NIS2 verpflichtet Geschäftsführer persönlich zur Cybersicherheit, mit vier nicht delegierbaren Pflichten, möglicher persönlicher Haftung nach §38 BSIG und Bußgeldern bis 10 Mio. EUR oder 2 Prozent Umsatz. Für NIS2 Geschäftsführer ist das kein IT-Thema, sondern eine Organpflicht: Genehmigen, überwachen, selbst geschult sein und Entscheidungen dokumentieren.
Wenn Sie zuerst die angrenzenden Spezialthemen vertiefen möchten, finden Sie mehr Details zur persönlichen NIS2-Haftung für Geschäftsführer, zur Pflicht der NIS2-Geschäftsleitungsschulung und zu NIS2-Bußgeldern und Strafen. Für die operative Umsetzung hilft zusätzlich die NIS2-Checkliste für Unternehmen sowie der Beitrag zur D&O-Versicherung und Cyber-Haftung unter NIS2.
NIS2 für Geschäftsführer — Warum Sie persönlich handeln müssen
NIS2 für Geschäftsführer bedeutet: Cybersicherheit ist Chefsache, weil Art. 20 Abs. 1 der Richtlinie (EU) 2022/2555 die Geschäftsleitung selbst verpflichtet, Cyber-Risikomaßnahmen zu genehmigen und zu überwachen. Genau deshalb reicht es nicht mehr, IT-Sicherheit pauschal an Administratoren, einen IT-Leiter oder einen externen Dienstleister abzuschieben.
Der Kern der neuen Rechtslage ist die Nicht-Delegierbarkeit der Leitungsverantwortung. Sie dürfen operative Aufgaben übertragen, etwa an einen CISO, ein Security-Team oder externe Berater. Sie dürfen aber nicht die Organpflicht übertragen, selbst zu entscheiden, welche Schutzmaßnahmen angemessen sind, welches Budget erforderlich ist, welche Risiken akzeptiert werden und wie die Kontrolle organisiert wird. Die Geschäftsleitung bleibt die Stelle, die am Ende für die Belastbarkeit des Systems einstehen muss.
Für Geschäftsführer ist das besonders relevant, weil die deutsche NIS2-Umsetzung die europäische Vorgabe scharf auf das Organ bezieht. In der Praxis wird häufig noch von §38 BSIG-E gesprochen, obwohl mit Inkrafttreten der Umsetzung aus dem Entwurf die maßgebliche Vorschrift des BSIG geworden ist. Inhaltlich bleibt die Aussage gleich: Die Leitungsebene muss aktiv handeln, sich schulen lassen und bei schuldhaften Pflichtverletzungen mit persönlicher Haftung rechnen.
Die persönliche Dimension entsteht aus vier Punkten, die zusammenspielen. Erstens müssen Sie Schutzmaßnahmen genehmigen. Zweitens müssen Sie deren Umsetzung laufend überwachen. Drittens müssen Sie sich selbst die erforderlichen Kenntnisse aneignen. Viertens haften Sie unter Umständen persönlich, wenn diese Pflichten verletzt werden und daraus ein Schaden entsteht. Das ist mehr als ein abstraktes Governance-Prinzip. Es ist die Verknüpfung von europäischem Cybersicherheitsrecht mit deutschem Organhaftungsrecht nach §43 GmbHG und §93 AktG.
Gerade Geschäftsführer mittelständischer Unternehmen unterschätzen, dass NIS2 nicht nur KRITIS im engeren Sinn betrifft. Viele Unternehmen fallen als wesentliche oder wichtige Einrichtungen in den Anwendungsbereich. Wer betroffen ist, muss NIS2 als Vorstandsthema in Agenda, Budget und Reporting aufnehmen. Genau dafür sollten Sie die Rechtslage nicht isoliert lesen, sondern mit einem belastbaren Maßnahmenplan verknüpfen. Einen ersten strukturierten Überblick bietet unsere NIS2-Checkliste.
