Informationssicherheits- und Datenschutzexpertin
November 28, 2025
5 Minuten
.svg)
Der Aufsichtsrat trägt unter NIS2 eine eigene, nicht delegierbare Verantwortung für Cybersicherheit.
Mangelhafte Überwachung kann zu persönlicher Haftung der Aufsichtsratsmitglieder führen.
Wirksames NIS2-Reporting ist die Grundlage für eine auditsichere Governance.
Cybersecurity wird zur strategischen Kernaufgabe des Aufsichtsrats.
Während in Vorstandsetagen intensiv über die NIS2-Richtlinie diskutiert wird, konzentriert sich die Debatte meist auf eine Person: den Geschäftsführer. Die Botschaft ist klar – Cybersecurity ist Chefsache und die persönliche Haftung bei Verstößen ist real. Doch was oft übersehen wird: Die wahre, stille Revolution der NIS2 findet eine Ebene darüber statt, im Aufsichtsrat.
Viele Aufsichtsräte gehen noch davon aus, dass Cybersicherheit ein rein operatives Thema ist, das von der Geschäftsführung umgesetzt und verantwortet wird. Das ist ein gefährlicher Trugschluss. NIS2 definiert die Rolle des Aufsichtsgremiums neu und überträgt ihm eine explizite und nicht delegierbare Verantwortung für die Überwachung der Cyber-Risikomanagementmaßnahmen.
Wer diese neue Pflicht zur aktiven Aufsicht vernachlässigt, riskiert nicht nur empfindliche Strafen für das Unternehmen, sondern setzt auch sein Privatvermögen aufs Spiel. Dies ist der Moment, in dem Cybersicherheit endgültig von einem IT-Thema zu einer zentralen Governance-Aufgabe wird.
Das größte Missverständnis rund um die NIS2-Pflichten liegt in der Vermischung der Rollen von Geschäftsführung und Aufsichtsrat. Beide Gremien sind für die Cybersicherheit verantwortlich, aber auf fundamental unterschiedliche Weise. Während die Geschäftsführung für die Umsetzung zuständig ist, trägt der Aufsichtsrat die Verantwortung für die Überwachung.
Diese klare Trennung ist der Kern der NIS2-Governance. Sie soll sicherstellen, dass die strategische Kontrolle unabhängig von der operativen Ausführung erfolgt.
Was bedeutet „Überwachung“ in der Praxis? Es geht nicht darum, Firewalls zu konfigurieren oder Virenscanner zu prüfen. Die Aufsichtspflicht des Aufsichtsrats stützt sich auf vier strategische Säulen, die eine strukturierte und nachweisbare Kontrolle ermöglichen.
Die Geschäftsführung legt eine Strategie zum Management von Cyber-Risiken vor – der Aufsichtsrat muss diese kritisch prüfen, hinterfragen und letztlich billigen. Das bedeutet, Antworten auf folgende Fragen zu verlangen:
Eine Strategie ohne Budget ist wertlos. Der Aufsichtsrat muss sicherstellen, dass die Geschäftsführung ausreichende finanzielle und personelle Ressourcen für die Cybersicherheit bereitstellt. Ein einfaches Abnicken des vorgeschlagenen Budgets reicht nicht aus. Das Gremium muss hinterfragen, ob die Mittel ausreichen, um die strategischen Ziele tatsächlich zu erreichen und die Risiken effektiv zu minimieren.
NIS2 schreibt regelmäßige Cybersicherheitsschulungen für alle Mitarbeiterebenen vor – inklusive der Geschäftsführung. Der Aufsichtsrat muss sich vergewissern, dass diese Schulungen nicht nur stattfinden, sondern auch wirksam sind. Er sollte Nachweise über die Teilnahme und das Verständnis der Inhalte anfordern, um die Sicherheitskultur im Unternehmen zu bewerten.
Der Aufsichtsrat kann nur überwachen, was er weiß. Daher muss er klare Anforderungen an das Reporting der Geschäftsführung stellen. Wie oft wird berichtet? Welche Kennzahlen sind relevant? Welche Vorfälle müssen unverzüglich eskaliert werden? Ohne definierte Informationsflüsse agiert der Aufsichtsrat im Blindflug.
Die Erfüllung der NIS2-Pflichten ist mehr als nur das Abhaken einer Checkliste. Es ist eine strategische Notwendigkeit, die das Unternehmen widerstandsfähiger macht. Ein proaktiver Aufsichtsrat nutzt NIS2 als Hebel, um die Cyber-Resilienz des gesamten Unternehmens zu stärken.
Das hat auch direkte Auswirkungen auf andere Bereiche der Unternehmensführung. So werden D&O-Versicherungen (Directors and Officers) künftig sehr genau prüfen, ob Aufsichtsgremien ihre Pflichten nach NIS2 nachweislich erfüllt haben. Eine mangelhafte Überwachung kann im Schadensfall zur Leistungsverweigerung der Versicherung führen.
Während die persönliche Haftung unter NIS2 für die Leitungsorgane ein zentrales Thema ist, geht es für den Aufsichtsrat darum, durch kluge Governance die Weichen für eine sichere Zukunft zu stellen. Diese strategische Aufsicht ist die Grundlage für eine erfolgreiche Umsetzung im gesamten Unternehmen, die in einem umfassenden NIS2 Leitfaden für Unternehmen detailliert wird.
Wie können Sie als Aufsichtsratsmitglied sicherstellen, Ihrer neuen Verantwortung gerecht zu werden? Beginnen Sie damit, die richtigen Fragen zu stellen. Nutzen Sie die nächste Sitzung, um die Diskussion mit der Geschäftsführung proaktiv zu gestalten.
Hier sind essenzielle Fragen, die jeder Aufsichtsrat stellen sollte:
Achten Sie auf rote Flaggen in den Berichten der Geschäftsführung: vage Formulierungen, ein reiner Fokus auf Technologie statt auf Geschäftsrisiken und das Herunterspielen von kleinen Sicherheitsvorfällen.
NIS2 ist mehr als nur eine weitere Regulierung. Es ist ein fundamentaler Wandel, der den Aufsichtsrat aus einer passiven Kontrollfunktion in die Rolle eines aktiven, strategischen Gestalters der digitalen Sicherheit rückt.
Indem Sie Ihre Aufsichtspflicht ernst nehmen, die richtigen Fragen stellen und eine Kultur der Transparenz und Verantwortung einfordern, schützen Sie nicht nur sich selbst und das Unternehmen vor Haftungsrisiken. Sie werden zum entscheidenden Wegbereiter für eine widerstandsfähige und zukunftsfähige Organisation im digitalen Zeitalter. Der erste Schritt beginnt in Ihrer nächsten Aufsichtsratssitzung.
Die explizite und persönliche Verantwortung für die Überwachung der Cyber-Risikomanagementmaßnahmen der Geschäftsführung. Der Aufsichtsrat muss die Strategie billigen und ihre Umsetzung kontrollieren.
Nein. Die übergeordnete Aufsichtspflicht und die damit verbundene Haftung können nicht an Ausschüsse, externe Berater oder die Geschäftsführung delegiert werden. Die Letztverantwortung verbleibt beim Gesamtgremium.
Ein Aufsichtsrat muss kein IT-Experte sein. Er muss jedoch über ausreichendes Wissen verfügen, um die richtigen Fragen zu stellen, die Berichte der Geschäftsführung kritisch zu bewerten und die strategischen Risiken für das Unternehmen zu verstehen. Es geht um Governance-Kompetenz, nicht um technische Detailkenntnis.
Bei Verstößen gegen die Aufsichtspflicht können die Mitglieder des Aufsichtsrats persönlich haftbar gemacht werden. Dies kann zivilrechtliche Schadensersatzforderungen nach sich ziehen und im schlimmsten Fall das Privatvermögen betreffen. Zudem drohen dem Unternehmen hohe Bußgelder und erheblicher Reputationsschaden.
Nandini Suresh ist Compliance Expert bei SECJUR und spezialisiert auf Datenschutz, Cybersecurity und geistiges Eigentum. Bevor sie zu SECJUR kam, war sie unter anderem bei Bird & Bird sowie Lorenz Seidler Gossel tätig und betreute dort internationale Mandate im Marken- und Datenschutzrecht. Durch ihre Erfahrung an der Schnittstelle von Recht, Technologie und Compliance verbindet sie juristische Präzision mit einem tiefen Verständnis für die regulatorischen Anforderungen moderner Unternehmen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
Werden personenbezogene Daten eines Arbeitnehmers als betroffener Person (vgl. Art. 4 Nr. 1 DSGVO) von dem Arbeitgeber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) verarbeitet, befinden wir uns in einem sehr spezifischen rechtlichen Verhältnis. In dieser Konstellation gilt der sogenannte Arbeitnehmerdatenschutz.
Der EU AI Act sorgt in der Open-Source-Community für viel Unsicherheit, doch mit dem richtigen Verständnis verlieren die Regeln ihren Schrecken. Dieser Leitfaden zeigt Entwicklern praxisnah, wann die Open-Source-Ausnahme wirklich gilt, welche Projekte trotz freier Lizenz voll reguliert sind und wie Sie Transparenz, Dokumentation und Risikomanagement effizient umsetzen. Erfahren Sie, wie Sie Open-Source-KI verantwortungsvoll entwickeln und gleichzeitig rechtssicher bleiben, ohne Ihre Innovationsfreiheit einzuschränken.
Viele KRITIS-Betreiber unterschätzen, wie stark NIS2 ihre Sicherheits- und Nachweispflichten verschärft. Dieser Leitfaden zeigt, warum klassische Compliance-Prozesse nicht mehr ausreichen, wie automatisierte Sicherheitssysteme Incident Response, Asset-Management und Lieferkettenschutz transformieren und wie Sie NIS2 als strategischen Hebel für Resilienz, Haftungsreduzierung und operative Stabilität nutzen. Erfahren Sie, wie moderne Automatisierung Sie vom reaktiven Krisenmodus zu einem proaktiven, audit-sicheren Sicherheitsniveau führt.
.svg)
.svg)
.svg){kind=small}