Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift
Top Themen in der Informationssicherheit:
Cortina Consult
NIS2 Geschäftsführerhaftung
Informationssicherheit

NIS2 Geschäftsführerhaftung

Bisher konnte die Geschäftsführung das Thema Cybersicherheit an ihre IT-Abteilung delegieren. Mit der NIS2-Richtlinie ändert sich das grundlegend: Informationssicherheit wird zur persönlichen Chefsache – mit direkter Haftung bei Verstößen.

Jetzt ISMS anfragen
Beratungsgespräch anfragen
Grafik zeigt digitales Handbuch mit Schloss, Checklisten und Schutzschild als Symbol für IT-Sicherheit, Compliance und Datenschutz

Was ist die NIS2-Geschäftsführerhaftung?

Die NIS2-Geschäftsführerhaftung macht Geschäftsführer, Vorstände und andere Leitungsorgane persönlich für Cybersicherheitsmaßnahmen verantwortlich. Anders als bisher können sich Führungskräfte nicht mehr auf fehlendes technisches Wissen berufen oder die Verantwortung vollständig delegieren.

Die rechtliche Grundlage bildet § 38 des novellierten BSI-Gesetzes (BSIG). Dieser setzt die EU-Richtlinie NIS2 in deutsches Recht um. Das NIS-2-Gesetz konkretisiert dabei die Pflichten für deutsche Unternehmen.

Die drei Kernpflichten:

  • Billigen: Geschäftsführer müssen Risikomanagementmaßnahmen nach § 30 BSIG genehmigen
  • Überwachen: Sie müssen die Umsetzung aktiv kontrollieren – nicht nur zur Kenntnis nehmen
  • Schulen: Mindestens alle drei Jahre verpflichtende Cybersicherheits-Schulungen

Bei schuldhafter Pflichtverletzung haften Geschäftsführer ihrer eigenen Gesellschaft gegenüber – mit dem persönlichen Vermögen.

NIS2-Geschäftsführerhaftung: Was Führungskräfte jetzt wissen müssen

Cyberangriffe gehören zum unternehmerischen Alltag. Ransomware legt Produktionen still, Datenlecks gefährden Kundeninformationen, DDoS-Attacken bringen Webshops zum Erliegen. Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz in Deutschland. Rund 30.000 Unternehmen müssen handeln. Geschäftsführer haften unter Umständen persönlich mit ihrem Privatvermögen.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Welche Unternehmen sind betroffen?

Betroffen sind alle Unternehmen, die als „wichtige“ oder „besonders wichtige“ Einrichtungen nach § 28 BSIG gelten. Die NIS-2-Richtlinie definiert klare Schwellenwerte:

  • Besonders wichtig: Ab 250 Mitarbeiter ODER ab 50 Mio. € Umsatz z.B. in den Branchen Energie, Gesundheit, Transport, Banken
  • Wichtig: Ab 50 Mitarbeiter ODER ab 10 Mio. € Umsatz z.B. in den Branchen Logistik, Lebensmittel, Abfallwirtschaft, digitale Dienste

Das betrifft längst nicht mehr nur klassische kritische Infrastrukturen wie Energieversorger oder Krankenhäuser.

Warum wurde die Haftung eingeführt?

Die NIS2-Geschäftsführerhaftung reagiert auf drei Entwicklungen:

1. Verschärfte Bedrohungslage
Das BSI registriert täglich Hunderttausende neue Schadprogramme. Laut Bitkom entstand der deutschen Wirtschaft 2024 ein Schaden von 266,6 Milliarden Euro durch Cyberangriffe. Phishing-Awareness wird damit zur unverzichtbaren Schutzmaßnahme.

2. Governance-Defizite
In der Praxis zeigte sich: Informationssicherheit war operativ bei IT-Abteilungen angesiedelt, aber auf Leitungsebene fehlten Verantwortlichkeiten und Budget-Prioritäten. IT-Abteilungen entwickelten Sicherheitskonzepte – die Geschäftsführung blockierte notwendige Budgets.