Diese 4 NIS2-Pflichten betreffen Sie persönlich
Die vier persönlichen NIS2-Pflichten für Geschäftsführer ergeben sich unmittelbar aus Art. 20 der Richtlinie (EU) 2022/2555 und der deutschen Umsetzung in §38 BSIG. Wer diese Pflichten kennt, versteht sofort, warum Cybersicherheit nicht an der Tür des Serverraums endet, sondern auf die Ebene der Geschäftsführung gehört.
| Pflicht | Rechtsgrundlage | Konsequenz bei Verstoß |
|---|---|---|
| Genehmigung von Cyber-Risikomaßnahmen | Art. 20 Abs. 1 NIS2 | Organisationsverschulden, Bußgeldrisiko, Haftungsverschärfung |
| Überwachung der Umsetzung | Art. 20 Abs. 1 NIS2 | Pflichtverletzung wegen fehlender Kontrolle oder fehlendem Nachweis |
| Persönliche Schulung der Geschäftsleitung | Art. 20 Abs. 2 NIS2, §38 BSIG | Schwächere Verteidigung im Haftungsfall, aufsichtsrechtliche Folgen |
| Persönliche Haftung bei schuldhaftem Verstoß | §38 BSIG, §43 GmbHG, §93 AktG | Regressansprüche, Zugriff auf Privatvermögen, Organfolgen |
Die erste Pflicht ist die Genehmigung. Das bedeutet nicht nur, dass Sie einen Sicherheitsbericht zur Kenntnis nehmen. Sie müssen die Grundentscheidung treffen, welche Cyber-Risikomaßnahmen Ihr Unternehmen tatsächlich einführt. Dazu gehören etwa Risikoanalyse, Incident-Response-Struktur, Backup-Konzept, Lieferkettenkontrollen, Zugriffsschutz und Schulungsprogramm. Wenn das Management nie förmlich entschieden hat, welche Maßnahmen gelten und warum, fehlt ein zentraler Nachweis.
Die zweite Pflicht ist die Überwachung. Ein einmaliger Beschluss genügt nicht. Art. 20 Abs. 1 verlangt gerade, dass die Geschäftsleitung die Umsetzung überwacht. Sie brauchen also regelmäßige Berichte, offene Maßnahmenlisten, Eskalationswege und eine nachvollziehbare Kontrolle, ob definierte Schutzmaßnahmen tatsächlich wirksam eingeführt wurden. Wer nur Budget freigibt, aber nie nachfasst, verletzt seine Pflicht ebenso wie derjenige, der gar keine Entscheidung trifft.
Die dritte Pflicht ist die Schulung. Art. 20 Abs. 2 verlangt, dass die Geschäftsleitung ausreichende Kenntnisse und Fähigkeiten besitzt, um Cyber-Risiken zu erkennen und zu bewerten. Die deutsche Umsetzung konkretisiert diese Pflicht durch regelmäßige Teilnahme an Schulungen. Das bedeutet: Sie müssen selbst teilnehmen. Ein Zertifikat des IT-Teams erfüllt Ihre Organpflicht nicht. Mehr zur konkreten Ausgestaltung lesen Sie im Beitrag zur NIS2-Geschäftsleitungsschulung.
Die vierte Pflicht ist die persönliche Haftung. Wenn Sie Pflichten schuldhaft verletzen und Ihrem Unternehmen oder Dritten daraus ein Schaden entsteht, entsteht nicht nur ein Unternehmensproblem. Dann stellt sich die Frage, ob gegen Sie als Geschäftsführer persönlich vorgegangen wird. Genau an diesem Punkt wird NIS2 für die Geschäftsleitung existenziell.
