Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
NIS2 Geschäftsführer HaftungNIS2 persönliche HaftungNIS2 VorstandshaftungNIS2 Bußgeld GeschäftsführerLeitungsorgane NIS2NIS2 Haftung Vorstand

NIS2 persönliche Haftung: Geschäftsführer im Risiko

Wann Geschäftsführer und Vorstände unter NIS2 persönlich haften, welche Bußgelder drohen und wie D&O-Versicherung und Schulung schützen.

Veröffentlicht: 25. März 2026Letzte Aktualisierung: 25. März 202613 Min. Lesezeit

NIS2 Geschäftsführer Haftung

Die NIS2-Richtlinie verpflichtet Geschäftsführer und Vorstände persönlich zur Billigung und Überwachung von Cybersicherheitsmaßnahmen — bei Verstößen droht Haftung mit dem Privatvermögen. Seit dem 6. Dezember 2025 gilt in Deutschland mit § 38 BSIG ausdrücklich: Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen müssen Risikomanagementmaßnahmen umsetzen, ihre Umsetzung überwachen und regelmäßig Schulungen absolvieren; Unternehmen riskieren Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes, während die persönliche NIS2 Geschäftsführer Haftung typischerweise über Gesellschaftsrecht, Regress und Beweislast läuft.

Letzte Aktualisierung: 25. März 2026

Die kurze Antwort lautet deshalb: Ja, Geschäftsführer haften unter NIS2 persönlich, aber nicht in jeder Konstellation auf dieselbe Weise. Das direkte Bußgeld trifft regelmäßig zunächst die Einrichtung. Das persönliche Risiko entsteht zusätzlich, wenn Managementpflichten verletzt wurden und die Gesellschaft, Gesellschafter, Insolvenzverwalter oder Versicherer daraus ein eigenes Haftungsthema machen. Wenn Sie die Grundlinie vertiefen möchten, lesen Sie ergänzend IT-Sicherheit für Geschäftsführer, D&O-Versicherung und Cybersecurity, Geschäftsführer-Haftung bei Cyberangriffen, den Beitrag zu NIS2 Cyberhygiene und Schulungen und unser Glossar zu Informationssicherheit.

Haften Geschäftsführer persönlich für NIS2-Verstöße?

Geschäftsführer und Vorstände haften persönlich für NIS2-Verstöße, wenn aus einem Organisations- oder Überwachungsfehler ein ersatzfähiger Schaden entsteht. Die juristische Brücke läuft in Deutschland über § 43 GmbHG, § 93 AktG und seit dem 6. Dezember 2025 zusätzlich über § 38 BSIG. Dort steht ausdrücklich, dass Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen die Maßnahmen nach § 30 BSIG umsetzen und überwachen müssen und bei schuldhafter Pflichtverletzung ihrer Einrichtung haften.

Entscheidend ist die Unterscheidung zwischen Unternehmenssanktion und Organhaftung. Die NIS2-Logik sieht für Unternehmen empfindliche Aufsichtsmaßnahmen und Bußgelder vor. Das bedeutet aber nicht automatisch, dass 2 % des Weltumsatzes direkt gegen das Privatvermögen eines Geschäftsführers festgesetzt werden. Persönliche Haftung entsteht vielmehr dann, wenn die Leitungsebene erkennbare Risiken ignoriert, keine belastbare Sicherheitsorganisation etabliert, Warnhinweise nicht verfolgt oder die eigene Schulungs- und Überwachungspflicht missachtet.

Praktisch läuft das oft in drei Stufen. Erstens trifft ein Vorfall das Unternehmen operativ und regulatorisch. Zweitens prüfen Behörde, Versicherer, Gesellschafter oder ein Insolvenzverwalter, ob klare Organisationsmängel vorlagen. Drittens wird daraus ein Regress- oder Haftungsszenario gegen die Geschäftsleitung. Die persönliche Gefährdung ist deshalb real, aber sie folgt einer juristischen Kette und nicht bloß einem Schlagwort.

