Zum Inhalt springen
Home » NIS2-Haftung: Pflichten für Geschäftsführer und Vorstände

NIS2-Haftung: Pflichten für Geschäftsführer und Vorstände

NIS2-Haftung: Pflichten für Geschäftsführer und Vorstände

Seit Inkrafttreten des deutschen NIS-2-Umsetzungsgesetzes am 6. Dezember 2025 ist Cybersicherheit für betroffene Unternehmen ausdrücklich Leitungsaufgabe. Geschäftsführung und Vorstand können technische Umsetzungsschritte delegieren. Die Verantwortung für Organisation, Überwachung und den Nachweis der eigenen Auseinandersetzung mit Cyberrisiken bleibt jedoch auf Leitungsebene.

Für betroffene Unternehmen bedeutet das: NIS2 ist nicht nur ein IT- oder Compliance-Projekt. Die Geschäftsleitung muss verstehen, welche Risiken bestehen, welche Maßnahmen erforderlich sind und wie die Umsetzung kontrolliert wird.

Dieser Beitrag erklärt, welche Pflichten Geschäftsleiter unter NIS2 haben, wann persönliche Haftungsrisiken entstehen und wie sich diese Risiken reduzieren lassen.

Dieser Beitrag ist Teil unserer NIS2-Beitragsreihe. Einen allgemeinen Überblick über Rechtslage, Pflichten, Fristen und Umsetzung finden Sie im Hauptbeitrag NIS2 in Deutschland: Was Unternehmen jetzt wissen und umsetzen müssen. Wenn Sie zunächst klären möchten, ob Ihr Unternehmen überhaupt betroffen ist, lesen Sie den Beitrag Bin ich von NIS2 betroffen? Betroffenheitscheck für Unternehmen.

Das Wichtigste in Kürze

  • NIS2 ist Leitungsthema. Geschäftsführung und Vorstand müssen Cybersicherheitsmaßnahmen organisieren, deren Umsetzung überwachen und ihre Entscheidungen dokumentieren.
  • Persönliche Haftung ist möglich, aber kein Automatismus. Relevant wird sie vor allem, wenn Pflichten schuldhaft verletzt werden und dem Unternehmen dadurch ein Schaden entsteht.
  • Unternehmerisches Ermessen bleibt wichtig. Wer auf Grundlage angemessener Informationen, ohne Interessenkonflikt und zum Wohl des Unternehmens entscheidet, reduziert sein Haftungsrisiko deutlich.
  • Schulung und Dokumentation sind zentrale Entlastungsfaktoren. Geschäftsleitungsmitglieder müssen Cyberrisiken verstehen und nachweisen können, dass sie sich angemessen gekümmert haben.

NIS2-Beratung für Unternehmen

NIS2-Haftungscheck für Geschäftsleitungen

Wir prüfen, ob Ihr Unternehmen betroffen ist, welche Pflichten Ihre Geschäftsleitung treffen und welche Nachweise jetzt priorisiert werden sollten.

Unverbindliches Erstgespräch anfragen Persönliche Ersteinschätzung

Warum betrifft NIS2 die Geschäftsleitung persönlich?

NIS2 betrifft die Geschäftsleitung, weil Cybersicherheit nach dem BSI-Gesetz nicht nur technisch umgesetzt, sondern organisatorisch gesteuert werden muss.

§ 38 BSIG verpflichtet Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen dazu, die nach § 30 BSIG erforderlichen Risikomanagementmaßnahmen umzusetzen und deren Umsetzung zu überwachen. Außerdem müssen Geschäftsleitungsmitglieder regelmäßig an Schulungen teilnehmen.

Das ist der entscheidende Punkt: Die IT-Abteilung kann Systeme absichern, Prozesse vorbereiten und Maßnahmen umsetzen. Die Geschäftsleitung muss aber sicherstellen, dass es dafür klare Zuständigkeiten, Budgets, Entscheidungen, Kontrollen und Eskalationswege gibt.

Wer zählt zur Geschäftsleitung unter NIS2?

Zur Geschäftsleitung gehören die Personen, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung der betroffenen Einrichtung berufen sind.

