In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
NIS2: Persönliche Haftung von Geschäftsführern reduzieren

NIS2: Persönliche Haftung von Geschäftsführern reduzieren

Niklas Hanitsch

Volljurist und Compliance-Experte

November 28, 2025

5 Minuten

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Key Takeaways

NIS2 macht Cybersicherheit zur persönlichen Pflicht der Geschäftsführung und verankert die Haftung im Gesellschaftsrecht.

Geschäftsführer müssen Cyberrisiken verstehen, bewerten und die Risikobehandlung aktiv genehmigen und überwachen.

Regelmäßige Schulungen und eine lückenlose Dokumentation sind essenziell, um persönliche Haftungsrisiken wirksam zu reduzieren.

Eine gelebte Sicherheitskultur und klare Prozesse stärken nicht nur die Compliance, sondern erhöhen nachhaltig die Widerstandsfähigkeit des Unternehmens.

Ihre Verantwortung für die Finanzen des Unternehmens ist persönlich. Sie prüfen Bilanzen, genehmigen Budgets und stehen für die finanzielle Gesundheit gerade. Was aber, wenn wir Ihnen sagen, dass Ihre Verantwortung für die Cybersicherheit jetzt auf genau derselben Stufe steht?

Mit der NIS2-Richtlinie ist die Cybersicherheit endgültig aus dem Serverraum in die Vorstandsetage umgezogen. Es geht nicht mehr nur um technische Details, die an die IT-Abteilung delegiert werden. Es geht um eine unternehmerische Kernaufgabe, für deren Vernachlässigung Sie als Geschäftsführer oder Vorstand persönlich – mit Ihrem Privatvermögen – haften können.

Dieser Leitfaden ist kein juristisches Fachchinesisch. Er ist ein Management-Playbook, das Ihnen zeigt, wie Sie diese neue Realität nicht als Bedrohung, sondern als Chance für eine robustere Unternehmensführung begreifen. Wir übersetzen komplexe rechtliche Anforderungen in klare, umsetzbare Strategien, damit Sie sich und Ihr Unternehmen wirksam schützen können.

Das Fundament: Warum die Haftung unter NIS2 persönlich wird

Die erste und wichtigste Erkenntnis ist ein "Aha-Moment": NIS2 erfindet die persönliche Haftung von Geschäftsführern nicht neu. Vielmehr aktiviert und konkretisiert die Richtlinie bestehende Haftungsregelungen des deutschen Gesellschaftsrechts, insbesondere § 43 GmbHG (Sorgfaltspflicht eines Geschäftsführers) und § 93 AktG (Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder).

Bisher war die Verbindung zwischen einer schwachen IT-Sicherheit und einer Pflichtverletzung der Geschäftsführung eine juristische Grauzone. NIS2 schafft hier Klarheit: Das Management von Cyberrisiken ist nun unmissverständlich Teil der unternehmerischen Sorgfaltspflicht.

Eine einfache Analogie hilft, dies zu verstehen: die Finanzaufsicht.

Diese Visualisierung nutzt die vertraute Finanzaufsicht als Metapher, um das Konzept der persönlichen Haftung unter NIS2 verständlich zu machen. Sie zeigt, dass Geschäftsführer keine technischen Experten sein müssen, aber dennoch für Cyber-Risikomanagement verantwortlich sind – ähnlich wie bei finanzieller Verantwortung.

Sie als Geschäftsführer müssen kein zertifizierter Buchhalter sein, um einen Jahresabschluss zu verstehen und zu genehmigen. Sie müssen jedoch die richtigen Fragen stellen, die Plausibilität prüfen und sicherstellen, dass robuste Prozesse etabliert sind. Bei grober Fahrlässigkeit haften Sie.

Exakt dieses Prinzip gilt nun für Cybersicherheit. Sie müssen kein ethischer Hacker sein, aber Sie müssen nachweisen können, dass Sie die Cyberrisiken verstanden, bewertet und angemessene Maßnahmen zur Risikobehandlung gebilligt und deren Umsetzung überwacht haben. Ignoranz ist keine Verteidigungsstrategie mehr. Die entscheidende Frage im Schadensfall lautet: Haben Sie mit der Sorgfalt eines ordentlichen Kaufmanns gehandelt?