Gerade für den Mittelstand ist das relevant. NIS2 erfasst nicht nur klassische KRITIS-Betreiber, sondern viele wichtige und besonders wichtige Einrichtungen in digitaler Infrastruktur, Produktion, Logistik, Gesundheitswesen oder Forschung. Das BSI geht von rund 29.000 neu regulierten Einrichtungen aus. Für viele Geschäftsführer ist die neue Lage deshalb keine Spezialfrage großer Konzerne, sondern ein unmittelbares Leitungsrisiko.

Welche Pflichten haben Leitungsorgane nach Art. 20 NIS2 und § 38 BSIG?

Leitungsorgane müssen unter NIS2 nicht selbst Administratoren werden, aber sie müssen Cybersicherheit als Führungsaufgabe wahrnehmen. Art. 20 Abs. 1 der Richtlinie (EU) 2022/2555 verlangt, dass Management Bodies die Maßnahmen des Cyber-Risikomanagements billigen und ihre Umsetzung überwachen. Art. 20 Abs. 2 verlangt zusätzlich Schulungen für die Leitungsebene. In Deutschland spiegelt § 38 BSIG diese Pflichten seit Dezember 2025 ausdrücklich.

Für Geschäftsführer und Vorstände bedeutet das mindestens fünf Dinge:

  1. Sie müssen die wesentlichen Risikomanagementmaßnahmen formal freigeben statt Cybersecurity stillschweigend an die IT abzuschieben.
  2. Sie müssen sich regelmäßig berichten lassen, ob diese Maßnahmen tatsächlich umgesetzt, getestet und aktualisiert werden.
  3. Sie müssen selbst an Schulungen teilnehmen, um Risiken, Maßnahmen und Auswirkungen auf die erbrachten Dienste einschätzen zu können.
  4. Sie müssen Ressourcen, Prioritäten und Eskalationswege so festlegen, dass Sicherheitsmaßnahmen realistisch umgesetzt werden können.
  5. Sie müssen dokumentieren, dass Billigung, Überwachung und Nachsteuerung tatsächlich stattgefunden haben.

Genau hier beginnt das persönliche Risiko. Wer zwar einen CISO benennt, aber keine Reports liest, keine Entscheidungen protokolliert, keine Restore-Tests verlangt und keine Eskalationskette freigibt, erfüllt die NIS2-Anforderung nicht. NIS2 verlangt Leitung, nicht bloße Benennung eines Verantwortlichen.

Die Geschäftsleitung muss außerdem verstehen, dass NIS2 keine reine Techniknorm ist. Art. 21 nennt Risikomanagement, Incident Handling, Business Continuity, Lieferkettensicherheit, Schwachstellenmanagement, Zugriffskontrolle, Kryptographie, Cyberhygiene und Schulungen. Für Leitungsorgane heißt das: Budget, Lieferantensteuerung, Meldewege, Krisenstab und Nachweise gehören genauso auf die Agenda wie Firewalls oder Backup-Systeme. Wer nur Technik kauft, aber Governance offenlässt, bleibt haftungsnah.

NIS2 persönliche Haftung entsteht vor allem über Organpflicht und Dokumentation

NIS2 persönliche Haftung entsteht im Alltag selten durch den Wortlaut einer einzelnen Norm allein. Sie entsteht, wenn sich ein Vorfall im Nachhinein als dokumentierbarer Organisationsmangel lesen lässt. Genau deshalb ist die Beweisfrage so zentral. Im Haftungsfall hilft es der Geschäftsleitung nicht, allgemein auf „bestehende Prozesse“ zu verweisen. Maßgeblich ist, was in Protokollen, Budgets, Maßnahmenlisten, Schulungsnachweisen und Management-Reviews belastbar nachweisbar ist.

Die Rechtsprechung im Gesellschafts- und Organisationsrecht denkt seit langem in dieser Logik. Auch ältere Entscheidungen zu Datensicherung und Betriebsorganisation zeigen, dass fehlende Vorsorge nicht als reine Schönheitsfrage behandelt wird. Für 2026 gilt das umso mehr, weil NIS2 die Leitungspflichten ausdrücklich sichtbar macht. Was früher manchmal noch als technische Detailfrage erschien, ist heute normierte Geschäftsleitungsverantwortung.