In der Praxis betrifft das insbesondere:

  • Geschäftsführer einer GmbH,
  • Vorstandsmitglieder einer Aktiengesellschaft,
  • geschäftsführende Direktoren,
  • je nach Rechtsform geschäftsführende oder persönlich haftende Gesellschafter.

Interne Funktionsrollen wie CISO, IT-Leiter, Datenschutzbeauftragter oder Compliance Officer können zentrale Aufgaben übernehmen. Sie ersetzen aber nicht die Verantwortung der Geschäftsleitung.

In besonderen Konstellationen können auch faktische Leitungspersonen relevant werden. Das betrifft zum Beispiel dominante Gesellschafter, Holding-Funktionen oder Personen, die tatsächlich wie ein Geschäftsführer auftreten und wesentliche Leitungsentscheidungen prägen. Ob daraus eine persönliche Haftung folgt, ist im Einzelfall zu prüfen.

Praxisbeispiel: Ein Geschäftsführer überträgt die technische Umsetzung an den IT-Leiter. Das ist zulässig. Er muss aber weiter überwachen, ob Risiken bewertet, Maßnahmen umgesetzt, Budgets geklärt, Dienstleister eingebunden und Vorfälle fristgerecht gemeldet werden können.

Welche Pflichten hat die Geschäftsleitung konkret?

Die Geschäftsleitung muss NIS2 so organisieren, dass das Unternehmen seine Pflichten tatsächlich erfüllen kann.

Konkret bedeutet das:

  • Betroffenheit und Einordnung als wichtige oder besonders wichtige Einrichtung klären,
  • Registrierungspflichten prüfen und erforderliche Registrierung veranlassen,
  • Risikomanagementmaßnahmen beschließen und umsetzen lassen,
  • Umsetzung regelmäßig überwachen,
  • Zuständigkeiten für IT, Recht, Compliance, Datenschutz und Geschäftsleitung festlegen,
  • ausreichende Ressourcen und Budgets prüfen,
  • Meldeprozesse für Sicherheitsvorfälle sicherstellen,
  • Dienstleister und Lieferketten in die Sicherheitsorganisation einbeziehen,
  • eigene Schulungspflichten erfüllen,
  • Entscheidungen und Kontrollen dokumentieren.

Die Geschäftsleitung muss dabei nicht jede technische Einzelmaßnahme selbst auswählen. Sie muss aber sicherstellen, dass die gesetzlich geforderten Themenbereiche abgedeckt sind, insbesondere Risikoanalyse, Vorfallsbewältigung, Backup- und Krisenmanagement, Lieferkettensicherheit, Schwachstellenmanagement, Wirksamkeitskontrollen, Schulungen, Zugriffskontrolle, Kryptografie und Multi-Faktor-Authentifizierung.

Diese Pflichten treffen die Geschäftsleitung nicht nur einmalig. NIS2 verlangt eine laufende Steuerung. Cyberrisiken, Dienstleister, Systeme und Bedrohungslagen ändern sich. Deshalb muss auch die Überwachung regelmäßig aktualisiert werden.

Welche Registrierungs- und Meldefristen muss die Geschäftsleitung kennen?

Die Registrierung und Meldung sind für Geschäftsleitungen vor allem deshalb relevant, weil Fristversäumnisse Organisationsmängel sichtbar machen können.

Als Orientierung gilt: Registrierungspflichtige Einrichtungen müssen sich spätestens drei Monate nach erstmaliger oder erneuter Betroffenheit registrieren. Bei erheblichen Sicherheitsvorfällen sind insbesondere die 24-Stunden-Erstmeldung, die 72-Stunden-Meldung und die Abschlussmeldung einen Monat nach der 72-Stunden-Meldung wichtig.

Die Geschäftsleitung muss diese Meldungen nicht selbst technisch ausfüllen. Sie muss aber sicherstellen, dass intern klar ist, wer einen Vorfall bewertet, wer eskaliert, wer meldet und wer die Geschäftsleitung informiert.

Details zur Registrierung und zu Meldepflichten behandeln wir in eigenen Spezialbeiträgen. In diesem Beitrag sind sie vor allem relevant, weil sie Organisations- und Überwachungspflichten der Geschäftsleitung auslösen.

