NIS2-Managerhaftung im Arbeitsrecht: Alles was Sie wissen müssen.

Die NIS2-Managerhaftung bezeichnet die durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) vom 6. Dezember 2025 begründete persönliche Verantwortung von Geschäftsführern und Vorständen für die Cybersicherheit ihres Unternehmens. Sie ist in § 38 BSIG-neu (Bundesamt für Sicherheit in der Informationstechnik-Gesetz) geregelt und umfasst die Pflicht zur Umsetzung, Überwachung und regelmäßigen Schulung im Bereich der IT-Sicherheit.

Rechtsgrundlagen

§ 38 BSIG-neu

Die zentrale Haftungsnorm enthält drei Kernpflichten:

Absatz 1 – Umsetzungs- und Überwachungspflicht: Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen sind verpflichtet, die Risikomanagementmaßnahmen nach § 30 BSIG umzusetzen und deren Umsetzung zu überwachen.
Absatz 2 – Haftungsverweis: Bei Pflichtverletzung haften Geschäftsleitungen ihrer Einrichtung für schuldhaft verursachte Schäden nach den Regeln des Gesellschaftsrechts (§ 43 GmbHG, § 93 AktG).
Absatz 3 – Schulungspflicht: Geschäftsleitungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse zur Erkennung und Bewertung von Risiken sowie zu Risikomanagementpraktiken zu erlangen.

Ergänzende Vorschriften

§ 30 BSIG-neu: Definiert zehn Themenbereiche für Risikomanagementmaßnahmen (u.a. Risikoanalyse, Incident-Response, Lieferkettenmanagement, Schulungen)
§ 65 BSIG-neu: Bußgeldvorschriften (bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes)
§ 43 GmbHG / § 93 AktG: Gesellschaftsrechtliche Haftungsgrundlagen, auf die § 38 Abs. 2 BSIG verweist

Betroffener Personenkreis

Die NIS2-Managerhaftung trifft:

GmbH-Geschäftsführer (Haftung nach § 43 Abs. 2 GmbHG)
AG-Vorstände (Haftung nach § 93 Abs. 2 AktG)
Geschäftsleitungen anderer Rechtsformen (§ 38 Abs. 2 S. 2 BSIG enthält einen Auffangtatbestand)

Nicht delegierbare Verantwortung

Die Letztverantwortung verbleibt bei der Geschäftsleitung – auch bei Einschaltung eines Chief Information Security Officers (CISO) oder externer Berater. Operative Aufgaben können delegiert werden, die Überwachungspflicht nicht.

Haftungsmaßstab

Verschuldenserfordernis

Die Haftung setzt Vorsatz oder Fahrlässigkeit voraus. Es gilt eine Beweislastumkehr: Der Geschäftsführer muss nachweisen, dass er pflichtgemäß gehandelt hat.

Business Judgment Rule

Die Business Judgment Rule (§ 93 Abs. 1 S. 2 AktG) schützt bei NIS2-Pflichten grundsätzlich nicht, da die Einhaltung der Risikomanagementpflichten eine gesetzliche Legalitätspflicht darstellt. Unternehmerisches Ermessen besteht lediglich bei der konkreten Ausgestaltung der Maßnahmen (z.B. Technologieauswahl, Budgetverteilung).

Schadensbegriff

Der ersatzfähige Schaden umfasst:

Direkte Schäden durch Cyberangriffe
Regressansprüche Dritter
Nach umstrittener Ansicht: Bußgelder nach § 65 BSIG

Bußgeldrahmen nach § 65 BSIG-neu

Einrichtungsart	Maximalbußgeld	Umsatzbezug
Besonders wichtige Einrichtung	10 Mio. Euro	2 % des weltweiten Jahresumsatzes
Wichtige Einrichtung	7 Mio. Euro	1,4 % des weltweiten Jahresumsatzes
Meldepflichtverletzung	2 Mio. Euro	–
Registrierungspflichtverletzung	500.000 Euro	–

Bei besonders wichtigen Einrichtungen kann das BSI der Geschäftsleitung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen (§ 61 Abs. 9 Nr. 2 BSIG).

