Kann mein Privatvermögen bei einem Cyberangriff herangezogen werden?

Ja, wenn die Gesellschaft oder später ein Insolvenzverwalter den Geschäftsführer wegen einer schuldhaften Pflichtverletzung in Regress nimmt. Dann wird nicht nur das Gesellschaftsvermögen belastet, sondern der Anspruch kann gegen das Privatvermögen des Geschäftsführers vollstreckt werden.

NIS2 Haftung Geschäftsführer — Privatvermögen in Gefahr

Q: Haften Geschäftsführer persönlich für NIS2-Verstöße?

Ja. Geschäftsführer können bei NIS2-Verstößen persönlich haften, wenn sie ihre Pflicht aus § 38 BSIG zur Umsetzung, Überwachung und Schulung schuldhaft verletzen und der Gesellschaft dadurch ein Schaden entsteht. Die zivilrechtliche Haftung folgt regelmäßig aus § 43 GmbHG oder bei der AG aus § 93 AktG.

Q: Was regelt § 38 BSIG-E zur Geschäftsführerhaftung?

§ 38 BSIG verpflichtet Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen, Risikomanagementmaßnahmen umzusetzen, deren Umsetzung zu überwachen und regelmäßig an Schulungen teilzunehmen. Verletzen sie diese Pflichten schuldhaft, haften sie nach den gesellschaftsrechtlichen Regeln ihrer Rechtsform.

Q: Schützt eine D&O-Versicherung bei NIS2-Verstößen?

Nur teilweise. D&O-Versicherungen übernehmen oft Abwehrkosten und können bei fahrlässigen Pflichtverletzungen Deckung bieten. Häufig ausgeschlossen sind jedoch vorsätzliche Pflichtverletzungen, Bußgelder und teils cyberbezogene Schadensbilder. Deshalb ersetzt D&O keine dokumentierte NIS2-Compliance.

Q: Kann die Geschäftsleitung die NIS2-Verantwortung delegieren?

Operative Aufgaben können delegiert werden, die Organverantwortung jedoch nicht vollständig. Art. 20 Abs. 1 und 2 der Richtlinie (EU) 2022/2555 sowie § 38 BSIG verlangen, dass die Geschäftsleitung Maßnahmen billigt, überwacht und sich selbst schulen lässt. Reine Delegation ohne Kontrolle entlastet nicht.

Q: Wie kann ich mich als Geschäftsführer vor NIS2-Haftung schützen?

Der wichtigste Schutz ist dokumentierte Sorgfalt: Management-Maßnahmen formell genehmigen, Risiken regelmäßig berichten lassen, Schulungen nachweisen, Budget freigeben, externe Expertise einbinden und D&O-Bedingungen prüfen. Entscheidend ist, dass Entscheidungen auf angemessener Informationsgrundlage getroffen und protokolliert werden.

NIS2 begründet eine persönliche Haftung von Geschäftsführern mit ihrem Privatvermögen über § 38 BSIG in Verbindung mit § 43 GmbHG beziehungsweise § 93 AktG, wenn sie Cybersicherheits-Pflichten verletzen. Für das Management geht es daher nicht nur um Bußgelder bis 10 Mio. EUR oder 2 Prozent Umsatz, sondern um persönliche Haftung, Beweislast und die Frage, ob fehlende Überwachung später aus dem Privatvermögen bezahlt werden muss.

Letzte Aktualisierung: 23. März 2026

Wer wissen will, ob sein Unternehmen betroffen ist, sollte zuerst die Einordnung in NIS2 für Geschäftsführer prüfen. Für die Sanktionsseite ist zusätzlich der Beitrag zu NIS2 Bußgeldern und Strafen relevant. Dieser Artikel fokussiert die zweite, häufig unterschätzte Ebene: NIS2 Haftung Geschäftsführer als persönliches Organhaftungsrisiko mit möglichem Zugriff auf das Privatvermögen.

