Wer haftet bei NIS-2-Verstößen?
Januar 2026
Das NIS-2-Umsetzungsgesetz macht Cybersecurity zur Chefsache, und zwar mit voller persönlicher Konsequenz. Geschäftsführer und Vorstände können bei Verstößen nicht nur mit Bußgeldern gegen das Unternehmen rechnen, sondern haften unter Umständen auch persönlich mit ihrem Privatvermögen. Für viele Entscheider ist das ein Weckruf: Cybersicherheit ist keine IT-Aufgabe mehr, sondern Teil der nicht delegierbaren Geschäftsleitungsverantwortung.
Persönliche Haftung der Geschäftsleitung: Was sagt § 38 BSIG?
Die Haftung der Geschäftsführung ist im § 38 des BSI-Gesetz (BSIG) normiert. Dort steht ausdrücklich die direkte und persönliche Verantwortung der Geschäftsleitung. Zunächst richtet sich diese nach dem Gesellschaftsrecht, bei Fehlen einer gesellschaftsrechtlichen Haftungsregel aber direkt nach dem BSIG.
Das betrifft nicht nur klassische Geschäftsführer und Vorstände. Nach der gesetzlichen Definition der "Geschäftsleitung" gem. § 2 Nr. 13 BSIG ergibt sich, wer zur Geschäftsleitung gehört, aus der "Verfassung" der Gesellschaft. Das können auch CFOs, CIOs, Komplementäre oder Prokuristen mit Leitungsbefugnissen sein.
Die Pflichten sind klar geregelt: Nach § 38 Abs. 1 BSIG müssen Mitglieder der Geschäftsleitung nicht nur die vorgeschriebenen Maßnahmen zum Risikomanagement genehmigen, sondern auch deren Umsetzung aktiv kontrollieren. Zusätzlich besteht eine Verpflichtung, regelmäßig an Schulungen zur Cybersicherheit teilzunehmen, wobei die Gesetzesbegründung einen Rhythmus von mindestens allen drei Jahren vorsieht.
Wofür haftet die Geschäftsleitung konkret?
Bei Pflichtverletzungen haften Geschäftsleiter persönlich für entstandene Schäden nach den Regeln des Gesellschaftsrechts (§ 43 GmbHG, § 93 AktG). Die Haftung setzt Vorsatz oder Fahrlässigkeit voraus, doch es gilt eine Beweislastumkehr: Der Geschäftsführer muss nachweisen, dass er pflichtgemäß gehandelt hat.
Wichtig: Die Business Judgment Rule schützt bei NIS-2-Pflichten grundsätzlich nicht, da die Einhaltung der Risikomanagementpflichten eine gesetzliche Legalitätspflicht darstellt. Unternehmerisches Ermessen besteht lediglich bei der konkreten Ausgestaltung der Maßnahmen (z.B. Technologieauswahl, Budgetverteilung).
Der ersatzfähige Schaden kann umfassen:
Direkte Schäden durch Cyberangriffe (z.B. IT-Austausch, Produktionsausfall)
Regressansprüche Dritter
Derzeit noch umstritten ist: Bußgelder nach § 65 BSIG. Ob das Unternehmen seinen Geschäftsführer für ein Bußgeld in Regress nehmen kann, ist bisher nicht entschieden
Kann die Verantwortung delegiert werden?
Nein. Die Letztverantwortung verbleibt bei der Geschäftsleitung, auch bei Einschaltung eines Chief Information Security Officers (CISO) oder externer Berater. Operative Aufgaben können delegiert werden, die Überwachungspflicht nicht.
Bei der vertikalen Delegation an Dritte außerhalb der Geschäftsführung (z.B. an IT-Sicherheitsbeauftragte) muss der Geschäftsführer den Nachweis einer sorgfältigen Auswahl, Instruktion und laufenden Überwachung erbringen.
Bußgelder gegen das Unternehmen: Die finanziellen Risiken
Neben der persönlichen Haftung drohen empfindliche Bußgelder gegen das Unternehmen selbst:
Bei Verstößen drohen für besonders wichtige Einrichtungen Bußgelder bis zu 10 Mio. EUR, für wichtige Einrichtungen bis zu 7 Mio. EUR. Bei hohen Jahresumsätzen über 500 Millionen Euro gehen die Bußen sogar bis 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen oder 1,4 % des weltweiten Umsatzes für wichtige Einrichtungen.
Oft übersehen: Nach § 61 Abs. 9 Nr. 2 BSIG kann bei besonders wichtigen Einrichtungen das BSI der Geschäftsleitung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen.
D&O-Versicherung: Schutz oder Trugschluss?
Der Gesetzgeber hat in der Gesetzesbegründung zu § 38 BSIG klargestellt, dass D&O-Versicherungen nicht eingeschränkt werden sollen. Die Haftung für NIS-2-Pflichtverletzungen ist grundsätzlich versicherbar.
Aber Achtung: D&O-Versicherungen decken in der Regel nicht: IT-Forensikkosten, Betriebsunterbrechungsschäden, Lösegeldzahlungen und direkte Bußgelder gegen das Unternehmen. Direkte Bußgelder sind nach herrschender Meinung nicht versicherbar (Verstoß gegen § 134, § 138 BGB)
Was bedeutet das praktisch? So schützen Sie sich
1. Dokumentation ist Pflicht: Dokumentieren Sie Risikobewertungen und deren regelmäßige Aktualisierung, Vorstandsbeschlüsse zur Billigung von Sicherheitsmaßnahmen, Schulungsnachweise (Teilnahmebestätigungen) und Überwachungsberichte der IT-Abteilung/des CISO.
2. Schulungspflicht ernst nehmen: Die Geschäftsleitung muss sich regelmäßig in Fragen der Cybersicherheit weiterbilden. Die Schulungen sollten auf die spezifischen Risiken des Unternehmens zugeschnitten sein und Themen wie aktuelle Bedrohungslagen, Incident Response und die Überwachung von Sicherheitsmaßnahmen abdecken. Eine formale Prüfung ist nicht erforderlich, jedoch sollten Teilnahmebestätigungen dokumentiert werden.
3. ISMS aufbauen: Implementieren Sie ein Informationssicherheits-Managementsystem (ISMS), das an anerkannten Standards wie ISO 27001 oder dem BSI IT-Grundschutz ausgerichtet ist. Das ISMS sollte kontinuierlich an die sich wandelnde Bedrohungslage angepasst werden.
4. D&O-Police prüfen: Lassen Sie Ihre bestehende D&O-Versicherung auf NIS-2-relevante Ausschlüsse prüfen und erwägen Sie eine ergänzende Cyber-Versicherung für operative Schäden.
Fazit: Haftung vermeiden durch strukturierte Compliance
Die NIS-2-Managerhaftung ist keine revolutionäre Neuerung. Schon heute kann die Geschäftsführung persönlich bei IT-Sicherheitsverstößen haften. Aber: Die ausdrückliche Normierung setzt einen zusätzlichen Fokus und erhöht den Druck.
Wer jetzt strukturierte Cybersecurity-Prozesse aufbaut, professionelle Dokumentation etabliert und sich regelmäßig schulen lässt, minimiert nicht nur das persönliche Haftungsrisiko, sondern schützt auch die Zukunftsfähigkeit seines Unternehmens.
Handeln Sie jetzt: Prüfen Sie Ihre Betroffenheit, dokumentieren Sie Ihre Prozesse lückenlos und nehmen Sie Ihre Schulungspflicht ernst. Die Frist läuft.
