Haftung der Geschäftsführung nach NIS2 – Pflichten, Risiken und wie Sie sich schützen

IT-Sicherheit war schon immer wichtig – doch nun ist sie auch rechtlich verpflichtend. Für Geschäftsleitungen bedeutet dies: neue Pflichten und potenziell persönliche Haftungsrisiken, wenn etwas schiefläuft. In diesem Beitrag erklären wir in nüchternem Ton, was NIS2 für Geschäftsführer und Vorstände konkret verlangt und welche Konsequenzendrohen, falls diese Pflichten vernachlässigt werden. Vor allem aber: Wie kann man als Führungskraft vorbeugen und das Unternehmen rechtssicher aufstellen?

IT-Sicherheit wird zur Chefsache – was verlangt das Gesetz?
Die NIS2-Umsetzung in Deutschland verankert unmissverständlich: Die Geschäftsleitung trägt die Verantwortung für die Cybersicherheit. Konkret heißt das, Vorstände und Geschäftsführer sind gesetzlich verpflichtet, ein angemessenes IT-Risikomanagement im Unternehmen einzuführen und aufrechtzuerhalten. Anders als früher reicht es nicht, einfach einen IT-Leiter „machen zu lassen“. § 38 BSIG (neue Fassung) formuliert, dass die Unternehmensleitung die Umsetzung der Sicherheitsmaßnahmen „anzustoßen, zu steuern und zu überwachen“ hat.

Für die Praxis bedeutet das beispielsweise: Die Geschäftsführung muss dafür sorgen, dass eine Risikoanalysedurchgeführt wird – und die Ergebnisse kennen und verstehen. Sie muss geeignete Sicherheitsrichtlinien genehmigen (oder selbst erlassen) und regelmäßig den Status der Umsetzung prüfen lassen. Sie sollte in wichtige Entscheidungen zur IT-Sicherheit (z.B. Freigabe von Budgets für neue Security-Systeme, Einstellung eines Informationssicherheitsbeauftragten, Reaktion auf kritische Schwachstellen) aktiv eingebunden sein. Ignoranz oder komplettes Delegieren sind keine Option mehr.

Ein klarer Indikator dieser neuen Verantwortlichkeit ist die verpflichtende Schulung der Geschäftsleitung. Jedes Mitglied der Geschäftsführung muss regelmäßig eine Cybersecurity-Schulung absolvieren und dies dokumentieren. Inhaltlich sollen solche Schulungen Management-Wissen vermitteln: Welche Gefahren gibt es? Wie funktioniert Risikomanagement? Welche Maßnahmen schreibt das Gesetz vor? etc. Diese Pflicht ist mehr als nur ein formaler Akt – sie soll sicherstellen, dass auf höchster Ebene Bewusstsein und grundlegendes Verständnis für IT-Risiken vorhanden sind. Ein Vorstand muss z.B. die Bedeutung von Begriffen wie „Patch-Management“ oder „Zero-Day-Lücke“ zumindest einordnen können, um im Krisenfall die richtigen Fragen zu stellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu eine ausführliche Handreichung veröffentlicht, was in solchen Geschäftsführerschulungen behandelt werden sollte – von rechtlichen Pflichten bis hin zu Fallstudien von Cybervorfällen.

Haftungsrisiken bei Verstößen – persönlich im Visier:
Kommt die Geschäftsleitung ihren NIS2-Pflichten nicht nach, drohen empfindliche Konsequenzen. Das Gesetz sieht zwei Ebenen von Sanktionen vor: aufsichtsrechtliche Bußgelder und zivilrechtliche Managerhaftung.

1. Bußgelder und behördliche Maßnahmen: Bei Verstößen gegen die NIS2-Pflichten kann das BSI als Aufsichtsbehörde hohe Geldbußen verhängen. Für besonders wichtige Einrichtungen liegt der Rahmen bei bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes, je nachdem was höher ist. Für wichtige Einrichtungen gelten bis zu 7 Mio. € oder 1,4% des Umsatzes als Obergrenze. Diese Summen verdeutlichen den Ernst der Lage – sie orientieren sich an Größenordnungen, wie man sie von DSGVO-Verstößen kennt. Neben Geldstrafen können auch andere Maßnahmen ergriffen werden: Das BSI kann z.B. Audits und Prüfungen anordnen. Insbesondere bei den „großen“ Unternehmen (besonders wichtige Einrichtungen) ist sogar proaktive Aufsicht vorgesehen – das heißt, das BSI darf auch ohne konkreten Anlass regelmäßige Prüfungen durchführen lassen. In Extremfällen erlaubt das Gesetz sogar, dass die Behörde die vorübergehende Abberufung von Geschäftsleitern oder die Untersagung des Betriebs beantragt, falls lebenswichtige Systeme gefährdet sind. Auch wenn solche drastischen Schritte hoffentlich selten bleiben – allein ihre Möglichkeit dürfte bei vielen Führungsteams für schlaflose Nächte sorgen, sollte man die IT-Sicherheit vernachlässigen.