Wann haftet die Geschäftsleitung persönlich?

Eine persönliche Haftung der Geschäftsleitung ist kein Automatismus. Sie kommt vor allem dann in Betracht, wenn ein Geschäftsleitungsmitglied Pflichten schuldhaft verletzt und dem Unternehmen dadurch ein Schaden entsteht.

§ 38 BSIG verweist für die Haftung auf die jeweils anwendbaren gesellschaftsrechtlichen Regeln. Für GmbH-Geschäftsführer ist insbesondere § 43 GmbHG relevant. Für Vorstände einer Aktiengesellschaft ist insbesondere § 93 AktG relevant.

Typische Risikosituationen sind:

  • NIS2-Betroffenheit wird nicht geprüft,
  • Registrierung wird versäumt,
  • Risikomanagementmaßnahmen werden nicht beschlossen,
  • Sicherheitslücken sind bekannt, werden aber nicht priorisiert,
  • Meldeprozesse fehlen oder funktionieren nicht,
  • Geschäftsleitungsmitglieder nehmen keine Schulung wahr und können deshalb Risiken, Maßnahmen oder Berichte nicht ausreichend beurteilen,
  • Budgets werden ohne nachvollziehbare Risikobewertung abgelehnt,
  • Dienstleisterrisiken werden ignoriert,
  • Entscheidungen und Kontrollen werden nicht dokumentiert.

Entscheidend ist immer der Einzelfall. Haftung setzt regelmäßig voraus, dass eine Pflicht verletzt wurde, Verschulden vorliegt, ein Schaden entstanden ist und ein Zusammenhang zwischen Pflichtverletzung und Schaden besteht.

Eine unterlassene Schulung begründet nicht automatisch Schadensersatzhaftung. Sie kann aber ein starkes Indiz dafür sein, dass die Geschäftsleitung ihre Umsetzungs- und Überwachungspflichten nicht ordnungsgemäß wahrgenommen hat.

Welche Rolle spielt die Business Judgment Rule?

Die Business Judgment Rule ist für NIS2 besonders wichtig, weil Geschäftsleitungen häufig Priorisierungs- und Budgetentscheidungen treffen müssen.

Nicht jede Entscheidung, die sich im Nachhinein als falsch herausstellt, führt automatisch zu Haftung. Vorstände haften grundsätzlich nicht, wenn sie bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durften, auf Grundlage angemessener Informationen zum Wohl der Gesellschaft zu handeln. Für GmbH-Geschäftsführer gelten vergleichbare Grundsätze.

Für NIS2 bedeutet das: Eine Geschäftsleitung darf Risiken priorisieren und Maßnahmen stufenweise umsetzen. Sie sollte aber zeigen können, dass die Entscheidung auf belastbaren Informationen beruhte.

Entlastend wirken insbesondere:

  • nachvollziehbare Risikoanalyse,
  • fachliche Beratung oder interner Risikobericht,
  • dokumentierte Alternativenprüfung,
  • angemessene Budgetentscheidung,
  • keine sachfremden Interessen,
  • regelmäßige Kontrolle der Umsetzung.

Praxisbeispiel: Die Geschäftsleitung entscheidet, bestimmte Maßnahmen nicht sofort, sondern in einem priorisierten Stufenplan umzusetzen. Das kann vertretbar sein, wenn Risiken, Kosten, Umsetzungsdauer und Übergangsmaßnahmen nachvollziehbar dokumentiert wurden.

Gibt es auch eine Außenhaftung gegenüber Dritten?

Der Schwerpunkt der NIS2-Haftung liegt auf der Innenhaftung gegenüber der eigenen Einrichtung. Das ergibt sich aus § 38 BSIG und den gesellschaftsrechtlichen Haftungsregeln.

Daneben können in besonderen Fällen auch Ansprüche Dritter eine Rolle spielen. Denkbar sind etwa Konstellationen mit Kunden, Geschäftspartnern oder betroffenen Personen, wenn ein Sicherheitsvorfall zu Betriebsunterbrechungen, Datenverlusten oder Datenschutzverletzungen führt.

