Die NIS2-Richtlinie und das dadurch geänderte BSI-Gesetz (BSIG) konkretisieren die Pflichten der Geschäftsleitung im Bereich Cybersicherheit. NIS2-Compliance wird damit zu einem zentralen Thema für die oberste Entscheidungsebene in allen betroffenen Unternehmen. Wir erklären, was Personen aus Geschäftsführung und Vorstand zur persönlichen Haftung unter NIS2 wissen sollten.
Tipp: Lesen Sie auch, welche Bußgelder für Unternehmen drohen, wenn sie gegen NIS2-Vorgaben verstoßen.
Wofür haftet die Geschäftsleitung unter NIS2 konkret?
Gemäß § 38 BSIG in Verbindung mit § 30 BSIG trägt die Geschäftsleitung die Letztverantwortung für die Umsetzung eines strukturierten Katalogs von Cybersicherheitsmaßnahmen. Dazu zählen unter anderem
- Risikoanalyse,
- Incident Response Management,
- Business Continuity Management,
- Lieferkettensicherheit und
- Schulungen, insbesondere der Geschäftsführung.
Diese Verantwortlichkeit gilt auch dann, wenn operative Aufgaben an eine CISO-Funktion (Chief Information Security Officer) oder IT-Abteilung delegiert sind.
Hinweis: Delegation schützt nicht vor Haftung – Billigung und aktive Überwachung bleiben Pflicht der Leitungsebene.
Welche Nachweise muss das Management unter NIS2 konkret erbringen?
Entscheidend für das Haftungsrisiko ist nicht allein die faktische Umsetzung von Sicherheitsmaßnahmen gemäß den NIS2-Vorgaben, sondern deren lückenlose Dokumentation. § 30 Abs. 1 BSIG schreibt eine eigenständige bußgeldbewehrte Dokumentationspflicht vor. Wer im Prüffall keine Nachweise vorlegen kann, riskiert Sanktionen unabhängig davon, ob die Maßnahmen tatsächlich umgesetzt wurden.
Konkret sollten folgende Dokumente vorliegen:
- IT-Sicherheitskonzept und Risikoanalyse-Berichte (Risk Assessment)
- Richtlinien zu Passwortsicherheit, Zugriffsregelungen und Netzwerkarchitektur
- Business-Continuity- und Notfallpläne
- Audit-Zertifikate (z. B. ISO 27001) und Ergebnisse von Penetrationstests
- Schulungsplan, Teilnehmerlisten und Zertifikate für die Geschäftsleitung
- Incident-Response-Pläne mit definierten Meldeprozessen sowie etwaige Meldeprotokolle
- Registrierungsbestätigung beim BSI
Tipp: Lesen Sie unsere ausführliche Anleitung dazu, wie Sie Nachweise für Ihre NIS2-Compliance erbringen.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) kann im Rahmen seiner Aufsicht nach § 64 BSIG jederzeit Systemaudits durchführen. Für KRITIS-Betreiber sind regelmäßige externe Prüfungen verpflichtend; für andere besonders wichtige und wichtige Einrichtungen erfolgt die Überprüfung stichprobenartig oder anlassbezogen.
Beispiel: In unserer Beratungspraxis erleben wir regelmäßig dasselbe Muster: Selbst, wenn technische Maßnahmen umgesetzt und dokumentiert sind, fehlen Protokolle über Managemententscheidungen, Billigung von Sicherheitskonzepten oder Schulungsnachweise für die Leitungsebene. Genau das will das BSI im Prüffall aber sehen. Denn nur so weisen Sie nach, dass Ihre Geschäftsleitung NIS2-Maßnahmen aktiv gebilligt und überwacht hat.
Wann haftet das Management für NIS2-Verstöße persönlich?