Ihre Kernpflichten als Führungskraft: Ein Management-Playbook

Um die abstrakten Anforderungen in die Praxis zu überführen, lässt sich die Verantwortung der Geschäftsführung in drei konkrete Handlungsfelder unterteilen: Billigen, Überwachen und Schulen. Diese drei Säulen bilden die Grundlage Ihrer Verteidigungsstrategie und zeigen, wie Sie die NIS2 Haftung für Geschäftsführer proaktiv steuern können.

Dieses Flussdiagramm spiegelt die drei zentralen Führungsaufgaben wider, mit denen Geschäftsführer Haftungsrisiken unter NIS2 minimieren können. Die strukturierte Anordnung macht die unbedingt zu ergreisenden Schritte unmittelbar nachvollziehbar.

1. Pflicht zum Billigen: Risikomanagement-Maßnahmen genehmigen

Ihre erste Aufgabe ist es, die vom Unternehmen vorgeschlagenen Risikomanagement-Maßnahmen für die Cybersicherheit kritisch zu prüfen und formell zu genehmigen. Das bedeutet nicht, jede Firewall-Regel selbst zu schreiben, sondern die strategische Ausrichtung zu verstehen und zu hinterfragen.

Praktische Umsetzung:

  • Fordern Sie eine verständliche Risikobewertung: Lassen Sie sich die Top-Cyberrisiken für Ihr Geschäftsmodell in einer Sprache erklären, die Sie verstehen. Fragen Sie nach den potenziellen finanziellen und operativen Auswirkungen.
  • Budgetentscheidungen dokumentieren: Wenn Sie ein Budget für Sicherheitsmaßnahmen genehmigen (oder ablehnen), muss dies auf Basis einer nachvollziehbaren Risikoanalyse geschehen. Ein abgelehnter Budgetantrag ohne Begründung kann im Schadensfall als grob fahrlässig gewertet werden.
  • Formelle Genehmigung: Die finale Cybersicherheitsstrategie und die damit verbundenen Maßnahmen sollten per Vorstandsbeschluss verabschiedet und im Protokoll festgehalten werden.

2. Pflicht zur Überwachung: Die Umsetzung kontrollieren

Mit der Genehmigung endet Ihre Verantwortung nicht. Sie müssen die Umsetzung der Maßnahmen aktiv überwachen. Delegation an einen CISO oder IT-Leiter ist notwendig, entbindet Sie aber nicht von Ihrer Aufsichtspflicht.

Praktische Umsetzung:

  • Regelmäßige Berichterstattung etablieren: Machen Sie Cybersicherheit zu einem festen Tagesordnungspunkt in Ihren Management-Meetings. Fordern Sie Kennzahlen (KPIs), die den Fortschritt und die Wirksamkeit der Maßnahmen belegen.
  • Die richtigen Fragen stellen: Sie müssen kein Techniker sein, aber Sie müssen die richtigen Management-Fragen stellen. Hier sind 10 essenzielle Fragen, die jeder NIS2 Geschäftsführer seinem IT-Team stellen muss:
    1. Welche sind unsere drei größten Cyberrisiken, und wie wirken sie sich auf unser Geschäft aus?
    2. Wie stellen wir sicher, dass alle kritischen Systeme und Daten erfasst und geschützt sind?
    3. Haben wir einen aktuellen Notfallplan für einen Ransomware-Angriff? Wann wurde er zuletzt getestet?
    4. Wie schnell können wir einen schwerwiegenden Sicherheitsvorfall erkennen und darauf reagieren?
    5. Welchen Schulungsstand haben unsere Mitarbeiter in Bezug auf Phishing und Social Engineering?
    6. Wie stellen wir die Sicherheit in unserer Lieferkette sicher (z. B. bei wichtigen Dienstleistern)?
    7. Welches Budget benötigen Sie im nächsten Jahr, und wie ist es an unsere Geschäftsrisiken gekoppelt?
    8. Gibt es Compliance-Lücken (z. B. zu ISO 27001), die wir dringend schließen müssen?
    9. Wie messen wir den Erfolg unserer Sicherheitsinvestitionen?
    10. Welche Entscheidung benötigen Sie von der Geschäftsführung, um die Sicherheit weiter zu verbessern?
  • Externe Audits nutzen: Ziehen Sie unabhängige Dritte hinzu, um die Wirksamkeit Ihrer Sicherheitsmaßnahmen überprüfen zu lassen.

