Volljurist und Compliance-Experte
November 19, 2025
5 Minuten
.svg)
Geschäftsführer tragen unter NIS2 persönliche Verantwortung für die Cybersicherheit ihres Unternehmens.
Delegation entbindet Führungskräfte nicht von der Pflicht, Risiken zu kennen und geeignete Maßnahmen zu billigen.
Fehlende Budgetfreigaben oder unzureichende Überwachung können als grobe Fahrlässigkeit gewertet werden.
Regelmäßige Schulungen und dokumentierte Entscheidungen sind entscheidend, um Haftungsrisiken zu minimieren.
Stellen Sie sich vor, Ihr Unternehmen wird Ziel eines schweren Cyberangriffs. Der Betrieb steht still, Kundendaten sind kompromittiert, der finanzielle Schaden ist enorm. In der anschließenden Untersuchung stellt sich heraus, dass die Geschäftsführung wiederholt Budgetanfragen der IT-Abteilung für eine modernere Firewall abgelehnt hat. Bisher war das ein Problem für das Unternehmen. Mit der neuen NIS2-Richtlinie wird es auch zu Ihrem persönlichen Problem.
Cybersicherheit ist kein Thema mehr, das man an die IT-Abteilung delegieren und vergessen kann. Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) verankert die Verantwortung für das Risikomanagement unmissverständlich in der Chefetage. Wer diese Pflicht vernachlässigt, haftet im schlimmsten Fall mit seinem Privatvermögen.
Dieser Artikel ist Ihr Leitfaden. Wir übersetzen das Juristendeutsch in klare Handlungsanweisungen und zeigen Ihnen, wie Sie Ihre neuen Pflichten nicht nur erfüllen, sondern als strategischen Vorteil nutzen – ohne selbst zum IT-Experten werden zu müssen.
Die vielleicht größte Veränderung durch die NIS2-Richtlinie ist die explizite Zuweisung der Verantwortung an die Geschäftsleitung. Bisher konnten sich Führungskräfte oft hinter dem Argument verstecken, sie hätten Cybersicherheit an Experten delegiert. Diese Zeit ist vorbei.
Das Gesetz macht deutlich: Sie können Aufgaben delegieren, aber niemals die Gesamtverantwortung. Als Geschäftsführer oder Vorstand sind Sie persönlich dafür verantwortlich, dass angemessene Cybersicherheitsmaßnahmen nicht nur existieren, sondern auch finanziert, umgesetzt und überwacht werden.
Die rechtliche Grundlage findet sich im Entwurf des § 38 des NIS2-Umsetzungsgesetzes, der auf bestehenden Regelungen wie § 43 GmbHG und § 93 AktG aufbaut. Man könnte sagen: NIS2 erfindet die persönliche Haftung nicht neu, aber es legt eine riesige Lupe auf die Sorgfaltspflichten im Bereich der Cybersicherheit. Eine Vernachlässigung kann als grob fahrlässig eingestuft werden – mit direkten Konsequenzen für Sie.
Um Ihre persönliche Haftung zu minimieren, müssen Sie drei zentrale Pflichten aktiv wahrnehmen. Diese bilden den Kern Ihrer neuen Governance-Aufgabe im Bereich der Cybersicherheit.
Das Wort „billigen“ klingt passiv, meint aber das genaue Gegenteil. Es bedeutet, dass Sie die vom Unternehmen vorgeschlagenen Risikomanagementmaßnahmen aktiv prüfen, verstehen und freigeben müssen. Das ist mehr als nur ein Nicken im Meeting.
Was das in der Praxis bedeutet:
Nach der Genehmigung endet Ihre Arbeit nicht. Sie sind verpflichtet, die Umsetzung der Maßnahmen kontinuierlich zu überwachen. Das bedeutet nicht, dass Sie selbst die Firewall konfigurieren müssen. Es bedeutet, dass Sie einen funktionierenden Kontroll- und Berichtsprozess etablieren.
Was das in der Praxis bedeutet:
NIS2 schreibt vor, dass Leitungsorgane selbst an Cybersicherheitsschulungen teilnehmen müssen. Ziel ist es, dass Sie die Risiken verstehen und fundierte Entscheidungen treffen können. Darüber hinaus müssen Sie sicherstellen, dass auch die Belegschaft regelmäßig geschult wird, um das Bewusstsein für Cybergefahren zu schärfen.
Was das in der Praxis bedeutet:
Für viele, insbesondere für NIS2 KMU, stellt dies eine neue Herausforderung dar, die jedoch entscheidend für eine widerstandsfähige Sicherheitskultur ist.
Viele Führungskräfte wiegen sich in falscher Sicherheit. Diese drei Mythen sind besonders verbreitet und können im Ernstfall teuer werden.
⚠️ Haftungsfalle: Zu glauben, dass die Einstellung eines Chief Information Security Officers (CISO) oder IT-Leiters Sie aus der Verantwortung entlässt.
Die Realität: Der CISO ist Ihr wichtigster Experte für die Umsetzung der Sicherheitsmaßnahmen. Er ist der ausführende Arm. Die strategische Verantwortung, die Überwachung und die Bereitstellung der notwendigen Ressourcen verbleiben jedoch unmissverständlich bei Ihnen. Wenn Ihr CISO meldet, dass das Budget für ein kritisches Sicherheitstool fehlt, und Sie diese Mittel nicht freigeben, haften Sie – nicht der CISO.