Ob eine Außenhaftung besteht, richtet sich nicht allein nach NIS2. Maßgeblich können insbesondere Vertragsrecht, Deliktsrecht, Datenschutzrecht und branchenspezifische Regelungen sein. Diese Konstellationen müssen gesondert geprüft werden.

Haftet die Geschäftsleitung schon wegen eines Cyberangriffs?

Ein Cyberangriff führt nicht automatisch zur persönlichen Haftung der Geschäftsleitung. Kein Unternehmen kann jedes Risiko vollständig ausschließen.

Problematisch wird es aber, wenn der Angriff zeigt, dass grundlegende organisatorische Pflichten nicht erfüllt wurden. Das kann etwa der Fall sein, wenn es keine Risikoanalyse, keine Zugriffskontrollen, keine Backups, keinen Notfallplan, keine Meldewege oder keine dokumentierte Leitungsentscheidung gab.

Die zentrale Frage lautet deshalb nicht: „Konnte der Angriff verhindert werden?“

Die wichtigere Frage lautet: „Hat die Geschäftsleitung angemessene Maßnahmen organisiert, überwacht und dokumentiert?“

Welche Rolle spielt die Schulungspflicht?

Die Schulungspflicht ist ein eigener NIS2-Baustein. Geschäftsleitungsmitglieder müssen regelmäßig an Schulungen teilnehmen, damit sie Cyberrisiken und Risikomanagementmaßnahmen beurteilen können.

Eine Schulung sollte nicht nur allgemeine IT-Sicherheit erklären. Sie sollte der Geschäftsleitung ermöglichen, die richtigen Fragen zu stellen:

  • Welche NIS2-Pflichten gelten für unser Unternehmen?
  • Welche Risiken sind für unsere Dienste und Lieferketten besonders relevant?
  • Welche Maßnahmen sind priorisiert?
  • Welche Budgets und Ressourcen sind erforderlich?
  • Wie funktioniert der Meldeprozess?
  • Wie werden Dienstleister überwacht?
  • Welche Entscheidungen müssen dokumentiert werden?

Praxisempfehlung: Schulungen sollten mit Datum, Teilnehmern, Inhalten und Unterlagen dokumentiert werden. So lässt sich später nachweisen, dass die Geschäftsleitung ihre Pflichten ernst genommen und sich angemessen mit dem Thema auseinandergesetzt hat.

Welche Dokumentation schützt die Geschäftsleitung?

Die Dokumentation ist einer der wichtigsten Haftungsschutz-Bausteine. Sie zeigt, dass die Geschäftsleitung Risiken erkannt, Entscheidungen getroffen und Umsetzungsschritte überwacht hat.

Dokumentiert werden sollten insbesondere:

  • Ergebnis der NIS2-Betroffenheitsprüfung,
  • Einordnung als wichtige oder besonders wichtige Einrichtung,
  • Registrierung und zuständige Kontaktstellen,
  • Zuständigkeiten und Verantwortlichkeiten,
  • Risikoanalysen und Priorisierungen,
  • Budgetentscheidungen,
  • beschlossene Sicherheitsmaßnahmen,
  • Umsetzungsstand und Kontrollen,
  • Melde- und Notfallprozesse,
  • Dienstleister- und Lieferkettenprüfungen,
  • Schulungen der Geschäftsleitung,
  • regelmäßige Management-Reviews.

Wichtig ist nicht nur, dass Dokumente existieren. Sie müssen aktuell, nachvollziehbar und für den Ernstfall auffindbar sein.

Kann die Geschäftsleitung NIS2 an die IT delegieren?

Die Geschäftsleitung kann operative Aufgaben delegieren. Sie kann also IT, Informationssicherheit, Recht, Datenschutz und Compliance mit der Umsetzung beauftragen.

Nicht delegierbar ist aber die Leitungsverantwortung. Geschäftsführung und Vorstand müssen sicherstellen, dass die delegierten Aufgaben angemessen organisiert und überwacht werden.