Zur Einordnung der Delegationsgrenzen hilft diese Übersicht:
| Delegierbar | Nicht delegierbar |
|---|---|
| Operative Umsetzung technischer Maßnahmen | Genehmigung der Grundmaßnahmen |
| Laufendes Security-Management durch CISO oder IT | Überwachung der Umsetzung auf Leitungsebene |
| Vorbereitung von Berichten und Audits | Persönliche Teilnahme an Schulungen |
| Incident-Response-Ausführung im Tagesgeschäft | Letztverantwortung für Pflichtverstöße |
Persönliche Haftung — Was §38 BSIG-E für Sie bedeutet
§38 BSIG macht aus allgemeiner Sorgfaltspflicht eine konkretisierte Cyber-Haftung für Geschäftsführer, weil NIS2-Pflichten direkt mit deutschem Organhaftungsrecht verknüpft werden. Für GmbH-Geschäftsführer ist §43 GmbHG maßgeblich, für Vorstände einer AG §93 AktG. Beide Normen verlangen die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters.
Die praktische Folge ist heikel: Wenn Ihr Unternehmen wegen mangelhafter Cyber-Governance einen Schaden erleidet, kann die Gesellschaft Regress gegen Sie prüfen. Die Haftung endet also nicht automatisch auf Gesellschaftsebene. Bei schwerwiegenden Pflichtverletzungen kann der Zugriff auf das Privatvermögen im Raum stehen. Das gilt insbesondere dann, wenn dokumentierbar ist, dass Risiken bekannt waren, Warnungen vorlagen oder naheliegende Maßnahmen unterlassen wurden.
Hinzu kommt die für Organhaftung typische Beweislastlogik. Im Haftungsprozess müssen Geschäftsführer regelmäßig darlegen, dass sie ihre Sorgfaltspflichten erfüllt haben. Das ist in der Praxis eine erhebliche Beweislastumkehr zulasten des Organs: Nicht der bloße Hinweis auf einen IT-Leiter schützt, sondern nur belastbare Dokumentation zu Entscheidung, Überwachung, Budget und Schulung. Wer keine Protokolle, Beschlüsse, Berichte oder Schulungsnachweise vorlegen kann, startet in eine schlechte Verteidigungsposition.
Ebenfalls relevant ist, dass ein Verzicht auf Regressansprüche rechtlich nicht beliebig möglich ist. Im Aktienrecht ist ein Verzicht auf Ersatzansprüche gegen Vorstandsmitglieder gemäß §93 Abs. 4 Satz 3 AktG erst nach Ablauf von drei Jahren und nur unter zusätzlichen Voraussetzungen zulässig. Diese Wertung zeigt deutlich, wie ernst der Gesetzgeber Pflichtverstöße der Leitungsebene nimmt. Für Geschäftsführer von GmbHs ist die Lage gesellschaftsrechtlich anders ausgestaltet, das Risiko eines späteren Innenregresses bleibt aber real. Wer auf vertragliche Freizeichnung vertraut, baut auf dünnem Eis.
Ein typisches Haftungsszenario ist Ransomware. Stellen Sie sich vor, Ihr Unternehmen wird verschlüsselt, Produktion oder Dienstleistung fallen aus, Meldepflichten werden ausgelöst und Kunden fordern Schadenersatz. Im Nachgang zeigt sich: Es gab keine strukturierte Risikoanalyse, keine dokumentierte Genehmigung von Schutzmaßnahmen, keine belastbare Überwachung und keine Schulung der Geschäftsleitung. Dann verdichtet sich der Vorwurf des Organisationsverschuldens schnell zu einem persönlichen Haftungsrisiko.
Für Geschäftsführer ist daher entscheidend, Haftungsabwehr nicht erst nach dem Vorfall zu beginnen. Sie müssen sie vorher aufbauen: mit Governance, Protokollen, klaren Zuständigkeiten, dokumentierten Entscheidungen und regelmäßiger Weiterbildung. Vertiefend dazu lesen Sie unseren Beitrag zur persönlichen Haftung unter NIS2 sowie zur D&O-Versicherung bei Cyber-Fällen.