2. Zivilrechtliche Managerhaftung: Unabhängig von behördlichen Strafen kann die eigene Firma oder ihre Gesellschafter die Geschäftsführung zur Rechenschaft ziehen, wenn durch mangelnde IT-Sicherheit ein Schaden entsteht. Hier greift das allgemeine Gesellschaftsrecht. § 43 GmbHG (für GmbH-Geschäftsführer) und § 93 AktG(für Vorstände) verpflichten zu einer Geschäftsführung mit der „Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“. Das beinhaltet selbstverständlich die Einhaltung aller Gesetze – und damit auch von NIS2. Vernachlässigt ein Geschäftsführer vorsätzlich oder fahrlässig die IT-Sicherheit, sodass dem Unternehmen ein Schaden entsteht (z.B. ein Cyberangriff mit Produktionsausfall und millionenschweren Kosten), kann dieser als Pflichtverletzung gewertet werden. Die Konsequenz wäre eine Innenhaftung: der Geschäftsführer haftet der Gesellschaft gegenüber auf Schadensersatz. Besonders brisant: diese Haftung ist persönlich, d.h. mit dem Privatvermögen. Gerade angestellte Manager (die nicht zugleich Eigentümer sind) müssen damit rechnen, dass die Gesellschafter oder der Aufsichtsrat sie in Regress nehmen, um den erlittenen Schaden auszugleichen.

Rechtsanwalt Axel Pöppel weist in diesem Zusammenhang darauf hin, dass die Gerichte die Messlatte hoch anlegen: Die Verletzung gesetzlicher Vorschriften wie NIS2 lässt sich kaum rechtfertigen. Die vielzitierte Business Judgment Ruleschützt Führungskräfte nicht, wenn es um klare Compliance-Pflichten geht – hier gibt es keinen Ermessensspielraum, sondern nur richtig oder falsch. Ignorieren der NIS2-Vorgaben würde als Sorgfaltspflichtverletzung gewertet, und Manager könnten auf Schadenersatz verklagt werden.

Was ist mit Versicherungen?
Viele Führungskräfte vertrauen darauf, dass ihre D&O-Versicherung (Managerhaftpflicht) sie schützt, wenn etwas passiert. Doch Vorsicht: Wissentlicher Rechtsbruch ist nicht versicherbar. D&O-Policen schließen regelmäßig Schäden aus, die aus vorsätzlichem oder bewusstem Verstoß gegen Gesetze entstehen. Zwar bewegt man sich bei IT-Sicherheit oft im Bereich der Fahrlässigkeit – aber je klarer die gesetzlichen Pflichten jetzt definiert sind, desto eher kann einem Manager auch bewusste Fahrlässigkeit (bis hin zu Vorsatz) vorgeworfen werden, wenn er grundlegende Anforderungen ignoriert. Im Ernstfall könnte also der Versicherer die Zahlung verweigern, wenn z.B. nachgewiesen wird, dass die Geschäftsführung trotz Warnungen keine Sicherheitsupdates einspielen ließ oder die vorgeschriebene Risikoanalyse nie gemacht hat. Es gab bereits Gerichtsverfahren – der BGH hat im November 2025 bestätigt, dass der Versicherer bei „wissentlicher Pflichtverletzung“ leistungsfrei ist, wobei die Hürden für diesen Nachweis hoch sind. Dennoch: Verlassen sollte man sich darauf nicht. Im Gegenteil, es empfiehlt sich, die eigene D&O-Police jetzt genau zu prüfen: Sind Cybervorfälle und behördliche Bußgelder mit abgedeckt? Gibt es Klauseln, die neue Pflichten wie NIS2 berücksichtigen? Einige Versicherer reagieren mit höheren Prämien oder verlangen Nachweise von Cybersecurity-Maßnahmen, um den Deckungsschutz aufrechtzuerhalten.