Norm	Tatbestand	Rechtsfolge	Haftungsumfang
§ 38 Abs. 1 BSIG	Geschäftsleitung setzt Risikomanagement nicht um oder überwacht es nicht	Pflichtverletzung auf Organebene	Grundlage für Innenhaftung und Regress
§ 38 Abs. 2 BSIG	Schuldhafte Verletzung der Pflichten aus § 38 Abs. 1 BSIG	Haftung nach Gesellschaftsrecht	Schadenersatz gegen Geschäftsführer oder Vorstand
§ 43 GmbHG	Verletzung der Sorgfaltspflicht als Geschäftsführer	Ersatz des Gesellschaftsschadens	Persönliche Haftung, gesamtschuldnerisch
§ 93 AktG	Pflichtverletzung des Vorstands	Schadenersatz und Beweislastumkehr	Persönliche Haftung, oft mit höherer Dokumentationslast

NIS2 Haftung — Warum Geschäftsführer mit Privatvermögen haften

NIS2 Haftung Geschäftsführer bedeutet rechtlich mehr als ein behördliches Bußgeld. Gemäß § 38 Abs. 2 BSIG haften Geschäftsleitungen bei schuldhafter Pflichtverletzung nach den auf die Rechtsform anwendbaren Regeln des Gesellschaftsrechts. Für die GmbH ist das § 43 GmbHG, für die AG § 93 AktG. Genau dort entsteht der Hebel auf das Privatvermögen: Nicht die NIS2-Richtlinie pfändet direkt privates Vermögen, sondern die Gesellschaft nimmt ihre Organmitglieder wegen eines verursachten Schadens in Regress.

Der zentrale Mechanismus ist einfach. Art. 20 Abs. 1 der Richtlinie (EU) 2022/2555 verlangt, dass Leitungsorgane die Maßnahmen des Cyberrisikomanagements billigen und deren Umsetzung überwachen. Art. 20 Abs. 2 verlangt zusätzlich, dass Mitglieder der Leitungsorgane Schulungen absolvieren und vergleichbare Schulungen für Beschäftigte fördern. Der deutsche Gesetzgeber hat diese Vorgaben in § 38 BSIG konkretisiert: Umsetzungspflicht, Überwachungspflicht und Schulungspflicht liegen ausdrücklich bei der Geschäftsleitung.

Damit verschiebt sich Cybersecurity von einem IT-Thema zu einem Organpflicht-Thema. Ein Geschäftsführer kann nicht mehr überzeugend argumentieren, er habe mit Firewalls, Backups oder Meldeketten nichts zu tun, weil dafür die IT zuständig sei. Die Pflicht ist gerade, sich angemessen informieren zu lassen, Maßnahmen formell freizugeben, ihre Umsetzung zu kontrollieren und die eigene Kompetenz nachweisbar auf dem aktuellen Stand zu halten. Wer das nicht tut und dadurch einen Schaden mitverursacht, verletzt nicht nur ein Spezialgesetz, sondern seine allgemeine Sorgfaltspflicht als Organ.

Das Privatvermögen wird relevant, wenn die Gesellschaft den Schaden ersetzt haben will oder später ein Insolvenzverwalter Ansprüche verfolgt. Dann geht es um Ausfallkosten, Wiederherstellung, externe Forensik, Vertragsstrafen, Rechtsberatung, Krisenkommunikation und gegebenenfalls erhöhte Finanzierungskosten. Ein einzelner Ransomware-Fall kann schnell sechs- oder siebenstellige Schäden auslösen. Wird dem Geschäftsführer vorgeworfen, bekannte Sicherheitslücken ignoriert, notwendige Budgets verweigert oder Meldepflichten verschleppt zu haben, ist die persönliche Inanspruchnahme kein theoretisches Risiko mehr, sondern der typische Regresspfad.

Wer die Pflichten der Leitungsebene praktisch versteht, sollte ergänzend NIS2 Geschäftsleitungsschulung Pflicht lesen. Dort wird der Schulungsaspekt vertieft, der im Haftungsfall häufig als erstes auf Dokumentationslücken stößt.

§38 BSIG-E — Die neue Haftungsnorm im Detail

§ 38 BSIG ist die Scharniernorm zwischen NIS2 und Organhaftung. Absatz 1 verpflichtet Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen dazu, die nach § 30 BSIG erforderlichen Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen. Absatz 2 ordnet an, dass Geschäftsleitungen bei schuldhafter Verletzung dieser Pflichten ihrer Einrichtung nach dem jeweils anwendbaren Gesellschaftsrecht haften. Absatz 3 ergänzt die persönliche Schulungspflicht. Genau diese Dreiteilung macht § 38 BSIG haftungsrechtlich so scharf.

Für die Praxis sind drei Elemente entscheidend. Erstens die Billigungspflicht: Die Geschäftsleitung muss wesentliche Maßnahmen des Cyberrisikomanagements auf Organebene freigeben. Das betrifft beispielsweise Richtlinien, Notfallpläne, Verantwortlichkeiten, Budgets und Eskalationsstrukturen. Zweitens die Überwachungspflicht: Es reicht nicht, ein Konzept einmal zu genehmigen und danach in den Ordner zu legen. Die Leitung muss sich regelmäßig berichten lassen, Umsetzungslücken erkennen und nachsteuern. Drittens die Schulungspflicht: Geschäftsleiter müssen selbst regelmäßig an Schulungen teilnehmen, um Risiken erkennen, bewerten und Managementpraktiken beurteilen zu können.

Art. 20 NIS2 macht zugleich klar, dass eine vollständige Delegation ausgeschlossen ist. Operative Umsetzung darf selbstverständlich an CISO, IT-Leitung, externe Dienstleister oder Compliance-Funktionen übertragen werden. Nicht delegierbar bleibt aber die Organverantwortung, also das Billigen, Kontrollieren und Informiertsein. Wer als Geschäftsführer unterschreibt, ohne die Lage zu verstehen, oder wer Berichte gar nicht erst einfordert, verletzt genau die Pflicht, die Art. 20 und § 38 BSIG adressieren.

Haftungsrechtlich bedeutsam ist auch der Umfang der geforderten Kompetenz. Der Gesetzestext verlangt keine technische Expertenrolle des Geschäftsführers. Er verlangt aber ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie von Risikomanagementpraktiken. Das bedeutet in der Praxis: Geschäftsleiter müssen typische Bedrohungen, Priorisierung, Umsetzungsstand und Auswirkungen auf die erbrachten Dienste nachvollziehen können. Unwissenheit ist nach Einführung dieser Norm keine belastbare Verteidigung mehr.

Für die Entlastung im Streitfall zählt deshalb vor allem Dokumentation. Vorstandsbeschlüsse, Geschäftsführungsprotokolle, Risiko-Reports, Schulungsnachweise und Freigaben von Budgets sind keine Formalien, sondern Beweismittel. Wer dafür eine operative Roadmap sucht, findet sie in der NIS2 Checkliste. Sie zeigt, welche Nachweise die Leitungsebene typischerweise vorhalten sollte, damit aus § 38 BSIG keine persönliche Haftungsfalle wird.

Organhaftung nach §43 GmbHG und §93 AktG

Die eigentliche persönliche Haftung wird regelmäßig nicht aus dem BSIG allein vollstreckt, sondern über das Gesellschaftsrecht. § 43 Abs. 1 GmbHG verpflichtet Geschäftsführer, in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. § 93 Abs. 1 AktG formuliert für Vorstandsmitglieder die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters. Diese Standards gelten technikneutral und erfassen deshalb auch Cybersecurity, sobald sie ein wesentliches Unternehmensrisiko ist. Das ist bei NIS2-betroffenen Einrichtungen praktisch immer der Fall.

Die Sorgfaltspflicht ist keine Pflicht zur Perfektion, sondern zur angemessenen Organisation. Geschäftsführer müssen sich ein belastbares Bild der Risikolage verschaffen, geeignete Verantwortlichkeiten schaffen, Entscheidungen auf ausreichender Informationsgrundlage treffen und die Umsetzung kontrollieren. Wenn ein Unternehmen in einer NIS2-relevanten Branche tätig ist, veraltete Systeme einsetzt oder kritische Dienstleistungen digital erbringt, steigt die Erwartung an die Leitungsebene entsprechend an. Wer unter diesen Umständen keine Governance-Struktur schafft, handelt nicht unternehmerisch mutig, sondern sorgfaltswidrig.

Bei der AG kommt die Business Judgement Rule aus § 93 Abs. 1 Satz 2 AktG ins Spiel. Sie schützt unternehmerische Entscheidungen, wenn ein Vorstandsmitglied vernünftigerweise annehmen durfte, auf Grundlage angemessener Informationen zum Wohle der Gesellschaft zu handeln. Für NIS2 hilft diese Regel nur, wenn tatsächlich informiert entschieden wurde. Wer also ein Budget für ein konkretes Sicherheitsprojekt ablehnt, obwohl ihm Risikoberichte, Audit-Feststellungen oder klare Warnungen vorliegen, kann sich kaum auf unternehmerisches Ermessen berufen. Die Regel schützt informierte Entscheidungen, nicht blindes Wegsehen.

Noch schärfer ist die Beweislast. § 93 Abs. 2 Satz 2 AktG ordnet ausdrücklich an, dass das Vorstandsmitglied beweisen muss, die erforderliche Sorgfalt angewandt zu haben. Auch im GmbH-Recht ist die Dokumentation faktisch entscheidend, weil Geschäftsführer im Prozess darlegen müssen, welche Informationen vorlagen, welche Maßnahmen beschlossen und welche Kontrollen durchgeführt wurden. Fehlen diese Nachweise, kippt ein Prozess häufig nicht an der Rechtsfrage, sondern an der unzureichenden Aktenlage.

Für die Innenhaftung ist deshalb der Satz entscheidend: Nicht der Cyberangriff allein haftet, sondern das Organisationsversagen davor. Wer die Verbindung aus NIS2-Pflichten, Organhaftung und persönlicher Verantwortung vertiefen will, sollte zusätzlich NIS2 für Geschäftsführer und NIS2 Bußgelder und Strafen lesen. Die Kombination aus Aufsichtspflicht und Schadenersatz ist der eigentliche Grund, warum NIS2 für Leitungsorgane existenziell werden kann.

Haftung mit Privatvermögen — Wann es ernst wird

Privatvermögen ist gefährdet, wenn aus einer Pflichtverletzung ein bezifferbarer Gesellschaftsschaden entsteht und die Gesellschaft oder später der Insolvenzverwalter Regress nimmt. Drei Konstellationen sind in der Praxis besonders heikel.

Ransomware nach ignorierten Patches. Die Geschäftsleitung kennt einen kritischen Patch-Rückstand, lehnt aber Investitionen in Update-Prozesse oder externe Unterstützung ab. Einige Wochen später verschlüsselt ein Angreifer zentrale Systeme. Der Schaden aus Stillstand, Forensik und Wiederherstellung ist hoch. In diesem Fall steht nicht nur die Attacke im Raum, sondern die dokumentierte Vorwarnung. Wer trotz klarer Risikoberichte nichts veranlasst, schafft ein klassisches Haftungsszenario.
Datenverlust wegen unzureichender Backups. Die IT weist darauf hin, dass Backups nicht offline gehärtet, nicht getestet oder nicht vollständig sind. Die Geschäftsleitung behandelt das Thema als rein operative Frage und priorisiert andere Projekte. Kommt es danach zu Datenverlust, ist die Kausalität oft leicht nachvollziehbar: Hätten belastbare Backups existiert, wäre der Schaden deutlich geringer ausgefallen. Genau dieser Differenzschaden kann später regressiert werden.
Verspätete oder fehlerhafte Vorfallmeldung. NIS2 und andere Regime wie DSGVO erzeugen enge Meldefristen. Wenn keine klare Eskalationskette besteht, Vorfälle intern hängenbleiben oder das Management Warnungen ignoriert, können zusätzliche Schäden durch verspätete Meldung, verschärfte Aufsicht oder Vertragsfolgen entstehen. Haftungsrechtlich zählt dann nicht nur der ursprüngliche Vorfall, sondern auch der zweite Schaden durch fehlerhafte Reaktion der Leitungsebene.

Sobald das Unternehmen in eine wirtschaftliche Schieflage gerät, wird das Thema regelmäßig noch schärfer. Dann prüft ein Insolvenzverwalter systematisch, ob Ansprüche gegen Organmitglieder bestehen. Gerade bei größeren Cybervorfällen liegt darin ein naheliegender Refinanzierungsansatz. Das erklärt, warum scheinbar interne Compliance-Mängel Jahre später sehr persönlich werden können.

Für Kapitalgesellschaften relevant ist zudem, dass Regressansprüche nicht beliebig wegverhandelt werden können. § 93 Abs. 4 AktG erlaubt einen Verzicht oder Vergleich der Gesellschaft erst nach drei Jahren und nur unter zusätzlichen Voraussetzungen. Auch wenn § 43 GmbHG diese Dreijahresregel nicht wortgleich enthält, zeigt der gesellschaftsrechtliche Grundgedanke klar: Ansprüche gegen Organmitglieder sind kein beliebiges Kulanzthema. Wer meint, die Gesellschafter würden schon auf Regress verzichten, baut seine Verteidigung auf eine gefährlich dünne Annahme.

D&O-Versicherung — Schützt sie bei NIS2-Verstößen?

Eine D&O-Versicherung ist wichtig, aber kein Freifahrtschein für NIS2-Verstöße. Sie schützt primär das persönliche Haftungsrisiko von Organmitgliedern gegen Schadenersatzansprüche aus ihrer Organstellung. In guten Policen werden deshalb Abwehrkosten, also Anwalts- und Verteidigungskosten, regelmäßig übernommen. Das ist praktisch relevant, weil schon die Abwehr eines Organhaftungsanspruchs teuer werden kann.

Problematisch wird es bei der eigentlichen Deckung des Schadens. Viele Policen schließen vorsätzliche oder wissentlich begangene Pflichtverletzungen aus. Gerade im Cyberkontext prüfen Versicherer sehr genau, ob dokumentierte Warnungen ignoriert, bekannte Mindestmaßnahmen bewusst verschoben oder Meldepflichten wissentlich verletzt wurden. Auch für Bußgelder besteht häufig keine oder nur sehr begrenzte Deckung. Wer glaubt, eine D&O-Police ersetze NIS2-Compliance, verkennt deshalb den Kern des Produkts.

Zusätzlich entstehen in der Praxis Deckungslücken zwischen D&O, Cyberversicherung und Eigenschaden des Unternehmens. Die D&O adressiert Ansprüche gegen das Organ. Die Cyberversicherung adressiert typischerweise Eigenschäden des Unternehmens, Forensik, Wiederherstellung oder Betriebsunterbrechung. Was auf dem Papier sauber getrennt aussieht, führt im Schadenfall oft zu Streit über Zuständigkeit, Ausschlüsse und Kausalität. Besonders heikel sind Policen, die cyberbezogene Pflichtverletzungen nicht ausdrücklich erfassen oder auf Sicherheitsobliegenheiten verweisen, die das Unternehmen selbst nicht erfüllt hat.

Für Vorstände einer AG kommt hinzu, dass § 93 Abs. 2 Satz 3 AktG beim Abschluss einer Versicherung zur Absicherung von Vorstandsrisiken einen Selbstbehalt von mindestens 10 Prozent des Schadens bis mindestens zur Höhe des Eineinhalbfachen der festen jährlichen Vergütung vorsieht. Selbst bei bestehender Deckung bleibt also regelmäßig ein persönlicher Eigenanteil.

Die richtige Frage lautet daher nicht: "Haben wir D&O?" Die richtige Frage lautet: "Welche NIS2-nahen Pflichtverletzungen sind erfasst, welche Ausschlüsse greifen und wie passt die D&O zur Cyberversicherung?" Eine vertiefte Einordnung dazu bietet NIS2 D&O-Versicherung und Cyber. Wer diese Prüfung auslässt, verwechselt formalen Versicherungsschutz mit echter Haftungsresilienz.

Thema	Typische D&O-Deckung	Typische Lücke bei NIS2-Haftung
Abwehrkosten	Häufig ja	Deckungssumme kann durch lange Streitigkeiten schnell belastet werden
Fahrlässige Organpflichtverletzung	Oft ja	Streit über Wissentlichkeit und Obliegenheitsverletzungen
Bußgelder	Häufig nein oder stark begrenzt	NIS2-Sanktionsrisiko bleibt oft beim Unternehmen oder Organ
Bewusst ignorierte Warnungen	Häufig ausgeschlossen	Gerade bei protokollierten Defiziten besonders gefährlich
Eigenschaden des Unternehmens	Regelmäßig nein	Fällt eher in Cyberversicherung oder bleibt ungedeckt

5 Schutzmaßnahmen für Geschäftsführer

Der wirksamste Schutz gegen NIS2 Haftung Geschäftsführer ist dokumentierte Sorgfalt auf Organebene. Es geht nicht darum, selbst zum technischen Spezialisten zu werden. Es geht darum, nachweisen zu können, dass die Leitung Risiken verstanden, Maßnahmen genehmigt, Umsetzung überwacht und auf Lücken reagiert hat.