D&O-Versicherungsschutz

Grundsätzliche Versicherbarkeit

Der Gesetzgeber hat in der Gesetzesbegründung zu § 38 BSIG klargestellt, dass D&O-Versicherungen nicht eingeschränkt werden sollen. Die Haftung für NIS2-Pflichtverletzungen ist grundsätzlich versicherbar.

Typische Ausschlüsse

Wissentlichkeitsausschluss: Nach BGH IV ZR 66/25 (19.11.2025) eng auszulegen; Beweislast beim Versicherer
Bußgeldausschluss: Direkte Bußgelder sind nach herrschender Meinung nicht versicherbar (Verstoß gegen § 134, § 138 BGB)
Vorsatzausschluss: § 103 VVG

Deckungslücken

D&O-Versicherungen decken nicht: IT-Forensikkosten, Betriebsunterbrechungsschäden, Lösegeldzahlungen, direkte Bußgelder gegen das Unternehmen.

Enthaftungsstrategien

Dokumentation

Risikobewertungen und deren regelmäßige Aktualisierung
Vorstandsbeschlüsse zur Billigung von Sicherheitsmaßnahmen
Schulungsnachweise (Teilnahmebestätigungen)
Überwachungsberichte der IT-Abteilung/des CISO

Schulungspflicht

Nach BSI-Handreichung (30.09.2025):

Mindestens alle drei Jahre
Empfohlene Dauer: ca. vier Stunden
Keine formale Prüfung erforderlich
Kernbereiche: Risikoerkennung, Risikomanagementmaßnahmen, Auswirkungen

ISMS-Standards

VdS 10000: Speziell für deutsche KMU entwickelt
ISO 27001:2022: Internationaler Standard; allein nicht ausreichend für NIS2-Compliance
BSI IT-Grundschutz: Standards 200-1 bis 200-4

Aktuelle Rechtsprechung

Entscheidung	Datum	Kernaussage
BGH IV ZR 66/25	19.11.2025	Enge Auslegung des Wissentlichkeitsausschlusses; Beweislast beim Versicherer
BGH KZR 74/23	11.02.2025	EuGH-Vorlage zur Vereinbarkeit des Bußgeldregresses mit EU-Recht
OLG Düsseldorf VI-6 U 1/22	27.07.2023	Verneinung des Bußgeldregresses
LG Dortmund	21.06.2023	Bejahung des Bußgeldregressanspruchs

Abgrenzungen

NIS2-Managerhaftung vs. DSGVO-Haftung

Die NIS2-Managerhaftung betrifft IT-Sicherheitsmaßnahmen; die DSGVO-Haftung den Datenschutz. Bei Überschneidungen gilt ein Doppelbestrafungsverbot (§ 65 Abs. 10 BSIG).

NIS2-Managerhaftung vs. allgemeine Organhaftung

Die NIS2-Managerhaftung ist eine spezielle Ausprägung der allgemeinen Organhaftung nach § 43 GmbHG / § 93 AktG, konkretisiert den Sorgfaltsmaßstab jedoch für den Bereich Cybersicherheit.

Praxishinweise

Betroffenheitsprüfung durchführen: BSI-Selbsttest nutzen
Geschäftsleitungsschulung absolvieren: Vor Ablauf der Übergangsfrist
ISMS-Basis aufbauen: Mindestens VdS 10000
Dokumentation etablieren: Lückenlose Nachweisführung
D&O-Police prüfen: Auf NIS2-relevante Ausschlüsse achten
Cyber-Versicherung ergänzen: Für operative Schäden

Weiterführende Begriffe

→ Business Judgment Rule
→ D&O-Versicherung
→ Geschäftsführerhaftung
→ Informationssicherheits-Managementsystem (ISMS)
→ NIS-2-Richtlinie
→ Organhaftung
→ Wissentlichkeitsausschluss

Stand: Januar 2026

Zurück zum Lexikon