Besonders gefährlich ist die Kombination aus Unterlassung und fehlendem Nachweis. Wenn nach einem Ransomware-Vorfall klar wird, dass bekannte Schwachstellen offenblieben, Warnungen ignoriert wurden, keine wirksamen Schulungen existierten und die Geschäftsleitung sich nie systematisch berichten ließ, verschlechtert sich die Verteidigungsposition schlagartig. Dann wird aus dem Cybervorfall ein Organhaftungsfall.

Wer seine Position entlasten will, braucht deshalb nicht nur Maßnahmen, sondern Management-Nachweise. Dazu gehören insbesondere:

NachweisWarum er für die Haftung zähltTypisches Beispiel
Management-BeschlussZeigt Billigung statt bloßer KenntnisnahmeProtokoll zur Freigabe des NIS2-Maßnahmenplans
RisikoanalyseBelegt informierte PriorisierungRegister kritischer Dienste, Kronjuwelen, Schadensszenarien
SchulungsnachweisErfüllt Art. 20 Abs. 2 NIS2 und § 38 Abs. 3 BSIGTeilnahme der Geschäftsleitung an Management-Schulung
Status- und AuditberichteBelegt ÜberwachungQuartalsreport mit offenen Findings und Fristen
Test- und NotfallnachweiseZeigt praktische UmsetzungsreifeRestore-Test, Tabletop-Übung, Incident-Plan-Test

Wenn diese Unterlagen fehlen, wird die Verteidigung teuer. Wenn sie vorhanden, aktuell und managementseitig nachvollziehbar sind, steigt die Chance deutlich, dass eine Entscheidung als informierte Sorgfalt statt als pflichtwidrige Untätigkeit gewertet wird.

Können Geschäftsführer die NIS2-Verantwortung delegieren?

Geschäftsführer können operative Aufgaben delegieren, aber nicht ihre Verantwortung unter NIS2 abgeben. Das ist einer der wichtigsten Sätze für die Praxis. Ein CISO, ein IT-Leiter, ein externer MSSP oder ein Datenschutzbeauftragter kann die Ausführung übernehmen. Die Leitungsorgane müssen aber kontrollieren, ob die Delegation fachlich geeignet, ressourcenseitig ausreichend und organisatorisch wirksam ist.

Die häufigste Fehlannahme lautet: „Ich habe das Thema an die IT delegiert, also hafte ich nicht.“ Genau das trägt rechtlich nicht. Delegation entlastet nur dann, wenn sie qualifiziert, klar abgegrenzt und überwacht ist. Wer ohne Reporting, Budgetzugang, Eskalationsweg und Fristen delegiert, hat formal vielleicht eine Zuständigkeit benannt, aber keine Leitungsaufgabe erfüllt.

In der Praxis sollte Delegation deshalb mindestens vier Elemente enthalten:

  1. eine schriftliche Verantwortungszuweisung an eine qualifizierte Rolle,
  2. klare Berichtspflichten an Geschäftsführung oder Vorstand,
  3. definierte Eskalationsschwellen bei kritischen Findings oder Vorfällen,
  4. dokumentierte Management-Reviews mit Entscheidungen zu Budget, Prioritäten und Fristen.

Gerade bei mehreren Geschäftsführern oder Vorständen wird das Thema noch schärfer. Zwar können Ressorts verteilt sein, aber Cybersicherheit bleibt ein bereichsübergreifendes Unternehmensrisiko. Wer sich auf den Satz „Das war nicht mein Ressort“ verlässt, steht bei Gesamtverantwortung häufig schlecht da. Im Zweifel muss nachgewiesen werden, warum die Delegation sachgerecht war und wie die laufende Überwachung organisiert wurde.

Wenn Sie diesen Punkt operativ aufbauen möchten, ist der Beitrag zu IT-Sicherheit für Geschäftsführer die passende Vertiefung. Dort wird die Aufsichtslogik auf Maßnahmen, Reporting und Mindestorganisation heruntergebrochen.

Wie hoch ist das finanzielle Risiko für Geschäftsführer wirklich?