Die Schulungspflicht nach Art. 20 Abs. 2
Die Schulungspflicht nach Art. 20 Abs. 2 trifft die Geschäftsleitung selbst, weil sie ausreichende Kenntnisse und Fähigkeiten zur Erkennung, Bewertung und Steuerung von Cyber-Risiken besitzen muss. Für NIS2 Geschäftsführer heißt das: Sie müssen persönlich teilnehmen, nicht nur Teilnahme delegieren oder sich intern kurz informieren lassen.
Die deutsche Umsetzung konkretisiert die europäische Norm in Richtung regelmäßiger Schulung der Geschäftsleitung. Aus den aktuellen Leitlinien und dem regulatorischen Umfeld ergibt sich als belastbarer Mindeststandard eine Auffrischung mindestens alle drei Jahre. Viele Unternehmen werden aus Vorsichtsgründen früher aktualisieren, etwa jährlich oder anlassbezogen nach einem Vorfall, einer wesentlichen Systemänderung oder einer neuen Gefährdungslage. Rechtlich sollten Sie sich aber mindestens auf den Drei-Jahres-Rhythmus einstellen und diesen dokumentiert einplanen.
Inhaltlich geht es nicht um technische Tiefenausbildung für Administratoren. Die Schulung muss die Geschäftsleitung in die Lage versetzen, richtige Führungsentscheidungen zu treffen. Dazu gehören erstens Risikobewertung: Welche Bedrohungen sind für das eigene Unternehmen relevant, wie wahrscheinlich sind sie und welche Auswirkungen haben sie auf wesentliche Dienste? Zweitens Vorfallmanagement: Welche Meldeketten, Eskalationen und Wiederanlaufprozesse bestehen, und welche Entscheidungen muss die Leitung im Ernstfall treffen? Drittens rechtliche Pflichten: Welche Anforderungen ergeben sich aus Art. 20 und Art. 21 NIS2, aus dem BSIG, aus möglichen Meldepflichten und aus dem Organhaftungsrecht?
Gerade weil die Schulung auf Entscheidungsfähigkeit abzielt, reicht passive Teilnahme ohne Lerneffekt nicht aus. In der Praxis sollte die Maßnahme deshalb dokumentieren, wann sie stattfand, welche Inhalte vermittelt wurden, welche Zielgruppe geschult wurde und welcher Kenntnisstand erreicht werden sollte. Ein bloßer Kalendereintrag oder eine informelle Besprechung ist im Haftungsfall kaum belastbar.
Geschäftsführer sollten die Schulung außerdem als Teil ihres Governance-Systems behandeln. Sinnvoll ist ein fester Termin im Compliance-Kalender, verbunden mit Berichten aus IT, Informationssicherheit, Datenschutz und gegebenenfalls Revision. So wird die Schulung nicht als lästige Einmalpflicht behandelt, sondern als Anlass, die eigene Cyber-Position strukturiert zu überprüfen.
Wenn Sie die Anforderungen im Detail einordnen möchten, lesen Sie die vertiefende Analyse zur Pflicht der NIS2-Geschäftsleitungsschulung. Wenn Sie die Schulung unmittelbar umsetzen möchten, führt der nächste Schritt direkt zur CTA: Jetzt NIS2-Schulung starten.
Bußgelder und Konsequenzen für Geschäftsführer
Bußgelder unter NIS2 treffen zunächst das Unternehmen, wirken für Geschäftsführer aber unmittelbar zurück, weil Pflichtverstöße regelmäßig zur Organhaftung, zur Abberufung oder zu Deckungslücken bei der D&O-Versicherung führen können. Für wesentliche Einrichtungen stehen Sanktionen bis 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes im Raum, je nachdem, welcher Betrag höher ist.
