 BSIG schreibt eine eigenständige Dokumentationspflicht vor, deren Verletzung mit einem Bußgeld geahndet werden kann. Wer im Prüffall keine Nachweise vorlegen kann, riskiert Sanktionen unabhängig davon, ob die Maßnahmen tatsächlich umgesetzt wurden.

Konkret sollten folgende Dokumente vorliegen:

  • IT-Sicherheitskonzept und Risikoanalyse-Berichte (Risk Assessment)
  • Richtlinien zu Passwortsicherheit, Zugriffsregelungen und Netzwerkarchitektur
  • Business-Continuity- und Notfallpläne
  • Audit-Zertifikate (z. B. ISO 27001) und Ergebnisse von Penetrationstests
  • Schulungsplan, Teilnehmerlisten und Zertifikate für die Geschäftsleitung
  • Incident-Response-Pläne mit definierten Meldeprozessen sowie etwaige Meldeprotokolle
  • Registrierungsbestätigung beim BSI

Tipp: Lesen Sie unsere ausführliche Anleitung dazu, wie Sie Nachweise für Ihre NIS2-Compliance erbringen.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) kann im Rahmen seiner Aufsicht nach  jederzeit Systemaudits durchführen. Für KRITIS-Betreiber (Betreiber Kritischer Infrastrukturen, etwa in Energie, Gesundheit, Wasser oder Telekommunikation) sind regelmäßige externe Prüfungen verpflichtend; für andere besonders wichtige und wichtige Einrichtungen erfolgt die Überprüfung stichprobenartig oder anlassbezogen.

Beispiel: In unserer Beratungspraxis erleben wir regelmäßig dasselbe Muster: Selbst, wenn technische Maßnahmen umgesetzt und dokumentiert sind, fehlen Protokolle über Managemententscheidungen, Billigung von Sicherheitskonzepten oder Schulungsnachweise für die Leitungsebene. Genau das will das BSI im Prüffall aber sehen. Denn nur so weisen Sie nach, dass Ihre Geschäftsleitung NIS2-Maßnahmen aktiv gebilligt und überwacht hat.

Wann haftet das Management für NIS2-Verstöße persönlich?

Was sind die rechtliche Grundlagen?

Das persönliche Haftungsrisiko der Geschäftsführung ergibt sich rechtlich aus zwei Strängen:

  • Bei GmbH und AG folgt sie aus dem jeweiligen Gesellschaftsrecht (§ 43 GmbHG bzw. § 93 AktG);
  • für andere betroffene Einrichtungen begründet § 38 BSIG die Haftung unmittelbar.

In beiden Fällen konkretisiert NIS2 den Sorgfaltsmaßstab, an dem die Leitungsebene gemessen wird.

Welche Schadensszenarien gibt es?

Sollte es aufgrund mangelhafter Cybersecurity zu einem erheblichen Schaden kommen – beispielsweise in Form eines kostspieligen Produktionsausfalls nach einem Ransomware-Angriff –, kann das Unternehmen vom verantwortlichen Geschäftsleiter Schadensersatz verlangen. Die finanziellen Verluste für Forensik, Betriebsunterbrechung und Vertragsstrafen belaufen sich dabei schnell auf Millionenhöhe.

Wie gelingt Absicherung und Versicherung?

D&O-Versicherungen (Directors & Officers-Versicherungen) bieten in der Praxis Schutz, sofern keine grobe Fahrlässigkeit oder Vorsatz vorliegt und die Deckungssumme ausreichend ist.

Praxistipp: Die Business Judgment Rule – der unternehmerische Ermessensspielraum nach § 93 Abs. 1 S. 2 AktG – schützt Geschäftsleiter im Bereich Cybersicherheit weniger, als viele annehmen. Wer keine Schulung nach § 38 Abs. 3 BSIG absolviert und/oder kein funktionierendes ISMS (Informationssicherheits-Managementsystem) vorweisen kann, hat im Schadensfall kaum Argumente: Das Gericht wird fragen, auf welcher Informationsgrundlage die unternehmerische Entscheidung getroffen wurde. Unter NIS2 ist nicht informiert zu sein keine Entschuldigung, sondern selbst ein Pflichtverstoß.

Welche Maßnahmen kann das BSI gegenüber der Geschäftsleitung ergreifen?

Das BSI kann gegenüber der Geschäftsleitung je nach Schwere des Falls unterschiedliche Maßnahmen ergreifen. Bei besonders wichtigen Einrichtungen kann es gemäß § 61 BSIG Audit-Berichte oder Zertifizierungen anfordern und im Extremfall ein befristetes Berufsverbot für verantwortliche Leitungspersonen verhängen – eine Maßnahme, die laut Gesetzesbegründung nur in Ausnahmefällen greifen soll.

Bei GmbH und AG liegt die Abberufungskompetenz hingegen beim jeweiligen Gesellschaftsorgan: Bei der GmbH können die Gesellschafter den Geschäftsführer gemäß § 38 GmbHG abberufen, bei der AG der Aufsichtsrat den Vorstand gemäß § 84 AktG bei wichtigem Grund. BSI-Maßnahmen wie Bußgelder oder Betriebsaussetzungen können dabei faktisch den Druck erzeugen, der zu einer solchen Abberufung führt.

Fazit: Cybersecurity ist Chefsache – jetzt auch mit rechtlichem Nachdruck

NIS2 markiert eine grundlegende Neuausrichtung: Cybersicherheit ist nicht nur länger ein IT-Thema, das im Rechenzentrum verwaltet wird. Sie ist Aufgabe der Geschäftsleitung und geht mit empfindlichen Bußgeldern sowie persönlicher Haftung einher.

Die Konsequenzen bei Verstößen sind erheblich: Das BSI kann Audits anordnen, Bußgelder verhängen und im Extremfall sogar ein befristetes Berufsverbot für verantwortliche Leitungspersonen aussprechen. Bei GmbH und AG kann zudem das zuständige Gesellschaftsorgan die Abberufung einleiten.

Wer die Risiken kennt und frühzeitig handelt, ist klar im Vorteil. Dazu gehören ein  dokumentiertes Risikomanagement gemäß § 30 BSIG, regelmäßige Schulungen der Geschäftsleitung, klare Meldeprozesse sowie eine Dokumentation, die im Behördenverfahren als Nachweis dient.

Der Aufbau solcher Strukturen reduziert nicht nur Haftungsrisiken, sondern stärkt die operative Resilienz gegenüber einer wachsenden Bedrohungslage.

Weiterlesen

NIS2-Compliance: Darauf kommt es wirklich an!

Unsere Experten haben ihre Erfahrungen aus zahlreichen NIS2-Projekten für Sie gesammelt. 

Diese senden wir Ihnen kostenfrei und unverbindlich zu. Melden Sie sich jetzt an und erhalten alle Tipps zu NIS2 und BSIG! 

Für Unternehmen der
Finanzbranche

Vereinfachtes IKT-Risikomanagement
bei DORA

Webinar: 21. Okt. 2025 (11-12 Uhr)

Anmeldeschluss: 30. Sept. 2025!

Kostenfreies Erstgespräch

Sie schildern Ihr Anliegen zu NIS2. Unsere Experten geben Ihnen eine ehrliche Einschätzung. 30 Minuten am Telefon, kostenfrei und unverbindlich. 

Wir melden uns umgehend mit einem Terminvorschlag!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.