Das finanzielle Risiko ist hoch, aber es ist differenziert zu betrachten. NIS2 selbst arbeitet auf Unternehmensebene mit erheblichen Bußgeldrahmen. Für besonders wichtige Einrichtungen können Sanktionen bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes reichen. Für die Geschäftsleitung wird es persönlich teuer, wenn diese Unternehmensschäden später in Regress, Innenhaftung, Deckungsstreit oder Insolvenzkonstellationen übersetzt werden.

Die wirtschaftliche Kette sieht oft so aus:

  1. Das Unternehmen zahlt für Incident Response, Forensik, Betriebsunterbrechung, Wiederherstellung und Rechtsberatung.
  2. Hinzu kommen Aufsichtsthemen, Kundenforderungen, Vertragsstrafen oder Umsatzverluste.
  3. Danach prüfen Gesellschafter, Insolvenzverwalter oder Sonderprüfer, ob die Geschäftsleitung pflichtwidrig gehandelt hat.
  4. Aus dieser Prüfung entsteht ein möglicher Anspruch gegen Geschäftsführer oder Vorstände persönlich.

Das eigentliche Privatvermögensrisiko liegt also meist nicht in einem automatisch gegen die Person adressierten NIS2-Bußgeld, sondern in der Innenhaftung. Genau das ist aus Sicht der Praxis sogar gefährlicher, weil sich in einem größeren Vorfall schnell mehrere Schadenspositionen addieren: externe Forensik, Produktionsausfall, Kommunikationskosten, Vertragsverlust, Mehrarbeit, Berater, Rechtsstreit und Reputationsschaden. Selbst wenn nicht jede Position regressfähig ist, reicht oft schon ein Teil davon, um für Organmitglieder existenzielle Größenordnungen zu erzeugen.

Besonders kritisch wird es, wenn das Unternehmen wirtschaftlich unter Druck gerät. In der Insolvenz prüfen Verwalter Pflichtverletzungen regelmäßig sehr nüchtern. Was intern vielleicht lange „unglückliche Priorisierung“ hieß, wird dann als mangelnde Organisation, verspätete Risikoreaktion oder fehlende Überwachung gelesen. Je schlechter die Dokumentation, desto härter ist diese Prüfung.

Haftungsvergleich: NIS2 vs. KRITIS vs. DSGVO

Die NIS2 Geschäftsführer Haftung lässt sich am besten einordnen, wenn man sie mit bereits bekannten Regimen vergleicht. NIS2 schafft kein völlig neues Grundprinzip, verschärft aber die ausdrückliche Leitungsverantwortung für Cybersicherheit und Schulung.

DimensionNIS2 / § 38 BSIGKRITIS bisheriges BSIG-RegimeDSGVO
Leitungsbezugausdrückliche Billigung, Überwachung und Schulung der Geschäftsleitungstarke Betreiberpflichten, aber Managementpflichten früher weniger ausdrücklich formuliertkeine ausdrückliche Management-Schulungspflicht, aber klare Organisationsverantwortung
Schulungspflicht Leitungja, regelmäßig nach Art. 20 Abs. 2 NIS2 und § 38 Abs. 3 BSIGim bisherigen KRITIS-Regime nicht in dieser Schärfe als allgemeine Managementpflichtkeine spezielle Vorstandsschulungspflicht, aber Awareness und Fachkunde relevant
Unternehmensbußgeldbis 10 Mio. EUR oder 2 % Umsatz je nach KategorieAufsichts- und Sanktionsregime vorhanden, aber engerer Anwendungsbereichbis 20 Mio. EUR oder 4 % Umsatz
Persönliches RisikoOrganhaftung, Regress, Beweislast, VersicherungsproblemeOrganhaftung bereits möglich, aber weniger breit im Mittelstand sichtbarOrganhaftung über Organisationsverschulden, Datenschutzverstöße und Regress
DelegationAusführung delegierbar, Verantwortung nichtähnlich: Betreiberverantwortung bleibt auf Leitungsebene relevantFachaufgaben delegierbar, Rechenschaftspflicht bleibt
Praktischer FokusCyber-Risikomanagement, Incident Response, Lieferkette, Schulung, NachweisSicherheit kritischer Infrastrukturen und MeldeprozesseSchutz personenbezogener Daten, TOMs, Meldepflichten, Rechenschaft

Für Geschäftsführer ist die Quintessenz klar: NIS2 ist weder bloß „alte KRITIS in neu“ noch nur „Cyber-DSGVO“. Die Richtlinie hebt die Leitungsebene sichtbarer in die Pflicht und macht Schulung, Billigung und Überwachung zu expliziten Organaufgaben.

Deckt eine D&O-Versicherung NIS2-Bußgelder und Regressansprüche ab?

Eine D&O-Versicherung ist wichtig, aber sie löst das NIS2-Risiko nicht automatisch. D&O-Policen sind in erster Linie Managerhaftpflichtversicherungen. Sie adressieren persönliche Inanspruchnahmen von Organmitgliedern, Abwehrkosten und bestimmte Vermögensschäden. Der Cybervorfall selbst, der regulatorische Bußgeldbescheid und die technischen Incident-Kosten liegen häufig ganz oder teilweise außerhalb dieser Logik.

Für Geschäftsführer ist vor allem die Trennlinie entscheidend. Die D&O kann bei Innenhaftung oder Abwehr persönlicher Ansprüche helfen. Das eigentliche Unternehmensbußgeld ist aber oft nicht oder nur sehr begrenzt gedeckt. Hinzu kommen Ausschlüsse für wissentliche Pflichtverletzung, bekannte Mängel, Cyber-Kausalität oder nicht eingehaltene Obliegenheiten. Wer Managementwarnungen ignoriert, Schulungen nie durchführt oder dokumentierte Schwachstellen offen lässt, verschlechtert daher nicht nur seine Haftungsposition, sondern oft auch seine Versicherungsposition.

Die richtige Frage lautet deshalb nicht: „Haben wir eine D&O?“ Die richtige Frage lautet: „Welche NIS2-nahen Szenarien sind durch D&O, Cyber-Police oder gar nicht gedeckt?“ Typische Risikofelder sind:

SzenarioD&O typischer FokusHäufige Lücke
Gesellschaft nimmt Geschäftsführer nach Vorfall in RegressAbwehrkosten und InnenhaftungVersicherer prüft Wissentlichkeit und Dokumentationslage sehr streng
Aufsichtsverfahren mit Bußgeldteilweise VerteidigungskostenBußgeld selbst oft nicht gedeckt
Ransomware mit Betriebsunterbrechungeher kein Primärfokus der D&OIncident-Kosten liegen eher in der Cyber-Police
NIS2-Pflichten zwar benannt, aber nicht überwachtpersönlicher Haftungsvorwurf möglichAusschlüsse wegen bekannter oder grob missachteter Risiken

Für den Mittelstand ist das praktisch relevant, weil viele Policen historisch nicht für die heutige Verzahnung aus Cybersecurity, Organhaftung und Regulatorik gebaut wurden. Eine Police, die auf dem Papier gut aussieht, kann im Schadenfall enger greifen als intern angenommen. Vertiefend dazu passt der Beitrag D&O-Versicherung und Cybersecurity.

Welche Schutzmaßnahmen reduzieren die persönliche Haftung unter NIS2?

Die wirksamste Schutzmaßnahme gegen NIS2 persönliche Haftung ist nicht erst die Versicherung, sondern eine belastbare Leitungsorganisation. Wer Managementpflichten ernsthaft lebt und dokumentiert, senkt gleichzeitig das Vorfallrisiko, verbessert die Verteidigungsposition und erhöht die Chance auf Versicherungsdeckung. Für Geschäftsführer und Vorstände hat sich ein pragmatisches Sieben-Punkte-Programm bewährt.

1. Betroffenheit verbindlich prüfen

Prüfen Sie schriftlich, ob Ihr Unternehmen als wichtige oder besonders wichtige Einrichtung unter NIS2 fällt. Ohne diese Einordnung bleibt unklar, welche Pflichten unmittelbar greifen. Die Prüfung sollte nicht nur in der Rechtsabteilung liegen, sondern auf Geschäftsleitungsebene bestätigt werden.

2. Risikoanalyse und Kronjuwelen definieren

Ermitteln Sie, welche Dienste, Systeme, Lieferanten und Prozesse für die Leistungserbringung kritisch sind. Nur dann kann die Geschäftsleitung überhaupt wirksam billigen und priorisieren. NIS2 verlangt verhältnismäßige Maßnahmen; Verhältnismäßigkeit setzt ein dokumentiertes Risikobild voraus.

3. Management-Reporting fest etablieren

Lassen Sie sich mindestens quartalsweise über offene Sicherheitsrisiken, Fristen, Tests, Vorfälle und Maßnahmenstatus berichten. Ein kurzer IT-Status ohne Risiko- und Entscheidungsbezug reicht nicht. Management braucht eine Übersicht, aus der Handlungsbedarf und Prioritäten erkennbar werden.

4. Schulung der Leitungsorgane nachweisbar durchführen

Art. 20 Abs. 2 NIS2 und § 38 Abs. 3 BSIG verlangen regelmäßige Schulungen. Diese Schulungen sollten nicht als symbolischer Vortrag, sondern als Management-Training mit Governance-, Risiko- und Incident-Fokus aufgebaut sein. Dokumentieren Sie Datum, Agenda, Teilnehmer, Lernziele und Anschlussmaßnahmen. Wenn Sie dafür einen strukturierten Einstieg suchen, ist eine spezialisierte NIS2-Schulung sinnvoller als eine allgemeine Awareness-Einheit.

5. Delegation sauber und kontrollierbar aufsetzen

Benennen Sie qualifizierte Verantwortliche, definieren Sie Berichtslinien und legen Sie Eskalationsschwellen fest. Ein CISO ohne Entscheidungspfad oder ein externer Dienstleister ohne Management-Rückkopplung entlastet nicht.

6. D&O- und Cyber-Police gemeinsam prüfen

Lassen Sie konkrete NIS2-Szenarien schriftlich mappen: Regress, Bußgeld, Incident Response, Lieferkettenausfall, Aufsicht, Verteidigungskosten. Ohne dieses Mapping kaufen viele Unternehmen Versicherungsgefühl statt Versicherungsschutz.

7. Übungen und Nachweise ernst nehmen

Ein Incident-Plan, der nie getestet wurde, schützt kaum. Führen Sie Restore-Tests, Tabletop-Übungen und Review-Termine durch und archivieren Sie die Ergebnisse. Genau diese Dokumente machen im Haftungsfall oft den Unterschied.

Welche Schulungspflicht haben Leitungsorgane konkret?

Leitungsorgane müssen unter NIS2 nicht nur Weiterbildung ermöglichen, sondern selbst geschult werden. Das ist mehr als eine formale Nebenpflicht. Die Schulung soll Geschäftsführer und Vorstände in die Lage versetzen, Risiken zu erkennen, Risikomanagementpraktiken zu bewerten und die Auswirkungen auf die vom Unternehmen erbrachten Dienste zu verstehen. Genau deshalb ist eine Geschäftsleitungsschulung inhaltlich anders aufgebaut als eine Mitarbeiterschulung zu Phishing oder Passworthygiene.

Ein belastbares Management-Training sollte mindestens diese Themen abdecken:

  1. Anwendungsbereich und Pflichten von Art. 20 und Art. 21 NIS2,
  2. deutsches Umsetzungsrecht, insbesondere § 38 BSIG,
  3. Rollenbild der Geschäftsleitung zwischen Billigung, Überwachung und Delegation,
  4. wirtschaftliche und rechtliche Folgen von Sicherheitsvorfällen,
  5. Incident Response, Meldewege und Krisenentscheidungen,
  6. Dokumentation, Versicherbarkeit und Organhaftung.

Wichtig ist außerdem die Wiederholung. Ein einmaliger Termin genügt regelmäßig nicht, wenn sich Bedrohungslage, Organisation, Lieferkette oder Rechtslage ändern. Das BSI betont rund um NIS2 ohnehin die fortlaufende Auseinandersetzung mit Risikoanalyse, Meldepflicht und Umsetzungsfragen. Für die Geschäftsleitung muss deshalb ein wiederkehrender Review- und Schulungsrhythmus etabliert werden.