3. EU-Vorgaben
Artikel 20 der NIS2-Richtlinie verpflichtet Leitungsorgane ausdrücklich, Cybersicherheitsmaßnahmen zu billigen und zu überwachen. Deutschland musste diese Vorgabe in nationales Recht umsetzen.

NIS2-Quick-Check

Ist Ihr Unternehmen betroffen? Finden Sie es in 4 Fragen heraus.

Frage 1 von 4

Wie viele Mitarbeiter hat Ihr Unternehmen?

Unter 50 Mitarbeiter
50 bis 249 Mitarbeiter
250 oder mehr Mitarbeiter
Frage 2 von 4

Wie hoch ist Ihr Jahresumsatz?

Unter 10 Millionen EUR
10 bis 50 Millionen EUR
Über 50 Millionen EUR
Frage 3 von 4

In welchem Sektor ist Ihr Unternehmen tätig?

Energie, Verkehr, Banken, Gesundheitswesen oder Trinkwasser
Digitale Infrastruktur, Cloud-Services, Rechenzentren oder IKT-Dienstleistungen
Post, Abfall, Chemie, Lebensmittel, Öffentliche Verwaltung oder Forschung
Online-Marktplätze, Suchmaschinen oder Social Media Plattformen
Andere Branche
Frage 4 von 4

Bieten Sie Dienstleistungen an, die als kritische Infrastruktur gelten oder sind Sie Zulieferer für solche Unternehmen?

Ja, wir bieten kritische Dienstleistungen an
Ja, wir sind Zulieferer für kritische Infrastruktur
Nein, weder noch
Ich bin mir nicht sicher

Welche Konsequenzen drohen bei Verstößen?

Verstöße gegen NIS2 haben zwei Konsequenzen: Bußgelder gegen das Unternehmen und persönliche Haftung der Geschäftsführung.

Bußgelder gegen das Unternehmen:

  • Besonders wichtige Einrichtungen: Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: Bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes

Persönliche Haftung der Geschäftsführung:

Die Geschäftsführung haftet, wenn sie ihre Pflichten nach § 38 BSIG schuldhaft verletzt. Ein typisches Szenario: Die IT meldet kritische Sicherheitslücken, die Geschäftsführung verschiebt Updates aus Kostengründen. Nach einem Ransomware-Angriff haftet sie für den entstandenen Schaden.

Wichtig: Die Haftung greift auch, wenn die operative Verantwortung an einen Informationssicherheitsbeauftragten delegiert wurde. Die strategische Verantwortung bleibt bei der Geschäftsführung.

Wie können sich Geschäftsführer schützen?

Mit konkreten Maßnahmen lassen sich Haftungsrisiken deutlich reduzieren:

1. Betroffenheit klären und registrieren
Das BSI bietet einen kostenlosen Online-Check. Bei Betroffenheit gilt:

  • Besonders wichtige Einrichtungen: Registrierung bis 6. März 2026
  • Wichtige Einrichtungen: Sofortige Registrierung erforderlich

2. Risikomanagement etablieren
§ 30 BSIG schreibt konkrete Maßnahmen vor: Risikoanalyse, Sicherheitsrichtlinien, Notfallpläne, Incident Management und Lieferkettenkontrolle. Ein Informationssicherheitsmanagementsystem (ISMS) hilft, diese Anforderungen systematisch zu erfüllen.

3. Schulungen wahrnehmen
Die Schulungspflicht ist nicht delegierbar. Geschäftsführer müssen persönlich teilnehmen – mindestens alle drei Jahre. Eine Security Awareness Schulung vermittelt die notwendigen Grundlagen. Ergänzend empfiehlt sich ein Datenschutz E-Learning für die DSGVO-Anforderungen.

4. Kontinuierlich dokumentieren
Diese Dokumentation ist im Ernstfall der Nachweis, dass die Geschäftsführung ihre Sorgfaltspflicht erfüllt hat – entscheidend für die Abwehr persönlicher Haftungsansprüche. Ein externer Datenschutzbeauftragter kann dabei unterstützen.

