Seit dem 6. Dezember 2025 ist das NIS-2-Umsetzungsgesetz in Kraft – und mit ihm eine neue Dimension der persönlichen Haftung für Geschäftsführer und Vorstände. Cybersicherheit ist nun gesetzlich zur Chefsache erklärt worden. Das Besondere: Die Verantwortung lässt sich nicht delegieren, und Verstöße können Bußgelder bis zu 10 Millionen Euro nach sich ziehen. Gleichzeitig fragen sich viele Führungskräfte, ob ihre D&O-Versicherung im Ernstfall überhaupt greift. Eine berechtigte Sorge – denn die Antwort ist differenziert. Dieser Beitrag zeigt Ihnen, welche konkreten Pflichten Sie treffen, wo die typischen Haftungsfallen lauern und wie Sie sich wirksam absichern können.
Kurz & Knapp: Die wichtigsten Erkenntnisse
- Persönliche Haftung ist Realität: § 38 BSIG-neu verpflichtet Geschäftsführer und Vorstände persönlich zur Umsetzung und Überwachung von Cybersicherheitsmaßnahmen – diese Verantwortung ist nicht delegierbar.
- Bußgelder sind erheblich: Bei besonders wichtigen Einrichtungen drohen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes.
- D&O-Versicherungen greifen – aber mit Lücken: Der Gesetzgeber hat klargestellt, dass D&O-Versicherungen nicht eingeschränkt werden sollen. Allerdings sind direkte Bußgelder in der Regel nicht versicherbar.
- Wissentlichkeitsausschluss wurde vom BGH eng ausgelegt: Das Urteil IV ZR 66/25 vom November 2025 stärkt die Position der Manager – der Versicherer muss die positive Kenntnis der Pflichtverletzung beweisen.
- Schulungspflicht beachten: Geschäftsleitungen müssen regelmäßig (mindestens alle drei Jahre) an Cybersicherheitsschulungen teilnehmen und dies dokumentieren.
- Dokumentation ist der beste Schutz: Wer nachweisen kann, auf angemessener Informationsgrundlage gehandelt zu haben, reduziert sein Haftungsrisiko erheblich.
Was bedeutet die persönliche Haftung nach § 38 BSIG konkret?
Der neue § 38 BSIG (Bundesamt für Sicherheit in der Informationstechnik-Gesetz) etabliert drei verbindliche Kernpflichten für Geschäftsleitungen: die Umsetzungspflicht, die Überwachungspflicht und die Schulungspflicht. Das Gesetz formuliert unmissverständlich, dass Geschäftsleitungen die Risikomanagementmaßnahmen nach § 30 BSIG „umzusetzen und ihre Umsetzung zu überwachen“ haben.
Der entscheidende Punkt: Diese Letztverantwortung verbleibt bei der Geschäftsführung – auch wenn ein CISO oder externe Berater eingeschaltet werden. Sie können Aufgaben delegieren, nicht aber die Verantwortung. Praktisch bedeutet dies, dass Sie als Geschäftsführer nachweisen können müssen, dass Sie sich aktiv um die Cybersicherheit Ihres Unternehmens gekümmert haben.
Die Haftung richtet sich nach den gesellschaftsrechtlichen Regelungen: Bei der GmbH greift § 43 Abs. 2 GmbHG, bei der AG § 93 Abs. 2 AktG. Wichtig zu wissen: Die Business Judgment Rule schützt Sie bei NIS2-Pflichten grundsätzlich nicht, da es sich um gesetzliche Legalitätspflichten handelt – nicht um unternehmerische Ermessensentscheidungen.
Welche Bußgelder drohen bei Verstößen?
Der Bußgeldrahmen nach § 65 BSIG-neu ist gestaffelt und orientiert sich an der Einstufung des Unternehmens. Für besonders wichtige Einrichtungen können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Konzernumsatzes verhängt werden. Wichtige Einrichtungen müssen mit bis zu 7 Millionen Euro oder 1,4 % des Umsatzes rechnen.
Auch vermeintlich kleinere Verstöße werden sanktioniert: Die Verletzung von Meldepflichten kann bis zu 2 Millionen Euro kosten, Verstöße gegen die Registrierungspflicht bis zu 500.000 Euro. Besonders einschneidend: Bei besonders wichtigen Einrichtungen kann das BSI der Geschäftsleitung sogar die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen.
Kann die Gesellschaft Bußgelder von der Geschäftsführung zurückfordern?
Diese Frage ist rechtlich noch nicht abschließend geklärt. Das OLG Düsseldorf hat im Juli 2023 einen Bußgeldregress verneint, da der Sanktionszweck vereitelt würde. Das LG Dortmund hingegen hat im Juni 2023 einen Regressanspruch bejaht. Der BGH hat im Februar 2025 diese Frage dem EuGH vorgelegt – eine Entscheidung wird für 2026/2027 erwartet. Für Sie als Führungskraft bedeutet dies: Rechnen Sie vorsichtshalber mit einem möglichen Regress.
Schützt die D&O-Versicherung bei NIS2-Verstößen?
Die gute Nachricht zuerst: Der Gesetzgeber hat in der Gesetzesbegründung zu § 38 BSIG ausdrücklich klargestellt, dass D&O-Versicherungen nicht eingeschränkt werden sollen. Die Haftung für NIS2-Pflichtverletzungen ist grundsätzlich ein versicherbares Risiko.
Die Einschränkungen liegen im Detail. Die typischen Ausschlüsse in D&O-Policen betreffen vor allem drei Bereiche:
Bußgelder und Strafen: Die direkte Versicherung von Bußgeldern ist nach herrschender Meinung nicht zulässig, da sie den gesetzlichen Sanktionszweck vereiteln würde. Viele Spezialpolicen enthalten daher die Klausel „soweit kein gesetzliches Versicherungsverbot entgegensteht“ – eine Formulierung, die Interpretationsspielraum lässt.
