NIS-2: Die persönliche Haftung der Geschäftsleitung

Viele Cybersicherheits-Themen lassen sich an die IT delegieren. NIS-2 macht hier einen entscheidenden Unterschied: Die Verantwortung liegt ausdrücklich bei der Geschäftsleitung — und sie ist nicht vollständig delegierbar.

Drei konkrete Pflichten der Leitung

NIS-2 nimmt Geschäftsführer und Vorstände direkt in die Pflicht. Sie müssen:

1. Billigen — die Risikomanagement-Maßnahmen aktiv genehmigen, nicht nur abnicken.
2. Überwachen — die Umsetzung kontrollieren und nachhalten.
3. Sich schulen — regelmäßig an Schulungen teilnehmen, um Risiken beurteilen zu können. Vergleichbare Schulungen sollen auch den Mitarbeitenden angeboten werden.

Was „persönliche Haftung” konkret bedeutet

Kommt die Leitung diesen Pflichten nicht nach, kann sie für Schäden persönlich in die Verantwortung genommen werden. Cybersicherheit ist damit keine reine IT-Frage mehr, sondern eine Leitungsaufgabe mit unmittelbarer Konsequenz für die Verantwortlichen.

Die Dimension der Bußgelder

NIS-2 sieht spürbare Sanktionen vor — gestaffelt nach Einrichtungstyp:

• Wesentliche Einrichtungen: Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Wert gilt).
• Wichtige Einrichtungen: Bußgelder bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes.

Hinzu kommen aufsichtsrechtliche Maßnahmen des BSI bis hin zu Anordnungen, die den Geschäftsbetrieb berühren können.

Wie sich die Leitung absichert

• Betroffenheit klären und dokumentieren — die Feststellung ist selbst eine Leitungsaufgabe.
• Maßnahmen formal billigen und die Genehmigung dokumentieren.
• Reporting etablieren, das der Leitung die Überwachung tatsächlich ermöglicht.
• Schulungen für Leitung und Belegschaft fest einplanen.

Der erste Schritt — die Betroffenheit — ist schnell gemacht: Unser kostenloser NIS-2-Betroffenheits-Check gibt Ihnen in zwei Minuten eine fundierte Einordnung.

Dieser Beitrag bietet eine erste Orientierung und ersetzt keine Rechtsberatung.