Fazit zur NIS2-Geschäftsführerhaftung

Die NIS2-Geschäftsführerhaftung macht Cybersicherheit zur persönlichen Chefsache. Wer seine Pflichten ignoriert, riskiert nicht nur Bußgelder für das Unternehmen, sondern haftet unter Umständen persönlich. Die gute Nachricht: Mit strukturiertem Risikomanagement, verpflichtenden Schulungen und professioneller Dokumentation lassen sich die Haftungsrisiken deutlich reduzieren.

Häufige Fragen zur NIS2-Geschäftsführerhaftung

Gilt die Haftung nur für GmbH-Geschäftsführer?

Nein. Die Haftung gilt für alle Leitungsorgane – auch für Vorstände von AGs, Geschäftsführer von Personengesellschaften und faktische Geschäftsführer. Bei Stiftungen und Vereinen ordnet § 38 BSIG eine direkte Haftung an.

Kann ich die Haftung durch eine D&O-Versicherung ausschließen?

Teilweise. Eine D&O-Versicherung kann einen Teil des Risikos abdecken. Ergänzend bietet eine Cyberversicherung Schutz vor Schäden durch Cyberangriffe. Aber: § 38 BSIG verbietet ausdrücklich einen vertraglichen Haftungsverzicht durch Gesellschafter.

Hafte ich auch, wenn ich die Verantwortung an einen ISB delegiert habe?

Ja, teilweise. Die operative Umsetzung kann delegiert werden. Die strategische Verantwortung und Überwachungspflicht bleibt bei der Geschäftsführung.

Bis wann muss ich die Maßnahmen umsetzen?

Das Gesetz gilt seit 6. Dezember 2025 – ohne Übergangsfrist. Meldepflichten und Geschäftsführerhaftung gelten ab sofort.

Gilt NIS2 auch für kleine Unternehmen unter 50 Mitarbeiter?

In der Regel nicht. Die Schwellenwerte liegen bei 50 Mitarbeitern oder 10 Mio. € Jahresumsatz. Ausnahme: Unternehmen in bestimmten kritischen Sektoren können unabhängig von der Größe betroffen sein.
Beitrag aktualisiert am 21. Januar 2026 – Geprüft durch Datenschutzbeauftragter Jörg ter Beek
Externer Informations-sicherheitsbeauftragter

Regeltermine, ISMS-Software, E-Learning (LMS), persönlicher Ansprechpartner – und weitere Extras – inklusive.

ab 125€ / pro Monat
  • Stellung des ISB (zert. ISO 27001 Auditor)
  • Informationssicherheitsplattform
  • E-Learning für Mitarbeitende
  • Vorlagenbibliothek
  • Digitales Audit & Editor
Angebot berechnen
Alle Details zum ISB
Inhalt dieser Seite
Ihre Vorteile mit Cortina Consult in der Informationssicherheit

Wir helfen Unternehmen dabei, ein wirksames Managementsystem für Informationssicherheit aufzubauen und die Anforderungen nach ISO 27001, NIS-2 oder TISAX umzusetzen – digital, effizient und zu fixen Konditionen. Als erfahrener Beratungsdienstleister und externer ISB sorgen wir dafür, dass sensible Informationen geschützt bleiben und Sicherheitsrisiken minimiert werden.

  • Gebündelte Erfahrung aus 10 Jahren in der Branche
  • Beratung, Software & Schulung aus einer Hand
  • Prozessoptimierung und Skalierbarkeit garantiert
Pauschalpakete entdecken
Informationssicherheit
Minimalistische Vektor-Illustration eines männlichen Avatars mit schwarzem Haar, rotem Shirt und schwarzer Jacke
Autor dieses Artikels:
Joshua Tiedtke
Experte für Informationssicherheit bei Cortina Consult
Zum Autorenprofil
Bleiben Sie up-to-date

Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zur Informationssicherheit und Best-Practices zur Umsetzung.

* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Date​​​​nschutzerklärung.

Sie haben Fragen?
– Wir beraten Sie gerne

Jörg ter Beek
Jörg ter Beek
Datenschutzexperte & CEO
+49 251 95 20 37 - 40
jtb@cortina-consult.de

Unsere Lösungen

Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift