Das am 6. Dezember 2025 in Kraft getretene NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) etabliert eine persönliche, nicht delegierbare Haftung von Geschäftsführern und Vorständen für Cybersicherheitsmaßnahmen. Rund 29.500 deutsche Unternehmen sind betroffen. Die D&O-Versicherung bleibt das zentrale Absicherungsinstrument – die Gesetzesbegründung zu § 38 BSIG-neu stellt ausdrücklich klar, dass D&O-Versicherungen nicht eingeschränkt werden sollen. Allerdings bestehen erhebliche Deckungslücken bei Bußgeldern, wissentlichen Pflichtverletzungen und Cyber-spezifischen Schäden, die eine Kombination mit Cyber-Versicherungen erfordern.
Rechtliche Grundlagen der Geschäftsführerhaftung nach NIS2
§ 38 BSIG-neu als zentrale Haftungsnorm
Der neue § 38 BSIG (Bundesamt für Sicherheit in der Informationstechnik-Gesetz) normiert erstmals eine explizite Cybersicherheitspflicht der Geschäftsleitung mit drei Kernpflichten:
§ 38 Absatz 1 BSIG (Wortlaut): „Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen.“
§ 38 Absatz 2 BSIG (Haftung): „Geschäftsleitungen, die ihre Pflichten nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts.“
§ 38 Absatz 3 BSIG (Schulungspflicht): „Die Geschäftsleitungen […] müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken […] zu erlangen.“
Die drei gesetzlichen Kernpflichten umfassen: Umsetzungspflicht (aktive Implementierung der Risikomanagementmaßnahmen nach § 30 BSIG), Überwachungspflicht (kontinuierliche Kontrolle der Wirksamkeit) und Schulungspflicht (regelmäßige Teilnahme an Cybersicherheitsschulungen – laut Gesetzesbegründung mindestens alle drei Jahre, ca. vier Stunden). Die Letztverantwortung ist nicht delegierbar – auch bei Einschaltung eines CISO oder externer Berater verbleibt die Verantwortung beim Leitungsorgan.
Verhältnis zu § 43 GmbHG und § 93 AktG
§ 38 Abs. 2 BSIG schafft keine eigenständige Haftungsgrundlage, sondern verweist auf das Gesellschaftsrecht. Die Haftung richtet sich daher bei der GmbH nach § 43 Abs. 2 GmbHG („Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden“) und bei der AG nach § 93 Abs. 2 AktG. Für Rechtsformen ohne eigene Haftungsregelung (Stiftungen, e.V.) enthält § 38 Abs. 2 S. 2 BSIG einen Auffangtatbestand.
Die Business Judgment Rule (§ 93 Abs. 1 S. 2 AktG) greift bei NIS2-Pflichten grundsätzlich nicht, da die Einhaltung der Risikomanagementpflichten nach § 30 BSIG eine gesetzliche Legalitätspflicht und keine unternehmerische Ermessensentscheidung darstellt. Lediglich bei der konkreten Ausgestaltung der Maßnahmen – etwa der Auswahl spezifischer Technologien oder der Budgetverteilung – besteht unternehmerisches Ermessen, das durch die Business Judgment Rule geschützt sein kann.
Haftungsmaßstäbe und Bußgeldrahmen
Die Haftung nach § 38 Abs. 2 BSIG ist verschuldensabhängig und umfasst Vorsatz und Fahrlässigkeit. Es gilt eine Beweislastumkehr: Der Geschäftsführer muss nachweisen, dass er pflichtgemäß gehandelt hat. Der Schadensbegriff umfasst laut Gesetzesbegründung direkte Schäden durch Cyberangriffe, Regressansprüche Dritter und – umstritten – auch Bußgelder nach § 65 BSIG.
Der Bußgeldrahmen nach § 65 BSIG-neu ist erheblich:
- Besonders wichtige Einrichtungen: Bis zu 10 Mio. Euro oder 2% des weltweiten Konzernumsatzes
- Wichtige Einrichtungen: Bis zu 7 Mio. Euro oder 1,4% des weltweiten Umsatzes
- Meldepflichtverletzungen: Bis zu 2 Mio. Euro
- Registrierungspflichtverletzungen: Bis zu 500.000 Euro
Ein Doppelbestrafungsverbot gilt bei parallel verhängten DSGVO-Bußgeldern (§ 65 Abs. 10 BSIG). Zusätzlich kann das BSI bei besonders wichtigen Einrichtungen der Geschäftsleitung die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen (§ 61 Abs. 9 Nr. 2 BSIG-E).