Damit endet das Risiko nicht. Aufsichtsrechtlich kann die Behörde zusätzliche Maßnahmen anordnen, etwa verbindliche Umsetzungsauflagen, verschärfte Nachweispflichten oder Maßnahmen gegen Leitungsorgane. Je nach Ausgestaltung der nationalen Umsetzung kann auch die vorübergehende Untersagung bestimmter Leitungsfunktionen beziehungsweise eine Abberufung erheblich realistischer werden, wenn grobe Pflichtverletzungen vorliegen. Für Geschäftsführer bedeutet das: Es geht nicht nur um ein Unternehmensbußgeld, sondern um Ihre persönliche Eignung zur Leitung.
Besonders relevant ist die Schnittstelle zur D&O-Versicherung. Viele Geschäftsführer verlassen sich darauf, dass eine bestehende Police Cyber-Haftungsfälle vollständig abdeckt. Das ist gefährlich. D&O-Verträge enthalten häufig Ausschlussklauseln für vorsätzliche Pflichtverletzungen, bekannte Umstände, unzureichende Compliance-Organisation oder bestimmte Bußgelder. Selbst wenn die Police im Grundsatz greift, kann der Versicherer bei groben Dokumentationsmängeln, verspäteter Anzeige oder Verletzung von Obliegenheiten argumentieren. Eine Police ersetzt deshalb keine Governance.
Für die Praxis lassen sich die Folgen in drei Stufen denken:
- Unternehmenssanktion: Bußgeld, Auflagen, Prüfungen und operative Belastung.
- Organfolge: Regress, Vertrauensverlust, mögliche Abberufung oder Nichtverlängerung des Mandats.
- Privatfolge: Streit mit D&O-Versicherer, persönliche Inanspruchnahme und Belastung des Privatvermögens.
Wer diese Kette vermeiden will, muss früh handeln. Je besser Sie Beschlüsse, Budgetentscheidungen, Berichte, Risikoanalysen und Schulungen dokumentieren, desto belastbarer ist Ihre Verteidigung. Wenn Sie zuerst die Sanktionsseite vertiefen möchten, lesen Sie unseren Beitrag zu NIS2-Bußgeldern und Strafen. Wenn Sie die Versicherungsfrage prüfen müssen, ist der Beitrag zur D&O-Versicherung und Cyber-Haftung die passende Ergänzung.
5 Sofortmaßnahmen für Geschäftsführer
Die fünf wichtigsten Sofortmaßnahmen für NIS2 Geschäftsführer sind einfach zu benennen: Betroffenheit prüfen, NIS2 auf die Geschäftsführungsagenda setzen, Budget freigeben, Verantwortliche benennen und die eigene Schulung absolvieren. Wer diese fünf Schritte in den nächsten Wochen anstößt, reduziert das Haftungsrisiko schneller als mit jeder allgemeinen Absichtserklärung.
- Betroffenheitscheck durchführen: Klären Sie sofort, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung unter NIS2 fällt. Maßgeblich sind Branche, Unternehmensgröße und die Rolle Ihrer Dienste.
- NIS2 als festen Agenda-Punkt etablieren: Nehmen Sie Cyber-Risiken, Umsetzungsstand, offene Maßnahmen und Vorfallbereitschaft regelmäßig in die Geschäftsführungs- oder Beiratssitzung auf.
- Budget verbindlich freigeben: Genehmigungspflicht ohne Ressourcen ist wertlos. Definieren Sie Mittel für Risikoanalyse, technische Maßnahmen, externe Unterstützung und Schulung.
- CISO oder verantwortliche Stelle benennen: Delegieren Sie operative Umsetzung klar, aber mit Berichtspflicht an die Geschäftsleitung. Entscheidend ist die dokumentierte Überwachung, nicht nur der Titel.
- Eigene Schulung absolvieren: Erfüllen Sie Art. 20 Abs. 2 nicht irgendwann, sondern jetzt. Die Geschäftsleitung muss selbst nachweisen können, Cyber-Risiken zu erkennen, zu bewerten und Führungsentscheidungen zu treffen.