Eine wirksame Delegation setzt voraus:

  • klare Aufgabenbeschreibung,
  • geeignete und ausreichend qualifizierte Personen,
  • angemessene Ressourcen,
  • regelmäßige Berichte,
  • Eskalationswege bei Risiken,
  • Kontrolle der Umsetzung,
  • dokumentierte Entscheidungen.

Praxisbeispiel: Eine Geschäftsleitung kann einen Informationssicherheitsbeauftragten benennen. Sie muss aber weiterhin prüfen, ob dieser berichten kann, ob Maßnahmen finanziert sind und ob kritische Risiken auf Leitungsebene entschieden werden.

Welche Sanktionen treffen die Geschäftsleitung außer Schadensersatz?

Neben einer zivilrechtlichen Haftung können aufsichtsrechtliche Maßnahmen relevant werden. Das BSI kann insbesondere Nachweise verlangen, Prüfungen anordnen und Umsetzungsmaßnahmen durchsetzen.

Bei besonders schweren Fällen kann als letztes Mittel eine vorübergehende Untersagung der Leitungstätigkeit in Betracht kommen. Das setzt nicht irgendeinen Verstoß voraus, sondern insbesondere, dass behördliche Anordnungen trotz Fristsetzung nicht befolgt werden und die zuständige Aufsichtsbehörde die Geschäftsleitung als unzuverlässig ansieht.

Zu den Unternehmensbußgeldern lesen Sie ergänzend: NIS2-Bußgelder: Welche Strafen drohen Unternehmen bei Verstößen?.

Hilft eine D&O-Versicherung bei NIS2-Haftung?

Eine D&O-Versicherung kann im Haftungsfall wichtig sein. Sie ersetzt aber keine NIS2-Compliance.

In der Praxis ist besonders zwischen Verteidigungskosten, Schadensersatzansprüchen der Gesellschaft und einer etwaigen Bußgelddeckung zu unterscheiden. Gerade Bußgelder sind häufig ausgeschlossen oder rechtlich besonders sensibel.

Geschäftsleitungen sollten prüfen lassen:

  • ob Cyber- und Compliance-Risiken vom Versicherungsschutz umfasst sind,
  • ob Ausschlüsse für vorsätzliche Pflichtverletzungen bestehen,
  • ob Verteidigungskosten, Innenhaftungsansprüche oder Bußgeldrisiken erfasst sind,
  • welche Obliegenheiten gegenüber dem Versicherer gelten,
  • ob Dokumentation und Risikomanagement Auswirkungen auf Deckung oder Prämien haben.

Wichtig: Ob eine D&O-Versicherung im konkreten Fall greift, hängt vom Vertrag, vom Vorwurf und vom Schaden ab. Eine D&O-Police reduziert deshalb nicht die Pflicht, NIS2 organisatorisch sauber umzusetzen.

Was sieht man in der Beratungspraxis am häufigsten?

In der Beratungspraxis entstehen Haftungsrisiken selten, weil eine Geschäftsleitung bewusst untätig bleiben will. Häufiger fehlt ein klarer Governance-Prozess.

Typische Schwachstellen sind:

  • NIS2 wird als reines IT-Projekt behandelt,
  • die Geschäftsleitung erhält nur technische Einzelinformationen statt entscheidungsfähiger Risikoberichte,
  • Budgetentscheidungen werden nicht mit Risiken verknüpft,
  • Meldeprozesse werden nicht getestet,
  • Dienstleisterverträge enthalten keine ausreichenden Sicherheits- und Meldepflichten,
  • Schulungen werden nicht dokumentiert,
  • Management-Reviews finden unregelmäßig oder gar nicht statt.

Der wichtigste Hebel ist deshalb nicht eine einzelne technische Maßnahme. Entscheidend ist ein belastbarer Leitungsprozess mit klaren Informationen, Entscheidungen, Kontrollen und Nachweisen.

Management-Checkliste: Wie reduziert die Geschäftsleitung ihr Haftungsrisiko?

Geschäftsführungen und Vorstände reduzieren Haftungsrisiken, wenn sie NIS2 strukturiert steuern und ihre Entscheidungen nachvollziehbar dokumentieren. Die folgende Checkliste zeigt, welche Punkte im Haftungskontext besonders wichtig sind.