D&O-Versicherungen und ihre Bedingungen
Marktübersicht deutscher D&O-Anbieter
Der deutsche D&O-Markt wird von den GDV-Musterbedingungen (AVB D&O, Stand Mai 2020) geprägt, die als Grundlage für die meisten Policen dienen. Der Markt umfasst 2024 Beitragseinnahmen von 498 Mio. Euro bei einem Gesamtmarkt von geschätzten 953 Mio. Euro. Die Geschäftsjahr-Schadenquote lag 2024 bei 57% mit durchschnittlichen Schäden von 115.000 Euro.
Allianz Commercial bietet D&O-Versicherungen für alle Unternehmensgrößen mit integrierten Rechtsschutzfunktionen; Online-Deckungssummen bis 2 Mio. Euro sind möglich, größere Risiken erfordern individuelle Anfragen. AXA XL Financial Lines fokussiert auf Mittelstand und Großkunden mit Unternehmens-D&O, Side-A-Deckung und weltweiter Deckung in internationalen Programmen.
Zurich D&O Plus Entscheiderhaftpflicht richtet sich an Unternehmen bis 50 Mio. Euro Umsatz und bietet besondere Leistungsmerkmale: zusätzliche Deckungssumme für Abwehrkosten (20%, max. 500.000 Euro), keine Anrechnung der Kosten auf Deckungssumme bis 5 Mio. Euro, Kosten für BVerfG/EuGH-Verfahren ohne Sublimit.
Hiscox D&O (Bedingungen Stand 03/2024) zeichnet sich durch ein wichtiges Alleinstellungsmerkmal aus: keine Anrechnung der Abwehrkosten auf die Versicherungssumme sowie eine unbegrenzte Nachmeldefrist. Das Produkt richtet sich an mittelständische Unternehmen bis 100 Mio. Euro Umsatz und Vereine.
Markel Pro D&O für Unternehmen bis 250 Mio. Euro Umsatz bietet eine explizite Datenschutzklausel mit Übernahme der Abwehrkosten bei Straf-/Bußgeldverfahren wegen Verletzung datenschutzrechtlicher Bestimmungen und – bei fahrlässigem Verstoß – auch verhängter Bußgelder, soweit versicherbar.
Wichtiger Markthinweis: Chubb hat sich im April 2022 aus dem D&O-Geschäft für Gewerbe- und Industriekunden in Deutschland zurückgezogen und bietet nur noch Deckungen für Financial Institutions an. Als Gründe werden die angespannte Schadensituation (Wirecard, Arcandor, Dieselskandal) genannt.
Spezifische Klauselwortlaute
Die GDV-Musterbedingungen strukturieren sich in Teil A – Kernleistungen: A-1 (Versicherungsschutz für Organe bei Pflichtverletzungen), A-2 (Claims-made-Prinzip), A-3 (Company Reimbursement), A-5 (Rückwärtsdeckung und Nachmeldefrist), A-6.4 (Versicherungssumme mit Kostenanrechnung), A-6.5 (Selbstbehalt für AG-Vorstände: 10% des Schadens bis zum 1,5-fachen der Jahresfestbezüge gem. § 93 Abs. 2 AktG).
Teil A-7 – Wesentliche Ausschlüsse umfasst: A-7.1 (vorsätzliche Schadenverursachung/wissentliche Pflichtverletzung), A-7.4 (Umwelteinwirkungen), A-7.9 (unlauterer Wettbewerb, Kartellrecht), A-7.10 (Bußgelder, Vertragsstrafen, punitive damages), A-7.12 (Bestechung, Korruption).