Weitere Folgen: Reputations- und Geschäftsrisiken
Neben rechtlichen Sanktionen drohen bei Verstößen auch immaterielle Schäden. Das BSI hat die Befugnis, bei gravierenden Vorfällen die Öffentlichkeit zu informieren. Man stelle sich vor: Auf der Firmenwebseite muss ein Hinweis veröffentlicht werden, dass man aufgrund eines Cyberangriffs vorübergehend nicht lieferfähig ist – ein PR-Desaster. Kunden und Partner erfahren unweigerlich von Sicherheitsproblemen. Das Vertrauen kann schwer erschüttert werden. Gerade für Unternehmen, die Teil komplexer Lieferketten sind, kann ein bekannter Sicherheitsmangel dazu führen, dass Großkunden abspringen oder man bei künftigen Ausschreibungen ausgeschlossen wird. Die öffentliche Verwaltung etwa könnte in ihren Beschaffungsauflagen NIS2-Compliance verlangen – wer das nicht nachweisen kann, bleibt außen vor. Kurz: IT-Sicherheit wird zum Qualitätsmerkmal am Markt. Ein Imageschaden durch ein Bußgeld oder eine öffentliche Rüge des BSI kann zu realen Umsatzeinbußen führen.

Aus Sicht der Geschäftsführung ist daher klar: Man riskiert nicht nur Strafen von oben, sondern auch die Wettbewerbsfähigkeit des Unternehmens, wenn man die neuen Regeln ignoriert. Und wenn das Unternehmen leidet, erhöht das wiederum das Risiko, selbst zur Verantwortung gezogen zu werden – ein Teufelskreis.

Typische Fehler vermeiden
Was könnten nun konkrete Pflichtverstöße in der Praxis sein, die zur Haftung führen? Hier einige Beispiele aus Sicht der NIS2-Vorgaben:

• Ein Unternehmen registriert sich nicht beim BSI, obwohl es verpflichtet wäre. → Verstoß gegen Meldepflicht, Bußgeld möglich.

• Die Geschäftsleitung ignoriert die Risikoanalyse oder führt gar keine durch. → Verstoß gegen §30 BSIG, bei Schaden Haftung wegen Organisationsverschuldens.

• Es wird versäumt, einen Incident-Response-Plan zu haben. Kommt es zum Cyberangriff und deshalb zu Verzögerungen bei der Bewältigung, könnte man den Verantwortlichen vorwerfen, keine Vorkehrungen getroffen zu haben.

• Meldepflicht versäumt: Ein erheblicher Sicherheitsvorfall wird nicht innerhalb der Fristen an das BSI gemeldet. Das wäre ein klarer Gesetzesverstoß mit entsprechendem Bußgeld. Zudem würde es im Nachhinein sehr negativ bewertet, falls der Vorfall öffentlich bekannt wird – Stichwort Vertuschung.

• Dokumentation fehlt: Die NIS2 fordert ausdrücklich, dass alle Maßnahmen dokumentiert werden müssen. Fehlen z.B. Protokolle über Schulungen, Richtlinien oder Auditberichte, verstößt das gegen die Vorgaben. Im Haftungsfall kann die Geschäftsführung dann nicht nachweisen, überhaupt tätig geworden zu sein – ein großer Nachteil vor Gericht.

Man sieht: Haftungsfallen lauern sowohl im Unterlassen (etwas Wichtiges nicht tun) als auch im schlechten Tun (etwas unzureichend oder verspätet tun). Das Spektrum reicht von eher formalen Dingen (nicht registriert, keine Dokumentation) bis zu substanziellem Versagen (keine Schutzmaßnahmen, kein Incident-Management). Fahrlässigkeit genügt in vielen Fällen schon – man muss NIS2 nicht vorsätzlich missachten, um belangt zu werden. Leichte Fahrlässigkeit kann etwa sein, wenn ein Geschäftsführer sich einfach gar nicht kümmert und das Thema an IT-Mitarbeiter delegiert, ohne nachzufragen. Angesichts der klaren Gesetzeslage dürfte das kaum entschuldbar sein.