Pflicht Was die Geschäftsleitung tun sollte Typischer Nachweis
Betroffenheit prüfen NIS2-Scope und Einrichtungsart klären Betroffenheitsvermerk
Verantwortlichkeiten festlegen Zuständige Personen und Berichtslinien bestimmen Rollen- und Verantwortlichkeitsmatrix
Risiken bewerten entscheidungsfähigen Risikobericht anfordern Management-Report
Maßnahmen beschließen Prioritäten, Verantwortlichkeiten und Budget festlegen Beschluss oder Protokoll
Umsetzung überwachen regelmäßige Reviews durchführen Statusbericht
Schulung absolvieren Geschäftsleitungsschulung durchführen Teilnahme- und Inhaltsnachweis
Meldeprozess sichern Incident-Prozess testen Testprotokoll
Dienstleister einbeziehen Sicherheits- und Meldepflichten vertraglich prüfen Vertragsprüfung / Lieferantenbewertung
Entscheidungen dokumentieren Abwägungen, Restrisiken und Folgeschritte festhalten Protokoll / Maßnahmenplan

Diese Tabelle ersetzt keine vollständige NIS2-Umsetzung. Sie zeigt aber, welche Nachweise Geschäftsleitungen priorisieren sollten, bevor es zu einer Behördenanfrage, einem Cyberangriff oder internen Streit über Zuständigkeiten und Budgets kommt.

Wir unterstützen Sie bei der Prüfung der NIS2-Betroffenheit, der Einordnung der Geschäftsleitungspflichten, der Vorbereitung von Beschlüssen, dem Aufbau eines Cyberrisiko-Reportings, der Geschäftsleitungsschulung und der Bewertung von Haftungs- und Bußgeldrisiken.

NIS2-Beratung für Geschäftsleitungen

Klären Sie jetzt Ihre persönliche Verantwortung unter NIS2

Wir prüfen, welche Pflichten Ihre Geschäftsleitung treffen und welche Maßnahmen Ihr Haftungsrisiko reduzieren.

Unverbindliches Erstgespräch anfragen Persönliche Ersteinschätzung

Häufige Fragen zur NIS2-Haftung der Geschäftsleitung

 

Haftet ein Geschäftsführer persönlich für NIS2-Verstöße?

Eine persönliche Haftung ist möglich, aber kein Automatismus. Entscheidend sind Pflichtverletzung, Verschulden, Schaden und Kausalität.

Kann die Geschäftsleitung NIS2 vollständig an die IT delegieren?

Nein. Operative Aufgaben können delegiert werden. Verantwortung, Steuerung und Überwachung bleiben auf Leitungsebene.

Was bedeutet die Business Judgment Rule bei NIS2?

Sie schützt gut informierte, dokumentierte und interessenkonfliktfreie unternehmerische Entscheidungen. Das ist besonders bei Budget- und Priorisierungsfragen wichtig.

Muss die Geschäftsleitung eine NIS2-Schulung absolvieren?

Ja. Die Schulungspflicht gilt für Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen. Eine fehlende Schulung ist nicht automatisch haftungsbegründend, kann aber ein Risikoindiz sein.

Reicht ein Cyberangriff allein für persönliche Haftung aus?

Nein. Entscheidend ist, ob die Geschäftsleitung angemessene Maßnahmen organisiert, überwacht und dokumentiert hat.

Was ist der wichtigste erste Schritt?

Der wichtigste erste Schritt ist die Betroffenheitsprüfung. Danach sollten Registrierung, Geschäftsleitungspflichten, Schulung, Berichtswesen, Meldeprozesse und Dokumentation priorisiert werden.

 

Hinweis

Dieser Beitrag bietet eine allgemeine Orientierung und ersetzt keine rechtliche oder technische Einzelfallprüfung. Er stellt keine Rechtsberatung dar und begründet kein Mandatsverhältnis. Ob und in welchem Umfang eine persönliche Haftung in Betracht kommt, hängt von Rechtsform, Pflichtenlage, konkreter Organisation, Verschulden, Schaden, Kausalität und Dokumentation ab.