3. Pflicht zur Schulung: Sich selbst und das Team fortbilden

NIS2 schreibt explizit vor, dass die Geschäftsleitung selbst an Schulungen zum Thema Cybersicherheit teilnehmen muss. Dies ist keine Formalität, sondern Ihre erste persönliche Verteidigungslinie. Es beweist, dass Sie Ihre Verantwortung ernst nehmen und die notwendige Kompetenz erwerben, um fundierte Entscheidungen zu treffen.

Praktische Umsetzung:

  • Zertifizierte Schulungen absolvieren: Nehmen Sie an Schulungen teil, die speziell auf die Anforderungen von NIS2 für das Management zugeschnitten sind.
  • Wissen im Unternehmen verankern: Fördern Sie eine unternehmensweite Sicherheitskultur, die bei Ihnen an der Spitze beginnt.

Meisterschaft: Ihren persönlichen "Haftungsschutz" aufbauen

Das Verständnis Ihrer Pflichten ist die eine Sache, der lückenlose Nachweis ihrer Erfüllung die andere. Im Ernstfall müssen Sie beweisen können, dass Sie nicht fahrlässig gehandelt haben. Dieser Nachweis ist Ihr persönlicher Haftungsschutz.

Die Haftungskette visualisiert anschaulich, wie Cybersecurity-Entscheidungen auf Geschäftsführungsebene unmittelbar zur persönlichen Haftung führen können – und wie durch gezielte Maßnahmen ein Haftungsschutz aufgebaut werden kann.

Dokumentation, die Sie verteidigt

Jede Entscheidung, jede Diskussion und jede Genehmigung im Kontext der Cybersicherheit muss sorgfältig dokumentiert werden. Ihre Sitzungsprotokolle sind im Streitfall entscheidende Beweismittel.

  • Best Practice für Protokolle: Notieren Sie nicht nur die Entscheidung (z. B. "Budget genehmigt"), sondern auch die Grundlage dafür ("Basierend auf der Risikoanalyse vom [Datum], die ein hohes Schadenspotenzial bei System X aufzeigte, wurde das Budget für Multi-Faktor-Authentifizierung genehmigt.").
  • "Business Judgment Rule" anwenden: Dokumentieren Sie, dass Ihre Entscheidungen auf einer angemessenen Informationsgrundlage, frei von Interessenkonflikten und zum Wohle des Unternehmens getroffen wurden. Dies schützt Sie vor Haftung für unternehmerische Fehleinschätzungen, die trotz sorgfältiger Abwägung getroffen wurden.

Die Rolle der D&O-Versicherung

Eine Directors-and-Officers-Versicherung (D&O) ist ein wichtiger Baustein zur Absicherung. Sie springt ein, wenn Sie wegen einer vermeintlichen Pflichtverletzung in Anspruch genommen werden. Aber Achtung: Sie ist kein Freifahrtschein. Bei Vorsatz oder grober Fahrlässigkeit kann die Versicherung die Leistung verweigern. Überprüfen Sie Ihre Police genau, ob Cyberrisiken ausreichend abgedeckt sind und welche Ausschlüsse es gibt. Eine gute D&O-Police ist unerlässlich, um die persönliche Haftung nach NIS2 zu flankieren.