Wissentliche Pflichtverletzungen: Der Wissentlichkeitsausschluss nach § 103 VVG ist in nahezu allen D&O-Policen enthalten. Allerdings hat der BGH in seiner Entscheidung vom 19. November 2025 (IV ZR 66/25) klargestellt, dass dieser Ausschluss eng auszulegen ist: Die Beweislast für die positive Kenntnis der konkreten Pflichtverletzung liegt beim Versicherer. Bei Organisationsverschulden oder Überwachungsmängeln ist Wissentlichkeit regelmäßig schwer nachweisbar.
Abwehrkosten: Unproblematisch versicherbar sind die Kosten für die rechtliche Verteidigung gegen Haftungsansprüche – ein wesentlicher Wert der D&O-Versicherung.
Welche Deckungslücken bestehen bei Cyber-Vorfällen?
Die D&O-Versicherung deckt die persönliche Haftung der Organe – nicht jedoch die operativen Schäden eines Cyberangriffs. IT-Forensik und Wiederherstellungskosten, Betriebsunterbrechungsschäden und Lösegeldzahlungen bei Ransomware sind typischerweise nicht erfasst.
Für NIS2-pflichtige Unternehmen empfiehlt sich daher eine Kombination mehrerer Versicherungen: Die D&O-Versicherung für die persönliche Managerhaftung, eine Cyber-Versicherung für Eigenschäden, Forensik und Incident-Response sowie eine Unternehmens-Strafrechtsschutzversicherung für Abwehrkosten unabhängig vom D&O-Fall.
Bei der D&O-Police sollten Sie auf folgende Punkte achten: Enthält die Police eine Bußgeldregressdeckung „soweit zulässig“? Gibt es einen engen oder weiten Cyber-Ausschluss? Wie hoch ist die Deckungssumme im Verhältnis zum Eigenkapital? Werden Abwehrkosten auf die Versicherungssumme angerechnet?
Wie können Sie sich als Geschäftsführer wirksam enthaften?
Die wichtigste Erkenntnis aus der Praxis: Dokumentation ist Ihr bester Schutz. Wer nachweisen kann, dass er auf angemessener Informationsgrundlage gehandelt hat, reduziert sein Haftungsrisiko erheblich. Folgende Maßnahmen sollten Sie priorisieren:
Schulungsnachweis sichern: Die Geschäftsleitungsschulung nach § 38 Abs. 3 BSIG ist keine Kür, sondern Pflicht. Das BSI empfiehlt eine Dauer von mindestens vier Stunden und eine Wiederholung alle drei Jahre. Bewahren Sie Teilnahmebestätigungen sorgfältig auf.
Vorstandsbeschlüsse protokollieren: Dokumentieren Sie alle Entscheidungen zur Billigung von Sicherheitsmaßnahmen. Der Beschluss, ein bestimmtes Sicherheitsniveau zu implementieren, sollte schriftlich fixiert sein.
Überwachungsprozess etablieren: Lassen Sie sich regelmäßig von Ihrer IT-Abteilung oder dem CISO berichten. Diese Reports sollten Teil Ihrer Vorstandsprotokolle werden.
ISMS aufbauen: Ein Informationssicherheits-Managementsystem nach VdS 10000 oder ISO 27001 bietet eine strukturierte Grundlage. Beachten Sie: ISO 27001 allein genügt nicht für vollständige NIS2-Compliance – Meldepflichten und die Board-Level-Verantwortung erfordern zusätzliche Maßnahmen.
Welche Rolle spielt die Schulungspflicht für die Haftung?
Die Schulungspflicht nach § 38 Abs. 3 BSIG ist mehr als eine Formalität – sie ist ein wesentliches Element Ihrer Enthaftungsstrategie. Das BSI hat im September 2025 eine Handreichung veröffentlicht, die drei Kernbereiche definiert: die Erkennung und Bewertung von Cyberrisiken, die Risikomanagementmaßnahmen nach § 30 BSIG sowie deren Auswirkungen auf die erbrachten Dienste.
Eine formale Prüfung ist nicht erforderlich – eine Teilnahmebestätigung genügt. Anlassbezogene Zusatzschulungen sollten Sie bei einem Wechsel in der Geschäftsleitung, bei signifikanten Änderungen in Geschäftsprozessen und nach erheblichen Sicherheitsvorfällen einplanen.
Die Schulungspflicht hat auch eine defensive Funktion: Können Sie nachweisen, dass Sie sich regelmäßig fortgebildet haben, wird es für Anspruchsteller schwerer, Ihnen mangelnde Sorgfalt vorzuwerfen.
Handeln Sie jetzt – strukturiert und dokumentiert
Das NIS2-Umsetzungsgesetz hat die Cybersicherheit unwiderruflich zur persönlichen Chefsache gemacht. Die gute Nachricht: Wer strukturiert vorgeht und seine Maßnahmen dokumentiert, kann sich wirksam schützen. Die D&O-Versicherung bleibt ein zentrales Absicherungsinstrument – ihre Grenzen sollten Sie allerdings kennen und durch ergänzende Versicherungen abfedern.
Sie benötigen weiteren rechtlichen Rat?
Nutzen Sie unsere Online-Anfrage für einen schnellen Check.
Die Schilderung Ihres Problems und eine kurze Ersteinschätzung sind kostenlos, wenn Sie gekündigt wurden oder einen Aufhebungsvertrag erhalten haben.
Für alle anderen Anliegen können Sie gerne eine kostenpflichtige Erstberatung in Anspruch nehmen.
Jetzt beraten lassen
Kanzleibewertung
