Recht & Compliance

Wer ist bei Nichterfüllung von NIS2 eigentlich in der Haftung? Die IT oder die Geschäftsführung?

22. April 20265 Min. LesezeitNIS2, CEO, Geschäftsführung

Management Summary

Die Umsetzung der NIS2-Richtlinie in nationales Recht (NIS2UmsuCG) bringt einen fundamentalen Paradigmenwechsel für Unternehmen mit sich: Cybersicherheit ist nun unmissverständlich Chefsache.

Während in der Vergangenheit die Verantwortung für IT-Sicherheit oft bequem an die IT-Abteilung delegiert wurde, nimmt der Gesetzgeber nun explizit die Geschäftsführung in die Pflicht. Gemäß § 38 BSIG haftet die Geschäftsleitung bei Versäumnissen persönlich und mit ihrem Privatvermögen. Dieser Artikel beleuchtet die rechtlichen Grundlagen, die Verteilung der Verantwortung zwischen IT und Management sowie konkrete Schritte zur Risikominimierung.

Das Ende des "Fingerzeigens" auf die IT-Abteilung

In vielen Unternehmen war das Drehbuch bei IT-Sicherheitsvorfällen stets dasselbe: Die Geschäftsführung delegierte das Thema Cybersicherheit vollständig an die IT-Abteilung, stellte oft nur begrenzte Budgets zur Verfügung und zeigte bei einem erfolgreichen Hackerangriff mit dem Finger auf die IT-Verantwortlichen. Die IT-Abteilung galt als alleiniger Hüter der digitalen Welt und Verteidiger der Unternehmensdaten.

Mit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) im Dezember 2025 hat dieses Vorgehen ein abruptes Ende gefunden. Der Gesetzgeber hat erkannt, dass eine delegierte Verantwortung ohne entsprechende Befugnisse und Budgets nicht funktioniert.

Die neue Richtlinie zwingt Geschäftsführer und Vorstände dazu, sich aktiv mit den Herausforderungen der IT-Sicherheit auseinanderzusetzen, anstatt den Kopf in den Sand zu stecken.

Die rechtliche Lage: § 38 BSIG und die persönliche Haftung

Der Kern der neuen Regelungen zur Geschäftsleiterhaftung findet sich in § 38 des BSI-Gesetzes (BSIG). Diese Vorschrift statuiert drei zentrale, nicht delegierbare Pflichten für die Geschäftsleitung von besonders wichtigen und wichtigen Einrichtungen:

Billigungspflicht: Die Geschäftsleitung muss die nach § 30 BSIG erforderlichen Risikomanagementmaßnahmen aktiv und formal genehmigen. Ein informelles "Machen Sie mal" in Richtung der IT reicht rechtlich nicht mehr aus.

Überwachungspflicht: Die Umsetzung der gebilligten Maßnahmen muss kontinuierlich kontrolliert werden. Dies erfordert regelmäßige Statusberichte und ein aktives Eingreifen bei Abweichungen
Schulungspflicht: Mitglieder der Geschäftsleitung müssen regelmäßig an Cybersicherheitsschulungen teilnehmen, um Risiken adäquat bewerten zu können.

Verletzt die Geschäftsleitung diese Pflichten schuldhaft, haftet sie dem Unternehmen gegenüber für den entstandenen Schaden nach den Regeln des Gesellschaftsrechts – und zwar mit ihrem Privatvermögen.

"Geschäftsleitungen, die ihre Pflichten nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den Regeln des Gesellschaftsrechts."

Ein Haftungsverzicht durch die Gesellschafterversammlung im Voraus ist gesetzlich ausgeschlossen (§ 38 Abs. 2 Satz 3 BSIG-E). Auch der Schutz durch D&O-Versicherungen (Directors and Officers) ist oft lückenhaft, da viele Policen Cyber-Risiken oder grobe Fahrlässigkeit ausschließen.