Eine Kultur der Sicherheit schaffen

Letztendlich ist der beste Schutz eine gelebte Sicherheitskultur. Wenn Sie als Führungskraft das Thema Cybersicherheit vorleben, es regelmäßig ansprechen und mit Ressourcen ausstatten, schaffen Sie ein Umfeld, in dem Risiken proaktiv gemanagt werden. Dies reduziert nicht nur die Wahrscheinlichkeit eines Vorfalls, sondern ist auch der stärkste Beweis für Ihr pflichtbewusstes Handeln.

Ihr 90-Tage-Plan für den Einstieg

Warten Sie nicht, bis die Gesetze final umgesetzt sind. Beginnen Sie jetzt, Ihre persönliche Haftung zu minimieren.

  • Monat 1: Lagebild erstellen.
    1. Setzen Sie ein Meeting mit Ihrer IT-Leitung an und nutzen Sie die "10 Fragen für Geschäftsführer".
    2. Identifizieren Sie, ob Ihr Unternehmen unter NIS2 fällt.
    3. Buchen Sie eine Geschäftsführungsschulung zu NIS2.
  • Monat 2: Prozesse aufsetzen.
    1. Integrieren Sie Cybersicherheit als festen Tagesordnungspunkt in Ihre Management-Meetings.
    2. Lassen Sie sich eine erste, grobe Risikoanalyse präsentieren.
    3. Überprüfen Sie den Deckungsumfang Ihrer D&O-Versicherung.
  • Monat 3: Entscheidungen treffen und dokumentieren.
    1. Verabschieden Sie auf Basis der Risikoanalyse erste strategische Maßnahmen.
    2. Dokumentieren Sie diese Entscheidung sauber in einem Protokoll.
    3. Kommunizieren Sie die Wichtigkeit des Themas an die gesamte Belegschaft.

Der nächste Schritt: Von der Information zur Aktion

Die persönliche Haftung für Geschäftsführer unter NIS2 ist eine ernste, aber beherrschbare Herausforderung. Der Schlüssel liegt darin, Cybersicherheit als das zu begreifen, was sie ist: eine strategische Managementaufgabe, die genauso viel Aufmerksamkeit erfordert wie Finanzen, Vertrieb oder Personal.

Indem Sie Ihre Pflichten verstehen, eine klare Struktur für deren Erfüllung schaffen und Ihr Handeln sorgfältig dokumentieren, bauen Sie einen robusten Schutzschild für sich und Ihr Unternehmen auf. Nutzen Sie die Anforderungen von NIS2 als Impuls, um die digitale Widerstandsfähigkeit Ihrer Organisation nachhaltig zu stärken. Die NIS2 Haftung ist eine Realität, der Sie mit der richtigen Vorbereitung souverän begegnen können.

Häufig gestellte Fragen (FAQ)

Wer genau haftet bei einem Verstoß gegen NIS2?

Die primäre Verantwortung liegt beim Unternehmen. Allerdings haften die Leitungsorgane (Geschäftsführer, Vorstände) persönlich für die Verletzung ihrer Überwachungs- und Organisationspflichten. Wenn ein Sicherheitsvorfall auf eine nachweisliche Vernachlässigung dieser Pflichten zurückzuführen ist, können sie mit ihrem Privatvermögen für den entstandenen Schaden in Regress genommen werden.

Was genau sind meine Pflichten als Geschäftsführer unter NIS2?

Ihre Kernpflichten umfassen die Billigung von Risikomanagement-Maßnahmen, die Überwachung ihrer Umsetzung und die Teilnahme an Cybersicherheits-Schulungen. Sie müssen sicherstellen, dass das Unternehmen über angemessene technische und organisatorische Maßnahmen (TOMs) verfügt, um Cyberrisiken zu beherrschen.

Wie kann ich meine persönliche Haftung als Geschäftsführer vermeiden?