Die Hiscox-Bedingungen (Ziffer II) schließen aus: Fremdmandate für Kredit-/Finanzdienstleistungsunternehmen, US-börsennotierte Gesellschaften, vorsätzliche Pflichtverletzungen – jedoch mit dem Zusatz, dass Abwehrkosten bis zur rechtskräftigen Feststellung gedeckt bleiben. Bußgelder und punitive damages sind ausgeschlossen, „soweit kein gesetzliches Versicherungsverbot besteht“.
NIS2-spezifische D&O-Produkte
Die Recherche ergab, dass keine explizit benannten NIS2-Bausteine als separate Produkte am Markt existieren. Standard-D&O-Policen decken jedoch grundsätzlich Pflichtverletzungen im Zusammenhang mit IT-Sicherheit. Der Allianz Commercial D&O-Report 2025 bestätigt: „Cybervorfälle sorgen bereits regelmäßig für D&O-Schäden.“ Typisches Szenario ist, dass Verantwortliche die Cybersicherheit nicht ausreichend sichergestellt haben.
Ausschlussklauseln und Versicherbarkeit von Bußgeldern
Der Wissentlichkeitsausschluss nach § 103 VVG
Die typische AVB-Formulierung (A-7.1 AVB D&O des GDV) lautet: „Kein Versicherungsschutz besteht wegen vorsätzlicher Schadenverursachung oder durch wissentliches Abweichen von Gesetz, Vorschrift, Beschluss, Vollmacht oder Weisung oder durch sonstige wissentliche Pflichtverletzung durch eine versicherte Person.“
Ein wegweisendes Urteil ist die BGH-Entscheidung IV ZR 66/25 vom 19. November 2025: Der BGH fordert eine enge Auslegung des Wissentlichkeitsausschlusses. Die Wissentlichkeit muss sich auf die konkret haftungsauslösendePflichtverletzung beziehen. Eine wissentliche Verletzung einer Pflicht indiziert nicht automatisch auch die wissentliche Verletzung einer anderen Pflicht. Die Beweislast liegt beim Versicherer – dieser muss für jede einzelne streitgegenständliche Handlung beweisen, dass der Geschäftsleiter diese als pflichtwidrig erkannte.
Bei NIS2-Verstößen greift der Wissentlichkeitsausschluss daher nur, wenn der Manager positive Kenntnis von der konkreten Sicherheitspflicht hatte und diese bewusst missachtete. Bei Organisationsverschulden oder Überwachungsmängeln ist Wissentlichkeit regelmäßig schwer nachweisbar.
Versicherbarkeit von Bußgeldern nach deutschem Recht
Die herrschende Meinung verneint die Versicherbarkeit von Bußgeldern: Der Versicherungsschutz würde den gesetzlichen Präventions- und Sanktionszweck vereiteln; ein Verstoß gegen § 134 BGB (gesetzliches Verbot) und § 138 BGB (Sittenwidrigkeit) läge vor.
Eine differenzierende Mindermeinung unterscheidet zwischen dem Ahndungsteil (Bestrafung/Abschreckung – wohl nicht versicherbar) und dem Abschöpfungsteil (Vorteilsabschöpfung – möglicherweise versicherbar). Der BFH hat in I R 100/97 entschieden, dass der Abschöpfungsteil steuerlich abzugsfähig ist – ein Argument für dessen partielle Versicherbarkeit.
Die EuGH-Vorlage des BGH (KZR 74/23, 11. Februar 2025) betrifft die Frage des Bußgeldregresses gegen Manager bei Kartellverstößen. Ein Edelstahlunternehmen klagt auf Erstattung von 4,1 Mio. Euro Kartellbußgeld gegen seinen ehemaligen Geschäftsführer. Die EuGH-Entscheidung wird frühestens 2026/2027 erwartet und wird die Rechtslage zum Bußgeldregress grundlegend klären.
Für NIS2-Bußgelder gilt: Die direkte Versicherung der Geldbuße ist wohl nicht zulässig. Der Bußgeldregress gegen Manager ist rechtlich ungeklärt. Abwehrkostendeckung ist unproblematisch versicherbar. Viele Spezialpolicen versichern Bußgelder daher mit dem Vorbehalt: „soweit dem kein gesetzliches Versicherungsverbot entgegensteht.“
Deckungslücken bei NIS2-bezogenen Schäden
D&O-Versicherungen decken typischerweise nicht: direkte Bußgelder gegen das Unternehmen, IT-Forensik- und Wiederherstellungskosten, Betriebsunterbrechungsschäden, Lösegeldzahlungen bei Ransomware, vorsätzliche Schadenverursachung.
Der D&O-Schutz versagt bei Cyber-Vorfällen insbesondere bei: wissentlicher Pflichtverletzung (wenn Manager IT-Risiken bewusst ignorierten), fehlender Cyber-Hygiene (Versicherer verweigern zunehmend Deckung bei unzureichenden Sicherheitsmaßnahmen), nachgewiesener NIS2-Noncompliance, staatlich initiierten Cyberangriffen (Kriegsausschluss).
Empfohlene Versicherungskombination für NIS2-pflichtige Unternehmen: D&O-Versicherung (mit Bußgeldregressdeckung „soweit zulässig“, ohne/mit engem Cyber-Ausschluss, Deckungssumme mind. 50% des Eigenkapitals), Cyber-Versicherung (Eigenschäden, Forensik, Drittschäden, Incident-Response), Unternehmens-Strafrechtsschutzversicherung (Abwehrkosten unabhängig vom D&O-Versicherungsfall), ggf. Vertrauensschadenversicherung (bei CEO-Fraud-Risiken).
Praktische Umsetzung und Enthaftungsstrategien
Dokumentationspflichten als zentrales Enthaftungsinstrument
Lückenlose Dokumentation ist das wichtigste Enthaftungsinstrument. Zwingend zu dokumentieren sind: Risikobewertungen (systematische Identifikation, Bewertung und Behandlung von Risiken), Vorstandsbeschlüsse(alle Entscheidungen zur Billigung von Sicherheitsmaßnahmen protokollieren), Incident-Response-Pläne, Sicherheitsrichtlinien (schriftliche Security Policy), Schulungsnachweise (Teilnahmebestätigungen mit Zeitpunkt, Dauer, Inhalten), Audit-Ergebnisse, Organigramm mit Rollen und Verantwortlichkeiten, Maßnahmenumsetzung(dokumentierte TOM).
ISMS-Standards im Vergleich
ISO 27001:2022 ist der internationale Goldstandard, bildet eine gute Grundlage, ist aber allein nicht ausreichend für vollständige NIS2-Compliance. Ergänzungen sind nötig bei Meldepflichten (24h-Frist), Board-Level-Accountability und Lieferkettensicherheit. ENISA verweist in Präambel 79 der NIS2-Richtlinie explizit auf die ISO 27000-Serie.
VdS 10000 wurde speziell für deutsche KMU entwickelt und erfordert ca. 20% des Aufwands von ISO 27001. Das BSI bestätigt: „Das Regelwerk VdS 10000 stellt eine Teilmenge der Basis-Absicherung des IT-Grundschutzes dar und bildet eine gute Basis zur Implementierung eines ISMS.“ Eine NIS2-spezifische Erweiterung (VdS 10100) ist in Entwicklung.
BSI IT-Grundschutz ist für die Bundesverwaltung gesetzlich gestärkt; die Erfüllung der § 30-Vorgaben wird durch IT-Grundschutz gewährleistet. Die BSI-Standards 200-1 bis 200-4 decken ISMS, Strukturanalyse, Risikoanalyse und Business Continuity Management ab.
Schulungsanforderungen nach BSI-Handreichung
Die BSI-Handreichung zur NIS-2-Geschäftsleitungsschulung (veröffentlicht 30. September 2025) definiert drei Kernbereiche: Erkennung und Bewertung von Cyberrisiken, Risikomanagementmaßnahmen nach § 30 BSIG und Auswirkungen auf die erbrachten Dienste.
Die Schulung muss laut Gesetzesbegründung mindestens alle drei Jahre erfolgen und ca. vier Stunden dauern. Eine formale Prüfung ist nicht erforderlich – eine Teilnahmebestätigung genügt. Anlassbezogene Zusatzschulungen sind erforderlich bei Wechsel in der Geschäftsleitung, signifikanten Änderungen in Geschäftsprozessen und nach signifikanten Sicherheitsvorfällen.