Maßnahmen formell dokumentiert genehmigen. Beschlüsse zu Risikomanagement, Meldewegen, Backup-Konzepten und Verantwortlichkeiten gehören in die Geschäftsführungs- oder Vorstandsdokumentation, nicht nur in Ticketsysteme der IT.
Schulungspflichten nachweisbar erfüllen. § 38 Abs. 3 BSIG verlangt regelmäßige Schulung der Geschäftsleitung. Teilnahme, Inhalte, Dauer und Aktualität müssen belegbar sein. Der passende Einstieg ist NIS2 Geschäftsleitungsschulung Pflicht.
Sicherheitsbudget bewusst freigeben. Wer kritische Maßnahmen kennt, aber Budgets ohne nachvollziehbare Risikoabwägung blockiert, schafft später angreifbare Aktenlagen. Entscheidungen müssen auf angemessener Information beruhen.
Externe Berater bei Reifegradlücken einbinden. Wenn intern die Kompetenz fehlt, ist externer Rat kein Luxus, sondern Teil ordnungsgemäßer Leitung. Das gilt besonders bei Gap-Analysen, Incident-Response-Übungen und D&O-Prüfungen.
D&O und Cyberversicherung zusammen prüfen. Nur die Kombination beider Policen zeigt, wo Organhaftung, Eigenschaden und Ausschlüsse tatsächlich verlaufen. Ergänzend hilft der Beitrag NIS2 D&O-Versicherung und Cyber.

Geschäftsführer sollten NIS2 deshalb nicht erst im Krisenmodus behandeln. Wer jetzt Governance, Schulung und Nachweis aufsetzt, reduziert das Risiko persönlicher Inanspruchnahme erheblich. Wenn Sie die Umsetzung strukturiert starten möchten, ist der nächste sinnvolle Schritt: Jetzt NIS2-Schulung starten.

FAQ

Haften Geschäftsführer persönlich für NIS2-Verstöße?

Ja. Geschäftsführer haften persönlich, wenn sie Pflichten aus § 38 BSIG schuldhaft verletzen und dadurch ein Schaden der Gesellschaft entsteht. Die persönliche Haftung wird dann über § 43 GmbHG oder bei der AG über § 93 AktG durchgesetzt. Entscheidend ist also nicht nur der Gesetzesverstoß, sondern der daraus folgende Gesellschaftsschaden und die dokumentierbare Pflichtverletzung.

Was regelt §38 BSIG-E zur Geschäftsführerhaftung?

§ 38 BSIG regelt drei Kernpflichten der Geschäftsleitung: Umsetzung von Risikomanagementmaßnahmen, Überwachung ihrer Umsetzung und regelmäßige Schulung. Absatz 2 verknüpft diese Pflichten ausdrücklich mit der Haftung nach Gesellschaftsrecht. Damit wird aus einer reinen Compliance-Anforderung eine unmittelbare Organpflicht mit Regressrisiko.

Schützt eine D&O-Versicherung bei NIS2-Verstößen?

Nur begrenzt. D&O-Versicherungen helfen oft bei der Abwehr von Ansprüchen und teilweise bei fahrlässigen Organpflichtverletzungen. Sie decken aber häufig keine Bußgelder ab und schließen vorsätzliche oder wissentlich begangene Pflichtverletzungen regelmäßig aus. Deshalb ist D&O eher zweite Verteidigungslinie als primärer Schutz.

Kann die Geschäftsleitung die NIS2-Verantwortung delegieren?

Nein, jedenfalls nicht vollständig. Operative Aufgaben können an Fachfunktionen delegiert werden. Die Verantwortung für Billigung, Überwachung und eigene Schulung verbleibt jedoch bei der Geschäftsleitung. Art. 20 NIS2 und § 38 BSIG lassen keine Entlastung durch bloße Zuständigkeitsverlagerung zu.

Wie kann ich mich als Geschäftsführer vor NIS2-Haftung schützen?

Sie schützen sich vor allem durch belastbare Governance. Dazu gehören protokollierte Entscheidungen, regelmäßige Risiko-Reports, nachgewiesene Schulungen, ein angemessenes Sicherheitsbudget, externe Expertise bei Lücken und die Prüfung Ihrer Versicherungsbedingungen. Maßstab ist, ob Sie im Streitfall zeigen können, auf angemessener Informationsgrundlage gehandelt zu haben.

Kann die GmbH auf meinen Schadensersatz bei NIS2-Verstoß verzichten?

Darauf sollten Sie nicht bauen. Regressansprüche gegen Organmitglieder sind gesellschaftsrechtlich sensibel und werden gerade in Krisen oder Insolvenzen häufig konsequent verfolgt. Bei der AG zeigt § 93 Abs. 4 AktG ausdrücklich, dass ein Verzicht erst nach drei Jahren und nur unter zusätzlichen Voraussetzungen möglich ist. Praktisch ist der bessere Weg daher Prävention statt Hoffnung auf späteren Verzicht.

NIS2 Haftung — Warum Geschäftsführer mit Privatvermögen haften [2026]