Die Rolle der IT: Umsetzung, nicht Letztverantwortung

Bedeutet dies, dass die IT-Abteilung nun aus dem Schneider ist? Keineswegs. Die operative Umsetzung der technischen und organisatorischen Maßnahmen (TOMs) obliegt weiterhin den IT-Experten und Informationssicherheitsbeauftragten (ISB). Sie sind dafür verantwortlich, Systeme zu härten, Netzwerke zu überwachen und Vorfallsreaktionspläne zu erarbeiten.

Die entscheidende Änderung liegt in der Verantwortungsstruktur: Die IT-Abteilung ist der Ausführende, die Geschäftsführung der strategisch Verantwortliche. Die IT muss dem Management die notwendigen Informationen, Risikobewertungen und Budgetbedarfe transparent aufbereiten. Das Management muss diese Informationen verstehen, die notwendigen Ressourcen freigeben und die Umsetzung kontrollieren.

Ein IT-Leiter, der wiederholt auf eklatante Sicherheitslücken hinweist und entsprechende Budgets anfordert, die von der Geschäftsführung abgelehnt werden, ist im Schadensfall rechtlich deutlich besser positioniert als noch vor einigen Jahren. Die Haftung für die nicht umgesetzten Maßnahmen fällt in diesem Szenario auf die Geschäftsführung zurück, die ihre Billigungs- und Überwachungspflichten verletzt hat.

Drastische Konsequenzen bei Nichterfüllung

Die Sanktionen bei Verstößen gegen die NIS2-Vorgaben sind erheblich und treffen zunächst das Unternehmen als Ganzes:

Besonders wichtige Einrichtungen (bwE): bis zu 10.000.000 € (bis 2% des weltweiten Jahresumsatzes)
Wichtige Einrichtungen (wE): bis 7.000.000 € (bis 1,4% des weltweiten Jahresumsatzes)

Bußgeldrahmen nach § 65 NIS2UmsuCG

Zusätzlich zu diesen finanziellen Sanktionen drohen Reputationsverluste, der Ausschluss aus Lieferketten und im Extremfall die vorübergehende Untersagung der Leitungstätigkeit für Geschäftsführer durch die Aufsichtsbehörden (§ 61 Abs. 9 Nr. 2 BSIG). Tritt ein vermeidbarer Schaden ein, folgt der Regress des Unternehmens gegen die Geschäftsführung auf dem Fuß.

Fünf Schritte zur Enthaftung für das Management

Um das persönliche Haftungsrisiko auf ein vertretbares Maß zu reduzieren, muss die Geschäftsführung proaktiv handeln. Die Zauberworte heißen hier: Dokumentation und Nachweisbarkeit:

Formalisierung der Billigung: Alle Risikomanagementmaßnahmen nach § 30 BSIG müssen in formalen Geschäftsleitungsbeschlüssen dokumentiert und gebilligt werden.
Etablierung eines Reportings: Die IT-Abteilung muss quartalsweise (oder bei kritischen Vorfällen sofort) anhand fester KPIs (Key Performance Indicators) an die Geschäftsführung berichten.
Persönliche Weiterbildung: Die Teilnahme an Cybersicherheitsschulungen muss lückenlos dokumentiert werden, idealerweise mit Zertifikaten.
Einführung eines ISMS: Ein zertifiziertes Informationssicherheitsmanagementsystem (z.B. nach ISO 27001) liefert den strukturellen Rahmen und die Nachweisbarkeit für die Erfüllung der Sorgfaltspflichten.
Prüfung der D&O-Versicherung: Die bestehenden Policen müssen dringend auf Cyber-Ausschlüsse und die Abdeckung von NIS2-Szenarien geprüft und gegebenenfalls angepasst werden.

Fazit

Die Frage "IT oder Geschäftsführung?" lässt sich unter NIS2 eindeutig beantworten: Die Letztverantwortung und die Haftung liegen unmissverständlich bei der Geschäftsführung.

Die IT-Abteilung bleibt der unverzichtbare operative Motor der Cybersicherheit, doch sie agiert nun im Auftrag und unter der strengen Aufsicht eines Managements, das bei Nachlässigkeit mit dem eigenen Portemonnaie einsteht. Diese gesetzlich erzwungene Zusammenarbeit auf Augenhöhe ist vielleicht die wichtigste Errungenschaft der NIS2-Richtlinie – sie macht Cybersicherheit endgültig zur Chefsache.

Autor:

Michael Rohrmüller, PixelMechanics, Kontakt

Copyright:

Quellen

Häufig gestellte Fragen

Wer haftet bei NIS2-Verstößen?

Bei Verstößen gegen die NIS2-Richtlinie haftet primär das Unternehmen, dem hohe Bußgelder drohen. Gemäß § 38 BSIG haftet die Geschäftsleitung jedoch dem Unternehmen gegenüber persönlich mit ihrem Privatvermögen, wenn sie ihre Pflichten zur Billigung und Überwachung der Cybersicherheitsmaßnahmen schuldhaft verletzt hat.

Ist die IT-Abteilung bei NIS2 aus der Verantwortung?

Nein, die IT-Abteilung ist weiterhin für die operative Umsetzung der Sicherheitsmaßnahmen (TOMs) verantwortlich. Die Letztverantwortung und die strategische Haftung liegen jedoch nun ausdrücklich bei der Geschäftsführung.

Was besagt § 38 BSIG?

§ 38 BSIG regelt die Pflichten der Geschäftsleitung. Sie muss Risikomanagementmaßnahmen billigen, deren Umsetzung überwachen und regelmäßig an Cybersicherheitsschulungen teilnehmen. Bei Pflichtverletzungen droht die persönliche Haftung.

Kann die Geschäftsführung die NIS2-Verantwortung an den IT-Leiter delegieren?

Nein. Die Billigungs- und Überwachungspflichten nach § 38 BSIG sind höchstpersönliche Pflichten der Geschäftsleitung und können rechtlich nicht an die IT-Abteilung oder externe Dienstleister delegiert werden.

Welche Bußgelder drohen bei NIS2-Verstößen?

Gemäß § 65 BSIG drohen besonders wichtigen Einrichtungen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegen die Grenzen bei 7 Millionen Euro oder 1,4 % des Umsatzes.

Schützt eine D&O-Versicherung Geschäftsführer vor der NIS2-Haftung?

Oftmals nicht ausreichend. Viele D&O-Policen enthalten Ausschlüsse für Cyber-Risiken oder greifen nicht bei grober Fahrlässigkeit, die schnell unterstellt wird, wenn die gesetzlichen Pflichten nach § 38 BSIG ignoriert wurden.

Wie können sich Geschäftsführer vor der NIS2-Haftung schützen?

Geschäftsführer können ihr Risiko durch lückenlose Dokumentation minimieren. Dazu gehören formale Beschlüsse zur Billigung von Sicherheitsmaßnahmen, ein regelmäßiges Reporting der IT an die Geschäftsführung sowie der Nachweis über absolvierte Cybersicherheitsschulungen.

Was passiert, wenn die Geschäftsführung der IT das Budget für NIS2 verweigert?

Wenn die IT-Abteilung Sicherheitslücken meldet und Budgets anfordert, die Geschäftsführung dies jedoch ablehnt, haftet im Falle eines Cyberangriffs die Geschäftsführung persönlich für den entstandenen Schaden, da sie ihre Überwachungs- und Sorgfaltspflichten verletzt hat.

Muss die gesamte Geschäftsführung geschult werden oder reicht ein IT-Vorstand?

Nach § 38 Abs. 3 BSIG müssen alle Mitglieder der Geschäftsleitung regelmäßig an Cybersicherheitsschulungen teilnehmen. Es reicht nicht aus, wenn nur der CIO oder IT-Verantwortliche geschult ist.

Was sind die Konsequenzen, wenn Geschäftsführer die Schulungen verweigern?

Die Verweigerung der Schulungen ist ein direkter Verstoß gegen § 38 BSIG. Neben Bußgeldern für das Unternehmen können Aufsichtsbehörden im Extremfall Geschäftsführern vorübergehend die Ausübung ihrer Leitungstätigkeit untersagen.

Zurück zu allen Artikeln

Cookie-Einstellungen