Volljurist und Compliance-Experte
23 Mar 2026
9 min
.svg)
§38 NIS2UmsuCG macht die Geschäftsleitung persönlich verantwortlich für die Billigung und Überwachung der Risikomanagementmaßnahmen nach §30 BSIG.
Die Haftung greift nach den Regeln des Gesellschaftsrechts. Ein Haftungsverzicht durch Gesellschaftervertrag oder Satzung ist gesetzlich ausgeschlossen.
Bei Verstößen drohen Bußgelder bis 10 Mio. Euro oder 2 % des Jahresumsatzes. Die Geschäftsleitung kann als Verantwortliche persönlich adressiert werden.
Enthaftung gelingt durch dokumentierte Billigung der Maßnahmen, regelmäßige GF-Schulungen und eine zentrale Nachweisführung über ein ISMS.
Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft und adressiert die Geschäftsleitung direkt. §38 BSIG verpflichtet Geschäftsführer besonders wichtiger und wichtiger Einrichtungen, die Risikomanagementmaßnahmen nach §30 persönlich zu billigen, deren Umsetzung zu überwachen und regelmäßig an Cybersicherheitsschulungen teilzunehmen. Die Beauftragung eines Dritten zur Erfüllung dieser Pflichten ist nicht zulässig.
Dieser Artikel erklärt die drei Kernpflichten, die Haftungsfolgen bei Verstößen und fünf konkrete Schritte, mit denen Geschäftsführer ihr persönliches Risiko minimieren.
§38 Abs. 1 NIS2UmsuCG formuliert es knapp: Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen sind verpflichtet, die nach §30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen. Das klingt wie eine Selbstverständlichkeit. In der Praxis bedeutet es drei nicht delegierbare Pflichten.
Billigen
Die Geschäftsleitung muss die Risikomanagementmaßnahmen aktiv genehmigen. Ein informelles „Machen Sie mal" reicht nicht. Die Billigung muss dokumentiert sein, idealerweise als Geschäftsleitungsbeschluss mit Datum, Teilnehmern und den konkret gebilligten Maßnahmen.
Überwachen
Die Geschäftsleitung muss die Umsetzung der gebilligten Maßnahmen aktiv kontrollieren. Das bedeutet nicht, dass der CEO selbst Firewalls konfiguriert. Es bedeutet, dass er sich regelmäßig über den Umsetzungsstand berichten lässt und bei Abweichungen eingreift. Quartalsweise Statusberichte mit konkreten KPIs (offene Risiken, Maßnahmenfortschritt, Incident-Zahlen) sind die Mindestanforderung.
Schulungen absolvieren
§38 Abs. 3 verlangt, dass die Geschäftsleitung regelmäßig an Cybersicherheitsschulungen teilnimmt. Ziel: ausreichende Kenntnisse, um Risiken zu erkennen, zu bewerten und deren Auswirkungen auf die erbrachten Dienste zu beurteilen. Das BSI stellt eine Geschäftsleitungsschulung als PDF bereit. Was genau die Schulungspflicht umfasst und wie Sie sie effizient erfüllen, erklären wir im Artikel zur NIS2 Schulungspflicht für Geschäftsführer.
Die Pflichten betreffen alle Geschäftsleitungsmitglieder, nicht nur den für IT zuständigen. In einer GmbH mit drei Geschäftsführern haften alle drei, wenn keiner die Umsetzung überwacht hat. Welche zehn Risikomanagementmaßnahmen §30 BSIG konkret verlangt, erklären wir im Artikel zu den NIS2 Anforderungen.
§38 Abs. 2 NIS2UmsuCG regelt die Haftung in zwei Sätzen. Satz 1: Geschäftsleitungen, die ihre Pflichten nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den Regeln des Gesellschaftsrechts. Satz 2: Nach diesem Gesetz haften sie nur, wenn das Gesellschaftsrecht keine Haftungsregelung enthält (Auffangtatbestand).
Das bedeutet in der Praxis: Die Haftung ist eine Innenhaftung. Die Gesellschaft (nicht das BSI und nicht ein geschädigter Dritter) kann den Geschäftsführer in Regress nehmen, wenn ein Schaden eingetreten ist, der durch pflichtgemäßes Handeln vermeidbar gewesen wäre. Ein Ransomware-Angriff, der den Betrieb für zwei Wochen lahmlegt und einen Millionenschaden verursacht, wäre ein solches Szenario, wenn die Geschäftsleitung weder Maßnahmen gebilligt noch deren Umsetzung überwacht hat.
Zwei Punkte, die in der Debatte oft übersehen werden:
Der Aufsichtsrat einer AG oder SE überwacht die Geschäftsführung (§111 AktG). Wenn die Geschäftsleitung die NIS2-Pflichten vernachlässigt und der Aufsichtsrat das nicht erkennt oder nicht einschreitet, kann auch er haftbar werden. Für den Aufsichtsrat heißt das: Cybersicherheit gehört auf die Tagesordnung der Sitzungen. Konkret sollte der Aufsichtsrat regelmäßig Berichte zum Umsetzungsstand der §30-Maßnahmen, zu offenen Risiken und zu Sicherheitsvorfällen einfordern.
"§38 schafft keine grundlegend neue Haftung für Geschäftsführer. Die Sorgfaltspflichten existierten vorher. Was sich geändert hat: Das Gesetz buchstabiert jetzt aus, was 'angemessene Cybersicherheit' konkret bedeutet. Und genau das macht es für Geschäftsführer gleichzeitig anspruchsvoller und einfacher. Anspruchsvoller, weil Unwissenheit kein Argument mehr ist. Einfacher, weil der Maßnahmenkatalog den Weg vorzeichnet."
Niklas Hanitsch, Gründer & Geschäftsführer bei SECJUR
Die Bußgelder nach §65 NIS2UmsuCG treffen zunächst das Unternehmen, nicht die Geschäftsleitung persönlich. Die Staffelung ist klar:
| Einrichtungstyp | Max. Bußgeld | Umsatzabhängig |
|---|---|---|
| Besonders wichtige Einrichtungen (bwE) | bis 10.000.000 Euro | bis 2 % des weltweiten Jahresumsatzes |
| Wichtige Einrichtungen (wE) | bis 7.000.000 Euro | bis 1,4 % des weltweiten Jahresumsatzes |
Die Bußgelder sind aber nicht das einzige Risiko. §61 gibt dem BSI weitreichende Aufsichtsbefugnisse gegenüber besonders wichtigen Einrichtungen: Das BSI kann Audits anordnen (Abs. 1), Nachweise über die Erfüllung der §30-Pflichten verlangen (Abs. 3) und bei anhaltender Nichterfüllung die zuständige Aufsichtsbehörde informieren, die dann Geschäftsleitungen vorübergehend die Ausübung ihrer Leitungstätigkeit untersagen kann (§61 Abs. 9 Nr. 2). Die konkreten Meldefristen bei Sicherheitsvorfällen (24h, 72h, 1 Monat) erklären wir unter NIS2 Meldepflicht.
Persönliche Haftung lässt sich nicht ausschließen, aber das Risiko lässt sich auf ein vertretbares Maß reduzieren. Der Schlüssel ist Nachweisbarkeit. Wer dokumentieren kann, dass er seine Pflichten nach §38 erfüllt hat, steht im Streitfall deutlich besser da.
Risikomanagementmaßnahmen formal billigen
Einen Geschäftsleitungsbeschluss fassen, der die zehn Maßnahmenbereiche nach §30 BSIG adressiert. Datum, Teilnehmer und die konkreten Maßnahmen protokollieren. Dieses Dokument ist im Ernstfall das wichtigste Beweisstück.
Regelmäßige Statusberichte einfordern
Quartalsweise einen Bericht vom CISO oder Informationssicherheitsbeauftragten einholen. Inhalte: Umsetzungsstand der §30-Maßnahmen, offene Risiken, Sicherheitsvorfälle, anstehende Audits. Die Berichte archivieren, denn sie belegen die Überwachungspflicht.
Persönliche GF-Schulung absolvieren
Die Schulungspflicht nach §38 Abs. 3 ist nicht delegierbar. Die Geschäftsleitung muss selbst teilnehmen, nicht der IT-Leiter stellvertretend. Die Teilnahme dokumentieren und die Zertifikate aufbewahren.
Nachweisführung zentralisieren
Billigung, Statusberichte, Schulungsnachweise, Risikoregister: Alles muss an einem Ort liegen und jederzeit abrufbar sein. ISMS-Plattformen wie SECJUR Digital Compliance Office (ab 10.000 Euro) bündeln diese Nachweise in einem System und machen die Compliance-Dokumentation auditfähig. Der interne Aufwand sinkt erfahrungsgemäß um bis zu 50 %, weil die Plattform Workflows und Vorlagen für genau diese §30-Maßnahmen mitbringt.
D&O-Police auf NIS2-Szenarien prüfen
Den Versicherungsmakler beauftragen, die D&O-Police auf Cyber-Ausschlussklauseln zu prüfen. Fragen: Sind Bußgeldregressansprüche gedeckt? Greift die Police bei Verstößen gegen Aufsichtspflichten im Bereich Cybersicherheit? Wie wird bedingter Vorsatz definiert? Eine angepasste Police ist kein Ersatz für Compliance, aber ein sinnvolles Sicherheitsnetz.
Die persönliche Haftung nach §38 ist kein Schreckgespenst, sondern ein Anlass, Cybersicherheit als Chefsache zu verankern. Der Maßnahmenkatalog des §30 BSIG gibt die Richtung vor. Die Enthaftung gelingt nicht durch ein einmaliges Projekt, sondern durch ein laufendes System: ein ISMS, das die Nachweisführung automatisiert und die Geschäftsleitung in den Steuerungskreislauf einbindet.
Plattformen wie SECJUR unterstützen genau diesen Ansatz: Risikoregister, Maßnahmen-Tracking, Schulungsnachweise und Audit-Dokumentation in einem Tool. Wer die Billigung, Überwachung und Schulung konsequent dokumentiert, reduziert sein persönliches Haftungsrisiko auf das Restrisiko, das jede Geschäftsführung tragen muss.
Die Kosten der NIS2-Umsetzung für Unternehmen verschiedener Größen erklären wir unter NIS2 Kosten.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
Ja. §38 Abs. 2 NIS2UmsuCG regelt, dass Geschäftsleitungen, die ihre Billigungs- und Überwachungspflichten verletzen, ihrer Einrichtung für schuldhaft verursachte Schäden nach den Regeln des Gesellschaftsrechts haften. Das kann eine Haftung mit dem Privatvermögen bedeuten.
Nein. §38 Abs. 1 NIS2UmsuCG verpflichtet die Geschäftsleitung persönlich, die Risikomanagementmaßnahmen zu billigen, deren Umsetzung zu überwachen und an Cybersicherheitsschulungen teilzunehmen. Die operative Umsetzung kann delegiert werden, die strategische Verantwortung nicht.
Besonders wichtige Einrichtungen riskieren Bußgelder bis 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 % des Umsatzes. Bei anhaltender Nichterfüllung kann das BSI die Untersagung der Leitungstätigkeit veranlassen.
Nicht automatisch. Viele D&O-Policen enthalten Cyber-Ausschlussklauseln. Vorsatz ist generell nicht versicherbar. Geschäftsführer sollten ihre D&O-Police auf NIS2-Szenarien prüfen lassen und sicherstellen, dass Aufsichtspflichtverletzungen im Bereich Cybersicherheit gedeckt sind.
Durch dokumentierte Billigung der §30-Maßnahmen, regelmäßige Statusberichte, persönliche Cybersicherheitsschulungen, zentrale Nachweisführung über ein ISMS und eine geprüfte D&O-Police. ISMS-Plattformen wie SECJUR (ab 10.000 Euro) bündeln die Compliance-Dokumentation und machen die Nachweisführung auditfähig.
ISO/IEC 27001:2013 – Die Aktualisierung auf 2022: Entdecken Sie die neuesten Änderungen und Herausforderungen. Unser Artikel beleuchtet die Überarbeitung der Norm für Informationssicherheitsmanagementsysteme (ISMS) und ihre Bedeutung für Unternehmen. Von der Evolution der Standards bis hin zur Implementierung der neuen Anforderungen – erfahren Sie, wie Ihr Unternehmen vom Update profitieren kann und bis wann die Umstellung erfolgen sollte.
Viele Unternehmen fokussieren sich beim EU AI Act auf Algorithmen, doch die wahre Compliance-Herausforderung liegt in der Datenqualität. Erfahren Sie, welche fünf Säulen Artikel 10 für Hochrisiko-KI vorschreibt und wie Sie Verzerrungen, Haftungsrisiken und Zulassungsprobleme vermeiden. Dieser Praxisleitfaden zeigt, wie Sie Daten-Governance strategisch aufbauen und vertrauenswürdige, rechtskonforme KI entwickeln.
Alles zum ISO 27001 Zertifizierungsprozess: Voraussetzungen, Stage 1 & 2 Audit, Dauer nach Unternehmensgröße und Gültigkeit des Zertifikats.
.svg)
.svg)
.svg){kind=small}