Diese Sofortmaßnahmen sind nicht nur Compliance-Hygiene, sondern die Grundlage jeder späteren Haftungsabwehr. Wenn Sie parallel den Gesamtstatus Ihres Unternehmens ordnen wollen, nutzen Sie die NIS2-Checkliste. Wenn Sie die Schulung der Geschäftsleitung direkt umsetzen möchten, ist der nächste sinnvolle Schritt: Jetzt NIS2-Schulung starten.
FAQ (Schema-relevant)
Müssen Geschäftsführer die NIS2-Schulung persönlich absolvieren?
Ja. Art. 20 Abs. 2 der Richtlinie (EU) 2022/2555 verpflichtet die Geschäftsleitung selbst, ausreichende Kenntnisse und Fähigkeiten zu erwerben. Die deutsche Umsetzung konkretisiert diese Pflicht als regelmäßige Schulung der Leitungsebene. Eine Schulung nur für IT, CISO oder Compliance erfüllt diese Organpflicht nicht.
Kann ich als Geschäftsführer die NIS2-Verantwortung an den IT-Leiter delegieren?
Nein. Sie können operative Aufgaben delegieren, etwa die technische Umsetzung von Maßnahmen oder das tägliche Incident Management. Nicht delegierbar sind aber Genehmigung, Überwachung, persönliche Schulung und die Letztverantwortung der Geschäftsleitung nach Art. 20 Abs. 1 und 2.
Hafte ich als Geschäftsführer mit meinem Privatvermögen für NIS2-Verstöße?
Ja, dieses Risiko besteht. Wenn schuldhafte Pflichtverletzungen zu einem Schaden führen, kommen Regressansprüche gegen das Organ in Betracht. Rechtsgrundlagen sind insbesondere §38 BSIG in Verbindung mit §43 GmbHG oder §93 AktG. Deshalb ist NIS2 für Geschäftsführer keine abstrakte IT-Frage, sondern ein persönliches Haftungsthema.
Wie oft muss die Geschäftsleitung an NIS2-Schulungen teilnehmen?
Als belastbarer Mindeststandard gilt eine regelmäßige Teilnahme mindestens alle drei Jahre. Zusätzlich sind frühere Auffrischungen sinnvoll, wenn es Sicherheitsvorfälle, neue Bedrohungslagen, große Systemänderungen oder wesentliche Änderungen der Rechtslage gibt.
Was passiert wenn ich als Geschäftsführer die NIS2-Schulung nicht mache?
Sie verschlechtern damit Ihre Rechtsposition deutlich. Fehlende Schulung kann als Hinweis auf unzureichende Cyber-Governance und Organisationsverschulden gewertet werden. Im Ernstfall erschwert das die Verteidigung gegen Regress, aufsichtsrechtliche Maßnahmen und Vorwürfe mangelnder Überwachung.
Primärquellen und rechtliche Einordnung
Die zentrale europäische Grundlage ist Art. 20 der Richtlinie (EU) 2022/2555. Danach muss die Geschäftsleitung Cyber-Risikomaßnahmen genehmigen und deren Umsetzung überwachen; außerdem muss sie selbst ausreichende Kenntnisse und Fähigkeiten erwerben. Die deutsche Umsetzung konkretisiert diese Pflichten in §38 BSIG und verknüpft sie mit Organhaftung nach allgemeinem Gesellschaftsrecht. Für GmbH-Geschäftsführer ist insbesondere §43 GmbHG einschlägig, für AG-Vorstände §93 AktG.
Für die Praxis ist entscheidend, dass Sie NIS2 nicht isoliert als Fachgesetz lesen. Die eigentliche Schärfe entsteht aus dem Zusammenspiel von europäischer Leitungsverantwortung, deutscher Organhaftung, möglichem Innenregress, aufsichtsrechtlichen Sanktionen und Versicherungsfragen. Genau deshalb sollten Geschäftsführer NIS2 früh in ihre eigene Governance, Dokumentation und Weiterbildung integrieren.