Schulungsanbieter sind unter anderem: Haufe Akademie („NIS-2 für die Geschäftsleitung“), mITSM (4-stündige Schulung, EUR 340,- zzgl. MwSt.), DSN Akademie und activeMind AG.
Enthaftungs-Checkliste für Geschäftsführer
Sofortmaßnahmen: Betroffenheitsprüfung durchführen (BSI-Selbsttest, FitNIS2-Navigator), Geschäftsleitungsschulung absolvieren, ISMS-Basis aufbauen (mindestens VdS 10000), ISB benennen, Risikomanagementmaßnahmen billigen und dokumentieren.
Mittelfristige Maßnahmen: Überwachungsprozess etablieren (regelmäßige Reports der IT-Abteilung einfordern), Incident-Response-Plan entwickeln und testen, Lieferketten-Sicherheit prüfen, D&O-Versicherung auf NIS2-Deckung prüfen, externes Audit durchführen.
Kontinuierliche Maßnahmen: Schulungen alle drei Jahre wiederholen, Risikoanalysen regelmäßig aktualisieren, Dokumentation pflegen, Wirksamkeit der Maßnahmen überprüfen.
Aktuelle Rechtsprechung des BGH u.a.
Relevante BGH-Entscheidungen
- BGH IV ZR 66/25 (19.11.2025): Enge Auslegung des Wissentlichkeitsausschlusses; Beweislast beim Versicherer
- BGH KZR 74/23 (11.02.2025): EuGH-Vorlage zur Vereinbarkeit des Kartellbußgeld-Regresses mit Art. 101 AEUV
- BGH 1 StR 265/16 (09.05.2017): Effektives Compliance-Management wirkt bußgeldmindernd
Wichtige Instanzurteile
- OLG Düsseldorf VI-6 U 1/22 (27.07.2023): Verneinung des Bußgeldregresses – Sanktionszweck würde vereitelt
- LG Dortmund (21.06.2023): Bejahung des Bußgeldregressanspruchs gegen Geschäftsführer
Fachliteratur
- Sieg/Bradshaw: „NIS-2-RL und Managerhaftung“, PHi 5/2024, S. 156
- Noerr: „Evolution der Managerhaftung am Beispiel NIS-2“, noerr.com/insights (2024)
- Deutscher Anwaltsverein: Stellungnahme 35/2024 zum NIS2UmsuCG
- PwC Legal: „BSIG-E: Pflichtenkreis der Geschäftsführung und Organhaftungsrisiken“
Schlussfolgerungen
Die NIS2-Managerhaftung verschärft die persönliche Verantwortung von Geschäftsführern und Vorständen für Cybersicherheit erheblich, stellt aber primär eine Kodifizierung bestehender Sorgfaltspflichten dar. Die D&O-Versicherung bleibt das zentrale Absicherungsinstrument – der Gesetzgeber hat dies ausdrücklich bestätigt.
Die BGH-Rechtsprechung 2025 stärkt die Position der Versicherten durch eine enge Auslegung des Wissentlichkeitsausschlusses. Die Versicherbarkeit von Bußgeldern bleibt rechtlich ungeklärt; die EuGH-Entscheidung zum Bußgeldregress wird 2026/2027 Klarheit bringen. Bis dahin sollten Policen mit der Klausel „soweit kein gesetzliches Versicherungsverbot entgegensteht“ gewählt werden.
Für eine umfassende Absicherung ist die Kombination aus D&O- und Cyber-Versicherung unerlässlich. Die wichtigste Enthaftungsstrategie bleibt die lückenlose Dokumentation aller Maßnahmen, Entscheidungen und Schulungen – wer nachweisen kann, auf angemessener Informationsgrundlage gehandelt zu haben, reduziert sein Haftungsrisiko erheblich.
Sie benötigen weiteren rechtlichen Rat?
Nutzen Sie unsere Online-Anfrage für einen schnellen Check.
Die Schilderung Ihres Problems und eine kurze Ersteinschätzung sind kostenlos, wenn Sie gekündigt wurden oder einen Aufhebungsvertrag erhalten haben.
Für alle anderen Anliegen können Sie gerne eine kostenpflichtige Erstberatung in Anspruch nehmen.
Jetzt beraten lassen
Kanzleibewertung
