NIS2 Geschäftsführer-Haftung — Was Sie persönlich betrifft
Warum NIS2 Geschäftsführer persönlich in die Pflicht nimmt und was das für Ihre Cybersicherheitsstrategie bedeutet.
Cybersicherheit ist Chefsache — per Gesetz
NIS2 bringt eine fundamentale Änderung: Die Verantwortung für Cybersicherheit liegt nicht mehr nur bei der IT-Abteilung oder dem CISO. Die Geschäftsleitung ist persönlich verantwortlich — und persönlich haftbar.
Artikel 20 der NIS2-Richtlinie stellt klar: Die Leitungsorgane müssen die Cybersicherheits-Risikomanagement-Maßnahmen billigen, ihre Umsetzung überwachen und können für Verstöße haftbar gemacht werden.
Was “persönliche Haftung” konkret bedeutet
Genehmigungspflicht
Die Geschäftsleitung muss die Cybersicherheits-Risikomanagement-Maßnahmen ausdrücklich genehmigen. Ein allgemeines “die IT macht das schon” reicht nicht. Die Geschäftsleitung muss:
- Die Risikomanagement-Maßnahmen kennen und verstehen
- Sie formal genehmigen
- Ihre Umsetzung überwachen
Schulungspflicht
Mitglieder der Geschäftsleitung müssen an Cybersicherheits-Schulungen teilnehmen. NIS2 verlangt, dass die Leitungsorgane über ausreichende Kenntnisse und Fähigkeiten verfügen, um Cybersicherheitsrisiken und deren Auswirkungen zu erkennen und zu bewerten.
Haftungsfolgen bei Verstößen
Bei Verstößen gegen die NIS2-Pflichten können Sanktionen sowohl das Unternehmen als auch die Geschäftsleitung persönlich treffen.
Bußgeldrahmen:
| Kategorie | Wesentliche Einrichtungen | Wichtige Einrichtungen |
|---|---|---|
| Maximum | 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes | 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes |
| Maßgeblich | Der höhere Wert | Der höhere Wert |
Persönliche Konseqünzen können je nach nationaler Umsetzung umfassen:
- Persönliche Bußgelder
- Vorübergehendes Verbot der Ausübung von Leitungsfunktionen
- Persönliche Haftung für Schäden, die durch Verstöße entstehen
Warum die Geschäftsführung jetzt handeln muss
Das Delegationsproblem
Viele Geschäftsführer delegieren Cybersicherheit vollständig an die IT-Abteilung oder einen externen Dienstleister. NIS2 macht klar: Delegation der Ausführung ist möglich, Delegation der Verantwortung nicht.
Wenn die Geschäftsleitung nicht nachweisen kann, dass sie:
- die Risikomanagement-Maßnahmen genehmigt hat,
- über deren Umsetzung informiert ist und
- regelmäßig deren Wirksamkeit überprüft,
dann liegt ein Verstoß vor — unabhängig davon, wie gut die IT-Abteilung arbeitet.
Besondere Situation in KMU
In vielen kleinen und mittleren Unternehmen gibt es keinen CISO, kein dediziertes Security-Team und kein großes IT-Budget. Der Geschäftsführer entscheidet über IT-Investitionen oft ohne tiefe Security-Expertise.
NIS2 ändert die Erwartung: Die Geschäftsführung muss in der Lage sein, informierte Entscheidungen über Cybersicherheit zu treffen. Das erfordert:
- Grundlegendes Verständnis der Cybersicherheitsrisiken
- Transparenz über den aktuellen Sicherheitsstatus
- Regelmäßige Berichterstattung durch die IT oder externe Berater
- Nachvollziehbare Entscheidungsprozesse
Die Verbindung zum Lieferkettenmanagement
Lieferkettenrisiken sind ein wesentlicher Teil der Cybersicherheitsrisiken, die die Geschäftsleitung verantworten muss. Konkret:
- Kenntnis: Weiss die Geschäftsleitung, welche kritischen IT-Dienstleister das Unternehmen hat?
- Risikobewertung: Ist die Geschäftsleitung über wesentliche Lieferantenrisiken informiert?
- Entscheidung: Hat die Geschäftsleitung die Auswahl kritischer Dienstleister bewusst entschieden?
- Überwachung: Erhält die Geschäftsleitung regelmäßig Berichte über den Compliance-Status der Lieferanten?
Wenn ein Sicherheitsvorfall auf einen unzureichend überwachten Dienstleister zurückzuführen ist, wird die Frage gestellt: Hat die Geschäftsleitung ihre Sorgfaltspflicht erfuellt?
Vertiefung: NIS2 und Lieferkettenmanagement.
Praktische Maßnahmen für die Geschäftsführung
1. Status quo verstehen
Lassen Sie sich einen Überblick erstellen:
- Welche IT-Dienstleister hat Ihr Unternehmen?
- Wie ist der aktuelle Cybersicherheitsstatus?
- Wo sind die größten Lücken?
- Wie ist die Lieferkette abgesichert?
2. Governance etablieren
- Klare Verantwortlichkeiten definieren (wer berichtet wem über Cybersicherheit?)
- Regelmäßiges Reporting an die Geschäftsleitung einrichten
- Eskalationsprozesse für Sicherheitsvorfälle festlegen
3. Maßnahmen genehmigen und dokumentieren
- Risikomanagement-Maßnahmen formal genehmigen (protokolliert)
- Budget für Cybersicherheit bewusst entscheiden
- Entscheidungen dokumentieren (Nachweis der Sorgfaltspflicht)
4. Schulung absolvieren
NIS2 verlangt Cybersicherheits-Schulungen für die Geschäftsleitung. Das muss kein technisches Tiefenwissen sein, aber ein Verständnis für:
- Die relevanten Bedrohungen und Risiken
- Die Maßnahmen, die das Unternehmen ergreift
- Die regulatorischen Anforderungen und Haftungsfolgen
5. Compliance-Dashboard nutzen
Ein zentrales Dashboard, das den Cybersicherheits- und Compliance-Status zeigt, ermöglicht der Geschäftsleitung, ihrer Überwachungspflicht nachzukommen, ohne jedes Detail selbst prüfen zu müssen.
Was NIS2-Haftung nicht bedeutet
Zum Schluss eine Einordnung: NIS2 verlangt nicht, dass Geschäftsführer zu IT-Security-Experten werden. Die Richtlinie verlangt, dass sie:
- Cybersicherheit als strategisches Thema behandeln (nicht an die IT delegieren und vergessen)
- Informierte Entscheidungen treffen und dokumentieren
- Angemessene Ressourcen bereitstellen
- Sich ausreichend schulen lassen
Die persönliche Haftung soll verhindern, dass Cybersicherheit als “IT-Problem” abgetan wird. Sie soll sicherstellen, dass die Geschäftsleitung das Thema ernst nimmt — mit nachvollziehbaren Maßnahmen und dokumentierten Entscheidungen.
Nächste Schritte
- Was ist NIS2? — für den breiteren regulatorischen Kontext
- NIS2 und Lieferkettenmanagement — die Lieferkette als Teil der Geschäftsführer-Verantwortung
- DORA vs. NIS2 — wie sich die beiden Regulierungen unterscheiden