Durch proaktives Handeln und lückenlose Dokumentation. Etablieren Sie einen robusten Prozess für das Management von Cyberrisiken, stellen Sie die richtigen Fragen, genehmigen Sie angemessene Budgets auf Basis von Risikoanalysen und dokumentieren Sie alle Entscheidungen sorgfältig. Der Nachweis, dass Sie mit der Sorgfalt eines ordentlichen Kaufmanns gehandelt haben, ist Ihr bester Schutz.

Reicht es, die Verantwortung an einen CISO oder IT-Leiter zu delegieren?

Nein. Delegation ist notwendig, aber sie entbindet Sie nicht von Ihrer Aufsichts- und Überwachungspflicht. Sie bleiben letztverantwortlich. Der Mythos "Ich habe einen Experten dafür, also bin ich aus dem Schneider" ist eine der gefährlichsten Annahmen, die ein NIS2 Geschäftsführer treffen kann.

Deckt meine D&O-Versicherung die Haftung unter NIS2 ab?

Im Prinzip ja, aber der Teufel steckt im Detail. Prüfen Sie Ihre Police genau auf Ausschlüsse, insbesondere bei grober Fahrlässigkeit. Eine D&O-Versicherung ist ein wichtiger Schutzschirm, aber kein Ersatz für sorgfältiges Handeln. Die Auseinandersetzung mit der NIS2 Haftung ist unumgänglich.

Mehr erfahren
Niklas Hanitsch

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 5, 2023
4 min
Cookie-Einwilligung: Wie holt man sie rechtskonform ein?

Seit dem Inkrafttreten der DSGVO im Mai 2018 ist es für den Benutzer im Web zum Alltag geworden: Beim Öffnen einer neuen Website wird man aufgefordert, seine Einwilligung zum Sammeln von Daten zu geben, sogenannte Cookies. Laut den ersten Informationen einer Studie der Ruhr-Uni Bochum sind diese Einwilligungen in den meisten Fällen nicht rechtskonform.‍ Wie soll man Cookie-Banner also gestalten? Unsere Experten verraten es.

Lesen
November 7, 2023
7 min
Das BSI und die NIS2: Welche Rolle spielt das BSI bei der Implementierung der NIS2 Richtlinie?

Das Bundesamt für Sicherheit und Informationstechnik erhält durch die Umsetzung der NIS2 Richtlinie auf nationaler Ebene erweiterte Kompetenzen. So erhält das BSI mit der NIS2 Richtlinie die Befugnis, Mindestsicherheitsstandards für KRITIS-Betreiber festzulegen und IT-Sicherheitsvorfälle zu überwachen. Welche Auswirkungen dies auf Ihr Unternehmen und hat und welche Bedeutung das BSI für die deutsche Cybersicherheit einnimmt, lesen Sie in unserem Artikel zu dem Verhältnis zwischen dem BSI und der NIS2 Richtlinie.

Lesen
November 19, 2025
5 Minuten
NIS2: Effektivität Ihrer Sicherheitsmaßnahmen mit KPIs messen

Viele Unternehmen sammeln technische Sicherheitsdaten, ohne wirklich zu verstehen, ob ihre NIS2-Maßnahmen wirken. Dieser Leitfaden zeigt, wie Sie aus unübersichtlichen Metriken klare, strategische KPIs formen, die Wirksamkeit messbar machen, Risiken transparent steuern und das Top-Management endlich mit verständlichen, geschäftsrelevanten Cybersecurity-Einblicken versorgen.

Lesen
Related Resources
ISO 27001:2022 – Das ist der neue ISMS-Standard 2023
November 24, 2023
7 min
ISMS Aufbau: Das sind Grundlagen, Erfolgsfaktoren und Vorteile
November 10, 2023
8 min
NIS2-Audit: Kriterien für Governance und Management
November 26, 2025
5 Minuten
Marketing Tips for Niche Industries
NIS2 Compliance: Was Unternehmen dafür leisten müssen
November 23, 2023
5 min
NIS2: MFA und Zugriffsmanagement richtig umsetzen
November 17, 2025
5 Minuten
ISO/IEC 27001:2013 – Die Evolution der ISO 27001 Zertifizierung
November 24, 2023
6 min
TO TOP