⚠️ Haftungsfalle: Sich blind darauf zu verlassen, dass eine Manager-Haftpflichtversicherung (D&O-Versicherung) im Schadensfall einspringt.
Die Realität: D&O-Versicherungen decken in der Regel keine Schäden ab, die durch grobe Fahrlässigkeit oder wissentliche Pflichtverletzung entstehen. Die systematische Ignoranz der NIS2-Anforderungen – also das Versäumnis, Maßnahmen zu billigen, zu überwachen oder sich schulen zu lassen – kann genau als solche grobe Fahrlässigkeit gewertet werden. Im Klartext: Die Versicherung könnte die Zahlung verweigern und Sie bleiben auf den Kosten sitzen.
⚠️ Haftungsfalle: Den Stichtag im Oktober 2024 zu ignorieren und eine reaktive Haltung einzunehmen.
Die Realität: Der Aufbau eines robusten Informationssicherheits-Managementsystems (ISMS), die Durchführung von Risikobewertungen und die Etablierung von Prozessen wie einem NIS2 Business Continuity Management brauchen Zeit. Die Anforderungen gelten ab dem Stichtag. Wer erst danach beginnt, handelt bereits fahrlässig. Die Behörden werden nicht nur auf Vorfälle reagieren, sondern können auch proaktiv die Einhaltung der Vorschriften prüfen. Eine vollständige NIS2 Compliance ist ein Marathon, kein Sprint.
Die gute Nachricht ist: Sie müssen kein Cybersicherheitsexperte werden. Ihre Aufgabe ist es, die richtigen Fragen zu stellen, die richtigen Prozesse zu etablieren und fundierte Entscheidungen zu treffen.
Ihr persönlicher Fahrplan:
Die persönliche Haftung unter NIS2 mag zunächst beängstigend wirken. Doch sie birgt auch eine große Chance. Unternehmen, deren Führungsebene Cybersicherheit als strategisches Thema ernst nimmt, sind nicht nur besser vor Angriffen geschützt, sondern auch widerstandsfähiger, innovativer und vertrauenswürdiger für Kunden und Partner.
Sehen Sie die neuen Pflichten nicht als Last, sondern als Mandat, Ihr Unternehmen sicher in die digitale Zukunft zu führen. Indem Sie die Verantwortung annehmen, schützen Sie nicht nur Ihr Privatvermögen, sondern vor allem den Wert und die Zukunftsfähigkeit Ihres gesamten Unternehmens.
Als Leitungsorgane gelten in der Regel die gesetzlichen Vertreter juristischer Personen, also beispielsweise die Geschäftsführer einer GmbH, die Vorstandsmitglieder einer AG oder vergleichbare Positionen in anderen Unternehmensformen.
Ja, das Gesetz fordert explizit, dass die Leitungsorgane selbst Schulungen absolvieren, um die Risiken zu verstehen und ihre Überwachungspflichten erfüllen zu können.
Bei Verstößen drohen hohe Bußgelder für das Unternehmen (bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes). Zusätzlich können Sie persönlich für den entstandenen Schaden haftbar gemacht werden, wenn Ihnen eine Pflichtverletzung nachgewiesen wird. Dies kann zivilrechtliche Schadensersatzforderungen bis hin zur Inanspruchnahme Ihres Privatvermögens nach sich ziehen.
Eine Freistellung durch das Unternehmen im Innenverhältnis ist zwar möglich, aber bei grober Fahrlässigkeit oder Vorsatz rechtlich oft unwirksam. Gegenüber Dritten (z.B. geschädigten Kunden) haften Sie unter Umständen direkt, und eine interne Regelung schützt Sie davor nicht.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
Die neuen NIS2-Meldepflichten stellen viele Unternehmen vor Herausforderungen: strenge Fristen, komplexe Prozesse und hohe Risiken bei Verstößen. Erfahren Sie, wie Automatisierung Ihr Incident Management transformieren kann und Sie rechtskonform bleiben.
Viele Unternehmen starten ihre ISO 27001-Zertifizierung, doch der entscheidende Fehler passiert bereits am Anfang: ein unklar definierter Geltungsbereich. Dieser Leitfaden zeigt, wie Sie den Scope Ihres ISMS präzise festlegen, Ressourcen gezielt einsetzen und typische Audit-Fallen vermeiden. Erfahren Sie, wie Sie Informationswerte, Standorte, Cloud-Dienste und Lieferantenbeziehungen sinnvoll abgrenzen für ein schlankes, wirksames und erfolgreich zertifizierbares ISMS, das echte Sicherheit schafft statt Bürokratie.
Die NIS2-Richtlinie ist eine bedeutende EU-Regulierung im Bereich der Cybersicherheit, die derzeit viel Aufmerksamkeit erhält. In Deutschland wird diese Richtlinie durch das NIS2-Umsetzungsgesetz umgesetzt, für das ein aktueller Entwurf vorliegt. Dies hat direkte Auswirkungen auf Unternehmen, da sie bald aktiv werden müssen, um den neuen Anforderungen der Richtlinie gerecht zu werden. Es besteht also Handlungsbedarf. Doch was bedeutet die Richtlinie konkret für die Unternehmen, die von ihr betroffen sind? Die SECJUR-Experten klären auf.
.svg)
.svg)
.svg){kind=small}