Zum Inhalt springen
NIS2 kommt: Bereiten Sie Ihre Compliance strukturiert vor, bevor das deutsche Umsetzungsgesetz in Kraft tritt.Jetzt starten →

NIS2Cockpit

AnmeldenKostenlos testen
← Alle Artikel

Persönliche GF-Haftung unter NIS2: Was Geschäftsführer wissen müssen

25. Februar 2026·7 Min.·NIS2Cockpit Redaktion
NIS2Geschäftsführer-HaftungComplianceRisikomanagement

Geschäftsführer-Haftung unter NIS2

Eine der einschneidendsten Neuerungen der NIS2-Richtlinie betrifft die persönliche Haftung der Geschäftsleitung. Anders als bei vielen anderen Regularien kann die Verantwortung für Cybersicherheit nicht einfach an die IT-Abteilung delegiert werden.

Was sagt das Gesetz?

Artikel 20 NIS2-Richtlinie

Die Leitungsorgane (Geschäftsführer, Vorstände) wesentlicher und wichtiger Einrichtungen müssen:

  1. Risikomanagementmaßnahmen billigen — Die Geschäftsleitung muss die Cybersicherheitsmaßnahmen formal genehmigen
  2. Umsetzung überwachen — Regelmäßige Kontrolle, ob die Maßnahmen tatsächlich umgesetzt werden
  3. Schulungen absolvieren — Persönliche Teilnahme an Cybersicherheitsschulungen
  4. Persönlich haften — Bei Pflichtverletzung droht persönliche Haftung

NIS2UmsuCG (Deutsche Umsetzung)

Das deutsche Umsetzungsgesetz konkretisiert die Haftung:

  • Geschäftsführer haften persönlich für die Einhaltung der Risikomanagement-Pflichten
  • Die Haftung umfasst bis zu 2% des weltweiten Jahresumsatzes
  • Ein Verzicht des Unternehmens auf Schadensersatzansprüche gegenüber der Geschäftsleitung ist unwirksam

Konkrete Pflichten der Geschäftsführung

1. Billigung der Cybersicherheitsstrategie

Die Geschäftsleitung muss die Cybersicherheitsstrategie des Unternehmens formal billigen. Das bedeutet:

  • Kenntnisnahme der aktuellen Risikolage
  • Formale Genehmigung der Sicherheitsmaßnahmen
  • Dokumentierte Beschlussfassung
  • Regelmäßige Überprüfung und Aktualisierung

2. Überwachung der Umsetzung

Es reicht nicht aus, Maßnahmen zu billigen. Die Geschäftsleitung muss aktiv überwachen:

  • Werden die beschlossenen Maßnahmen tatsächlich umgesetzt?
  • Gibt es Budgetengpässe oder personelle Hindernisse?
  • Sind die Maßnahmen wirksam?
  • Werden Schwachstellen zeitnah behoben?

3. Persönliche Schulungsteilnahme

Geschäftsführer müssen selbst an Cybersicherheitsschulungen teilnehmen. Dies umfasst:

  • Grundlagen der Cybersicherheit
  • Aktuelle Bedrohungslandschaft
  • NIS2-Anforderungen und Pflichten
  • Risikomanagement-Methoden

4. Meldepflichten sicherstellen

Die Geschäftsleitung muss sicherstellen, dass Sicherheitsvorfälle fristgerecht gemeldet werden:

  • 24 Stunden: Frühwarnung an das BSI
  • 72 Stunden: Erstmeldung mit Bewertung
  • 1 Monat: Abschlussbericht

Haftungsszenarien

Szenario 1: Fehlende Billigung

Ein Unternehmen implementiert Cybersicherheitsmaßnahmen, aber die Geschäftsführung hat diese nie formal gebilligt. Bei einem Vorfall kann der Geschäftsführer persönlich haftbar gemacht werden.

Szenario 2: Unzureichende Überwachung

Die Geschäftsleitung hat zwar Maßnahmen gebilligt, aber nie kontrolliert, ob diese umgesetzt wurden. Tatsächlich bestehen erhebliche Lücken.

Szenario 3: Fehlende Schulung

Ein Geschäftsführer hat nie an einer Cybersicherheitsschulung teilgenommen. Bei einem Vorfall wird argumentiert, dass er mangels Kenntnis die Risikolage nicht angemessen beurteilen konnte.

Szenario 4: Budget-Verweigerung

Die Geschäftsleitung verweigert trotz dokumentierter Risikoanalyse das Budget für notwendige Sicherheitsmaßnahmen.

So schützen Sie sich als Geschäftsführer

Dokumentierte Billigung

Nutzen Sie einen formalen Billigungs-Workflow, der:

  • Alle Maßnahmen dokumentiert
  • Ihre Kenntnisnahme nachweist
  • Datum und Unterschrift festhält
  • Regelmäßige Reviews vorsieht

NIS2Cockpit bietet einen integrierten GF-Billigungs-Workflow, der all dies digital und rechtssicher abbildet.

Regelmäßige Reviews

Planen Sie vierteljährliche Reviews ein:

  • Stand der Maßnahmenumsetzung
  • Neue Bedrohungen und Risiken
  • Wirksamkeit bestehender Maßnahmen
  • Budget- und Ressourcenbedarf

Lückenlose Dokumentation

Dokumentieren Sie alles:

  • Jede Entscheidung der Geschäftsleitung
  • Jede Risikobewertung
  • Jeden Sicherheitsvorfall
  • Jede Schulungsteilnahme

Versicherungsschutz

Prüfen Sie, ob Ihre D&O-Versicherung NIS2-bezogene Haftungsansprüche abdeckt. Viele bestehende Policen schließen Cybersicherheitsverstöße aus.

Fazit

Die persönliche GF-Haftung unter NIS2 ist keine theoretische Möglichkeit — sie ist geltendes Recht. Geschäftsführer, die ihre Pflichten ernst nehmen und strukturiert umsetzen, können das Haftungsrisiko erheblich reduzieren. NIS2Cockpit unterstützt Sie dabei mit digitalen Billigungs-Workflows, automatischer Dokumentation und strukturiertem Risikomanagement.

Hinweis: Keine Rechtsberatung

Dieser Artikel dient ausschliesslich der allgemeinen Information über die NIS2-Richtlinie und das deutsche Umsetzungsgesetz (NIS2UmsuCG). Er stellt KEINE Rechtsberatung dar und kann eine individuelle anwaltliche Prüfung nicht ersetzen. Die Anwendung gesetzlicher Anforderungen auf Ihren konkreten Einzelfall haengt von Faktoren ab, die nur durch einen qualifizierten Fachanwalt für IT-Recht oder einen NIS2-Fachberater bewertet werden können.

Der Anbieter (NIS2Cockpit / Xantix Digital) uebernimmt keine Gewähr für die Aktualität, Richtigkeit oder Vollständigkeit der dargestellten Informationen und haftet nicht für Entscheidungen oder Handlungen, die auf Basis dieses Artikels getroffen werden. Es gelten die AGB, insbesondere §2 Absatz 3 und §10.

Bereit für Ihre NIS2-Compliance?

NIS2Cockpit führt Sie strukturiert durch alle Anforderungen. 62 Controls, lückenlose Dokumentation, Made in Germany.

14 Tage kostenlos testen
Persönliche GF-Haftung unter NIS2: Was Geschäftsführer wissen müssen