Die persönliche Haftung der Geschäftsleitung ergibt sich aus zwei Strängen:
- Bei GmbH und AG folgt sie aus dem jeweiligen Gesellschaftsrecht (§ 43 GmbHG bzw. § 93 AktG);
- für andere betroffene Einrichtungen begründet § 38 BSIG die Haftung unmittelbar.
In beiden Fällen konkretisiert NIS2 den Sorgfaltsmaßstab, an dem die Leitungsebene gemessen wird.
Sollte es aufgrund mangelhafter Cybersecurity zu einem erheblichen Schaden kommen – beispielsweise in Form eines kostspieligen Produktionsausfalls nach einem Ransomware-Angriff –, kann das Unternehmen vom verantwortlichen Geschäftsleiter Schadensersatz verlangen. Die finanziellen Verluste für Forensik, Betriebsunterbrechung und Vertragsstrafen belaufen sich dabei schnell auf Millionenhöhe.
D&O-Versicherungen (Directors & Officers-Versicherungen) bieten in der Praxis Schutz, sofern keine grobe Fahrlässigkeit oder Vorsatz vorliegt und die Deckungssumme ausreichend ist.
Praxistipp: Die Business Judgment Rule – der unternehmerische Ermessensspielraum nach § 93 Abs. 1 S. 2 AktG – schützt Geschäftsleiter im Bereich Cybersicherheit weniger, als viele annehmen. Wer keine Schulung nach § 38 Abs. 3 BSIG absolviert und/oder kein funktionierendes ISMS (Informationssicherheits-Managementsystem) vorweisen kann, hat im Schadensfall kaum Argumente: Das Gericht wird fragen, auf welcher Informationsgrundlage die unternehmerische Entscheidung getroffen wurde. Unter NIS2 ist nicht informiert zu sein keine Entschuldigung, sondern selbst ein Pflichtverstoß.
Das BSI verfügt gegenüber der Geschäftsleitung über ein abgestuftes Instrumentarium. Bei besonders wichtigen Einrichtungen kann es gemäß § 61 BSIG Audit-Berichte oder Zertifizierungen anfordern und im Extremfall ein befristetes Berufsverbot für verantwortliche Leitungspersonen verhängen – eine Maßnahme, die laut Gesetzesbegründung nur in Ausnahmefällen greifen soll.
Bei GmbH und AG liegt die Abberufungskompetenz hingegen beim jeweiligen Gesellschaftsorgan: Bei der GmbH können die Gesellschafter den Geschäftsführer gemäß § 38 GmbHG abberufen, bei der AG der Aufsichtsrat den Vorstand gemäß § 84 AktG bei wichtigem Grund. BSI-Maßnahmen wie Bußgelder oder Betriebsaussetzungen können dabei faktisch den Druck erzeugen, der zu einer solchen Abberufung führt.
Fazit: Cybersecurity ist Chefsache – jetzt auch mit rechtlichem Nachdruck
NIS2 markiert einen Paradigmenwechsel: Cybersicherheit ist nicht nur länger ein IT-Thema, das im Rechenzentrum verwaltet wird. Sie ist Aufgabe der Geschäftsleitung und geht mit empfindlichen Bußgeldern sowie persönlicher Haftung einher.
Die Konsequenzen bei Verstößen sind erheblich: Das BSI kann Audits anordnen, Bußgelder verhängen und im Extremfall sogar ein befristetes Berufsverbot für verantwortliche Leitungspersonen aussprechen. Bei GmbH und AG kann zudem das zuständige Gesellschaftsorgan die Abberufung einleiten.
Wer die Risiken kennt und frühzeitig handelt, ist klar im Vorteil. Dazu gehören ein dokumentiertes Risikomanagement gemäß § 30 BSIG, regelmäßige Schulungen der Geschäftsleitung, klare Meldeprozesse sowie eine Dokumentation, die im Behördenverfahren als Nachweis dient.
Der Aufbau solcher Strukturen reduziert nicht nur Haftungsrisiken, sondern stärkt die operative Resilienz gegenüber einer wachsenden Bedrohungslage.