Wenn Sie Schulung, Nachweis und Governance kombinieren wollen, sollte das Format nicht nur Wissen vermitteln, sondern konkrete Management-Artefakte erzeugen: Agenda, Teilnehmerliste, Beschlusspunkte, offene Maßnahmen, Folgetermine. Genau daraus wird später eine belastbare Entlastungsdokumentation.

Fazit: NIS2 Geschäftsführer Haftung ist ein Governance-Thema, kein Randthema der IT

NIS2 Geschäftsführer Haftung ist 2026 eine reale Organhaftungsfrage. Art. 20 NIS2 und § 38 BSIG ziehen Billigung, Überwachung und Schulung ausdrücklich auf die Leitungsebene. Das größte Risiko liegt dabei nicht in der Schlagzeile „2 % vom Umsatz“, sondern in der juristischen Kette aus Organisationsmangel, dokumentierter Pflichtverletzung, Regress und schwacher Versicherungsdeckung.

Die pragmatische Konsequenz ist klar: Prüfen Sie die Betroffenheit, lassen Sie sich regelmäßige Cyber-Reports vorlegen, schulen Sie die Geschäftsleitung nachweisbar, testen Sie Notfallprozesse und überprüfen Sie D&O- sowie Cyber-Police gemeinsam. Wenn Sie Management, Fachbereiche und Schlüsselrollen schnell auf einen gemeinsamen Mindeststandard bringen wollen, ist eine strukturierte NIS2-Schulung der sinnvollste nächste Schritt. Ergänzend helfen IT-Sicherheit für Geschäftsführer, D&O-Versicherung und Cybersecurity und NIS2 Cyberhygiene und Schulungen, damit aus Regulierung kein unkontrolliertes Privatvermögensrisiko wird.

FAQ: NIS2 persönliche Haftung

Haften Geschäftsführer persönlich für NIS2-Verstöße?

Ja. Persönliche Haftung entsteht, wenn Leitungsorgane ihre Billigungs-, Überwachungs- oder Schulungspflichten verletzen und der Gesellschaft dadurch ein Schaden entsteht. Die Haftung läuft in Deutschland meist über § 43 GmbHG, § 93 AktG und § 38 BSIG.

Deckt eine D&O-Versicherung NIS2-Bußgelder ab?

Oft nicht vollständig. D&O-Versicherungen decken typischerweise persönliche Haftungsansprüche und Abwehrkosten, nicht aber automatisch regulatorische Bußgelder oder sämtliche Cyber-Folgekosten. Genau deshalb sollte der Wortlaut der Police gegen konkrete NIS2-Szenarien geprüft werden.

Welche Pflichten haben Vorstände unter NIS2?

Vorstände und Geschäftsführer müssen Maßnahmen billigen, ihre Umsetzung überwachen und regelmäßig Schulungen absolvieren. NIS2 macht Cybersicherheit damit ausdrücklich zu einer Aufgabe der Leitungsebene und nicht nur der IT-Abteilung.

Können Geschäftsführer die NIS2-Verantwortung delegieren?

Nur die operative Umsetzung ist delegierbar. Die Verantwortung für wirksame Überwachung, Entscheidungen, Prioritäten und Nachweise bleibt bei der Geschäftsleitung. Delegation ohne Kontrolle entlastet nicht.

Welche Schulungspflicht haben Leitungsorgane unter NIS2?

Leitungsorgane müssen regelmäßig geschult werden, um Risiken und Managementmaßnahmen im Bereich der Cybersicherheit bewerten zu können. Die Schulung sollte daher Governance, Incident Response, Meldewege, Dokumentation und Haftungsfragen abdecken.

Dieser Beitrag dient der allgemeinen Orientierung und ersetzt keine Rechtsberatung. Für die Bewertung konkreter Haftungsfälle, Organpflichten und Versicherungsbedingungen sollten Sie spezialisierten Rechtsrat einholen.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →