Volljurist und Compliance-Experte
December 22, 2025
5 Minuten
.svg)
NIS2 macht Cybersicherheit zur persönlichen Pflicht der Geschäftsführung und verankert die Haftung im Gesellschaftsrecht.
Geschäftsführer müssen Cyberrisiken verstehen, bewerten und die Risikobehandlung aktiv genehmigen und überwachen.
Regelmäßige Schulungen und eine lückenlose Dokumentation sind essenziell, um persönliche Haftungsrisiken wirksam zu reduzieren.
Eine gelebte Sicherheitskultur und klare Prozesse stärken nicht nur die Compliance, sondern erhöhen nachhaltig die Widerstandsfähigkeit des Unternehmens.
Ihre Verantwortung für die Finanzen des Unternehmens ist persönlich. Sie prüfen Bilanzen, genehmigen Budgets und stehen für die finanzielle Gesundheit gerade. Was aber, wenn wir Ihnen sagen, dass Ihre Verantwortung für die Cybersicherheit jetzt auf genau derselben Stufe steht?
Mit der NIS2-Richtlinie ist die Cybersicherheit endgültig aus dem Serverraum in die Vorstandsetage umgezogen. Es geht nicht mehr nur um technische Details, die an die IT-Abteilung delegiert werden. Es geht um eine unternehmerische Kernaufgabe, für deren Vernachlässigung Sie als Geschäftsführer oder Vorstand persönlich – mit Ihrem Privatvermögen – haften können.
Dieser Leitfaden ist kein juristisches Fachchinesisch. Er ist ein Management-Playbook, das Ihnen zeigt, wie Sie diese neue Realität nicht als Bedrohung, sondern als Chance für eine robustere Unternehmensführung begreifen. Wir übersetzen komplexe rechtliche Anforderungen in klare, umsetzbare Strategien, damit Sie sich und Ihr Unternehmen wirksam schützen können.
Die erste und wichtigste Erkenntnis ist ein "Aha-Moment": NIS2 erfindet die persönliche Haftung von Geschäftsführern nicht neu. Vielmehr aktiviert und konkretisiert die Richtlinie bestehende Haftungsregelungen des deutschen Gesellschaftsrechts, insbesondere § 43 GmbHG (Sorgfaltspflicht eines Geschäftsführers) und § 93 AktG (Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder).
Bisher war die Verbindung zwischen einer schwachen IT-Sicherheit und einer Pflichtverletzung der Geschäftsführung eine juristische Grauzone. NIS2 schafft hier Klarheit: Das Management von Cyberrisiken ist nun unmissverständlich Teil der unternehmerischen Sorgfaltspflicht.
Eine einfache Analogie hilft, dies zu verstehen: die Finanzaufsicht.
Sie als Geschäftsführer müssen kein zertifizierter Buchhalter sein, um einen Jahresabschluss zu verstehen und zu genehmigen. Sie müssen jedoch die richtigen Fragen stellen, die Plausibilität prüfen und sicherstellen, dass robuste Prozesse etabliert sind. Bei grober Fahrlässigkeit haften Sie.
Exakt dieses Prinzip gilt nun für Cybersicherheit. Sie müssen kein ethischer Hacker sein, aber Sie müssen nachweisen können, dass Sie die Cyberrisiken verstanden, bewertet und angemessene Maßnahmen zur Risikobehandlung gebilligt und deren Umsetzung überwacht haben. Ignoranz ist keine Verteidigungsstrategie mehr. Die entscheidende Frage im Schadensfall lautet: Haben Sie mit der Sorgfalt eines ordentlichen Kaufmanns gehandelt?
Um die abstrakten Anforderungen in die Praxis zu überführen, lässt sich die Verantwortung der Geschäftsführung in drei konkrete Handlungsfelder unterteilen: Billigen, Überwachen und Schulen. Diese drei Säulen bilden die Grundlage Ihrer Verteidigungsstrategie und zeigen, wie Sie die NIS2 Haftung für Geschäftsführer proaktiv steuern können.
Ihre erste Aufgabe ist es, die vom Unternehmen vorgeschlagenen Risikomanagement-Maßnahmen für die Cybersicherheit kritisch zu prüfen und formell zu genehmigen. Das bedeutet nicht, jede Firewall-Regel selbst zu schreiben, sondern die strategische Ausrichtung zu verstehen und zu hinterfragen.
Praktische Umsetzung:
Mit der Genehmigung endet Ihre Verantwortung nicht. Sie müssen die Umsetzung der Maßnahmen aktiv überwachen. Delegation an einen CISO oder IT-Leiter ist notwendig, entbindet Sie aber nicht von Ihrer Aufsichtspflicht.
Praktische Umsetzung:
NIS2 schreibt explizit vor, dass die Geschäftsleitung selbst an Schulungen zum Thema Cybersicherheit teilnehmen muss. Dies ist keine Formalität, sondern Ihre erste persönliche Verteidigungslinie. Es beweist, dass Sie Ihre Verantwortung ernst nehmen und die notwendige Kompetenz erwerben, um fundierte Entscheidungen zu treffen.
Praktische Umsetzung:
Das Verständnis Ihrer Pflichten ist die eine Sache, der lückenlose Nachweis ihrer Erfüllung die andere. Im Ernstfall müssen Sie beweisen können, dass Sie nicht fahrlässig gehandelt haben. Dieser Nachweis ist Ihr persönlicher Haftungsschutz.
Jede Entscheidung, jede Diskussion und jede Genehmigung im Kontext der Cybersicherheit muss sorgfältig dokumentiert werden. Ihre Sitzungsprotokolle sind im Streitfall entscheidende Beweismittel.
Eine Directors-and-Officers-Versicherung (D&O) ist ein wichtiger Baustein zur Absicherung. Sie springt ein, wenn Sie wegen einer vermeintlichen Pflichtverletzung in Anspruch genommen werden. Aber Achtung: Sie ist kein Freifahrtschein. Bei Vorsatz oder grober Fahrlässigkeit kann die Versicherung die Leistung verweigern. Überprüfen Sie Ihre Police genau, ob Cyberrisiken ausreichend abgedeckt sind und welche Ausschlüsse es gibt. Eine gute D&O-Police ist unerlässlich, um die persönliche Haftung nach NIS2 zu flankieren.
Letztendlich ist der beste Schutz eine gelebte Sicherheitskultur. Wenn Sie als Führungskraft das Thema Cybersicherheit vorleben, es regelmäßig ansprechen und mit Ressourcen ausstatten, schaffen Sie ein Umfeld, in dem Risiken proaktiv gemanagt werden. Dies reduziert nicht nur die Wahrscheinlichkeit eines Vorfalls, sondern ist auch der stärkste Beweis für Ihr pflichtbewusstes Handeln.
Warten Sie nicht, bis die Gesetze final umgesetzt sind. Beginnen Sie jetzt, Ihre persönliche Haftung zu minimieren.
Die persönliche Haftung für Geschäftsführer unter NIS2 ist eine ernste, aber beherrschbare Herausforderung. Der Schlüssel liegt darin, Cybersicherheit als das zu begreifen, was sie ist: eine strategische Managementaufgabe, die genauso viel Aufmerksamkeit erfordert wie Finanzen, Vertrieb oder Personal.
Indem Sie Ihre Pflichten verstehen, eine klare Struktur für deren Erfüllung schaffen und Ihr Handeln sorgfältig dokumentieren, bauen Sie einen robusten Schutzschild für sich und Ihr Unternehmen auf. Nutzen Sie die Anforderungen von NIS2 als Impuls, um die digitale Widerstandsfähigkeit Ihrer Organisation nachhaltig zu stärken. Die NIS2 Haftung ist eine Realität, der Sie mit der richtigen Vorbereitung souverän begegnen können.
Die primäre Verantwortung liegt beim Unternehmen. Allerdings haften die Leitungsorgane (Geschäftsführer, Vorstände) persönlich für die Verletzung ihrer Überwachungs- und Organisationspflichten. Wenn ein Sicherheitsvorfall auf eine nachweisliche Vernachlässigung dieser Pflichten zurückzuführen ist, können sie mit ihrem Privatvermögen für den entstandenen Schaden in Regress genommen werden.
Ihre Kernpflichten umfassen die Billigung von Risikomanagement-Maßnahmen, die Überwachung ihrer Umsetzung und die Teilnahme an Cybersicherheits-Schulungen. Sie müssen sicherstellen, dass das Unternehmen über angemessene technische und organisatorische Maßnahmen (TOMs) verfügt, um Cyberrisiken zu beherrschen.
Durch proaktives Handeln und lückenlose Dokumentation. Etablieren Sie einen robusten Prozess für das Management von Cyberrisiken, stellen Sie die richtigen Fragen, genehmigen Sie angemessene Budgets auf Basis von Risikoanalysen und dokumentieren Sie alle Entscheidungen sorgfältig. Der Nachweis, dass Sie mit der Sorgfalt eines ordentlichen Kaufmanns gehandelt haben, ist Ihr bester Schutz.
Nein. Delegation ist notwendig, aber sie entbindet Sie nicht von Ihrer Aufsichts- und Überwachungspflicht. Sie bleiben letztverantwortlich. Der Mythos "Ich habe einen Experten dafür, also bin ich aus dem Schneider" ist eine der gefährlichsten Annahmen, die ein NIS2 Geschäftsführer treffen kann.
Im Prinzip ja, aber der Teufel steckt im Detail. Prüfen Sie Ihre Police genau auf Ausschlüsse, insbesondere bei grober Fahrlässigkeit. Eine D&O-Versicherung ist ein wichtiger Schutzschirm, aber kein Ersatz für sorgfältiges Handeln. Die Auseinandersetzung mit der NIS2 Haftung ist unumgänglich.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
Viele Unternehmen sehen die Managementbewertung als Pflichttermin, dabei steckt enormes Potenzial darin. Dieser Leitfaden zeigt, wie Sie aus der jährlichen Bewertung ein strategisches Führungsinstrument machen, das Transparenz schafft, Entscheidungen verbessert und Ihr Qualitätsmanagement gezielt weiterentwickelt.
ISO 9001 muss kein bürokratisches Monster sein. Unser Leitfaden zeigt KMU, wie sie die Zertifizierung effizient, teamorientiert und mit minimalem Aufwand umsetzen – für bessere Prozesse, zufriedene Kunden und nachhaltigen Geschäftserfolg.
Viele Unternehmen sichern ihre eigenen Systeme, doch NIS2 verlangt mehr: Resilienz entlang der gesamten Lieferkette. Erfahren Sie, wie Sie Risiken bei Zulieferern erkennen, bewerten und vertraglich absichern. Dieser Leitfaden zeigt praxisnah, wie Sie Ihr Business Continuity Management (BCM) erweitern, NIS2-Compliance erreichen und Ihre Lieferkette zu einem echten Wettbewerbsvorteil machen.
.svg)
.svg)
.svg){kind=small}