Schutzstrategien für Führungskräfte:
Wie kann man als verantwortlicher Managerin nun das Haftungsrisiko minimieren? Der Schlüssel liegt in präventivem Handeln und Compliance-Strukturen:

• Informieren und Sensibilisieren: Zunächst sollten sich Geschäftsleitungsmitglieder selbst ein Bild von den NIS2-Pflichten machen. Dieser und ähnliche Artikel sind ein Anfang. Idealerweise lässt man sich von Experten (internen Sicherheitsbeauftragten oder externen Beratern) briefen, welche konkreten Lücken im eigenen Unternehmen bestehen. Unwissenheit schützt nicht – Wissen schon eher.

• Rollen und Verantwortlichkeiten klären: Jedes Unternehmen sollte intern definieren, wer für IT-Sicherheit zuständig ist und berichtet. Eine klare Organisation (z.B. Bestellung eines Informationssicherheitsbeauftragten, Einrichtung eines Risiko-Boards) hilft, Verantwortungsdiffusion zu vermeiden. Aber Achtung: Delegation entbindet nicht von Aufsichtspflicht. Selbst wenn ein CIO eingesetzt ist, muss die Geschäftsführung regelmäßig nachhaken und Ergebnisse einfordern.

• Dokumentation und Nachweise sammeln: Wie im allgemeinen Haftungsrecht gilt: Was nicht dokumentiert ist, hat nicht stattgefunden. Führungskräfte sollten darauf drängen, dass alle relevanten Schritte schriftlich festgehalten werden: Risikoanalyse-Reports, Beschlüsse über Sicherheitsmaßnahmen in Geschäftsleitungssitzungen, Schulungsnachweise, Vorfallsberichte etc. Eine lückenlose Dokumentation zeigt im Zweifel, dass man seine Sorgfaltspflichten ernst genommen hat.

• D&O-Police überprüfen: Obwohl Versicherungsschutz kein Freibrief ist, sollte man dennoch sicherstellen, dass die vorhandene D&O-Versicherung überhaupt Cyber-Risiken und Regulierungsverstöße abdeckt. Gegebenenfalls kann man mit dem Versicherer sprechen, ob zusätzlicher Cyber-Versicherungsschutz oder spezielle Klauseln nötig sind, um NIS2-Bußgelder zumindest teilweise abzusichern (soweit rechtlich zulässig). Manche Versicherer bieten inzwischen Erweiterungen an, aber oft mit strengen Voraussetzungen.

• Rechtsrat einholen: Bei Unklarheiten – insbesondere wenn es um komplexe Konzernstrukturen oder grenzüberschreitende Fälle geht – ist es ratsam, fachkundigen Rechtsrat einzuholen. Spezialisierte Kanzleien (wie die von RA Pöppel) haben Erfahrung mit Managerhaftung und Compliance-Anforderungen. Sie können helfen, eine belastbare Rechtsmeinung einzuholen, ob ein bestimmtes Vorgehen ausreichend ist oder wo nachgebessert werden muss. Im Zweifel kann sogar ein Rechtsgutachten die Haftungssituation entschärfen, solange es erkennbar objektiv und umsetzungsorientiert ist (man darf sich allerdings kein „Persilschein“-Gefälligkeitsgutachten ausstellen lassen – das hat vor Gericht keinen Wert).

Zusammengefasst: Die Geschäftsführung steht mit NIS2 in der Verantwortung wie nie zuvor in Sachen IT-Sicherheit. Die gute Nachricht: Wer proaktiv handelt, die richtigen Leute einbezieht und ein solides Sicherheitskonzept etabliert, kann damit nicht nur sein Unternehmen schützen, sondern auch sich selbst. Die Juristen sprechen gerne vom „Haftungsfreiraum“: Wenn eine Maßnahme auf Basis sorgfältiger Information und Abwägung getroffen wurde und nachvollziehbar dem Unternehmenswohl dient, ist ein Manager in der Regel nicht haftbar – selbst wenn im Nachhinein ein Schaden eintritt. Dieses Prinzip (Business Judgment Rule) greift zwar nicht bei klaren Rechtsverstößen, aber sehr wohl bei Entscheidungen wie man die Pflichten umsetzt. Beispiel: Welche konkreten technischen Lösungen man einführt, liegt im Ermessen, solange der Stand der Technik erfüllt ist. Hier sollte die Geschäftsführung dokumentieren, dass sie verschiedene Optionen geprüft hat (mit Unterstützung ihrer Fachleute) und sich dann begründet für eine angemessene Variante entschieden hat. Solche Vorgehensweisen schaffen Schutz.