NIS2-Haftung: Warum IT-Sicherheit jetzt zur persönlichen Chefsache wird

Die NIS2-Richtlinie (Network and Information Security Directive 2.0) ist die Antwort auf die zunehmende Professionalisierung der Cyberkriminalität. Während die Vorgängerregelung NIS1 vor allem auf große, kritische Infrastrukturen (KRITIS) wie Energieversorger oder Krankenhäuser abzielte, weitet NIS2 den Anwendungsbereich massiv aus.

Nach aktuellem Stand der Umsetzung in deutsches Recht (das NIS2UmsuCG) müssen sich deutlich mehr Unternehmen auf strenge Kontrollen einstellen. Betroffen sind Sektoren wie Chemie, Lebensmittel, Abfallwirtschaft, digitale Dienste und das verarbeitende Gewerbe. Erreicht ein Unternehmen die Schwellenwerte von 50 Mitarbeitenden oder einen Jahresumsatz von 10 Millionen Euro, rückt es in den Fokus der Behörden.

Für die Geschäftsführung bedeutet das einen Paradigmenwechsel:

• Persönliche Billigung: Du kannst Sicherheitskonzepte nicht mehr einfach „abnicken“. Du musst sie verstehen und förmlich genehmigen.
• Aufsichtspflicht: Es reicht nicht, ein Budget freizugeben. Du musst nachweisen, dass die Maßnahmen auch tatsächlich umgesetzt wurden und wirksam sind.
• Direkte Verantwortung: Die Komplexität der IT entbindet dich nicht von der Verantwortung. Das Gesetz unterstellt, dass ein ordentlicher Geschäftsführer die Risiken seiner digitalen Infrastruktur kennt.

Ein weit verbreiteter Irrtum in deutschen Unternehmen ist der Glaube, dass man die Haftung durch die Benennung eines kompetenten IT-Leiters oder eines externen Dienstleisters komplett delegieren kann. Juristisch gesehen ist das eine gefährliche Fehleinschätzung.

Zwar kann die operative Ausführung (das „Machen“) delegiert werden, aber die Organisations- und Überwachungsverantwortung verbleibt zwingend beim Leitungsorgan. NIS2 schärft diesen Punkt: Die Geschäftsführung muss die Risikomanagementmaßnahmen nicht nur finanzieren, sondern deren Implementierung aktiv überwachen.

Der Vergleich zum Finanzwesen: Ein Geschäftsführer kann die Buchhaltung delegieren, bleibt aber für die Richtigkeit der Bilanz und die Vermeidung von Insolvenzverschleppung haftbar. Genau diesen Stellenwert nimmt die IT-Sicherheit unter NIS2 nun ein. Cyberrisiken sind heute strategische Risiken. Ein Totalausfall der IT durch einen Hackerangriff kommt einem Brand der gesamten Produktionshalle gleich. Wer solche Risiken nicht auf Vorstandsebene managt, handelt pflichtwidrig.

Um der NIS2-Haftung zu entgehen, müssen Geschäftsführer einen Katalog an Sorgfaltspflichten erfüllen. Diese lassen sich in fünf Kernbereiche unterteilen:

1. Die Informationspflicht: Du musst ein System etablieren, das dich regelmäßig über die Bedrohungslage informiert. Es reicht nicht, auf den jährlichen Bericht zu warten. Kritische Schwachstellen oder versuchte Angriffe müssen zeitnah eskaliert werden.
2. Die Genehmigungspflicht: Strategische Dokumente wie das Informationssicherheitskonzept oder der Notfallplan müssen von der Geschäftsführung unterzeichnet werden. Damit dokumentierst du, dass du das Schutzniveau deines Unternehmens bewusst festgelegt hast.
3. Die Überwachungspflicht: Du musst Kontrollinstanzen schaffen. Wer prüft, ob die Backups wirklich funktionieren? Wer stellt sicher, dass ausgeschiedene Mitarbeiter keinen Zugriff mehr auf das Netzwerk haben? Die Geschäftsführung muss sich die Wirksamkeit dieser Kontrollen regelmäßig bestätigen lassen.
4. Die Schulungspflicht: Dies ist einer der meistunterschätzten Punkte. NIS2 verpflichtet die Führungsebene ausdrücklich zur Teilnahme an Schulungen. Ziel ist es, dass du in die Lage versetzt wirst, Cyberrisiken und deren Auswirkungen auf den Geschäftsbetrieb fachkundig zu bewerten.
5. Die Ressourcenbereitstellung: Sicherheit kostet Geld. Wenn die IT-Abteilung seit Jahren veraltete Systeme beklagt und die Geschäftsführung notwendige Investitionen ohne sachliche Begründung ablehnt, liegt eine klare Pflichtverletzung vor.

Die Strafen unter NIS2 sind streng und basieren auf der Logik der DSGVO, gehen aber in der persönlichen Konsequenz oft darüber hinaus.

Unternehmens-Bußgelder:

Für „besonders wichtige Einrichtungen“ drohen Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Für „wichtige Einrichtungen“ (viele Mittelständler) sind es immer noch bis zu 7 Millionen Euro oder 1,4 % des Umsatzes. Diese Summen können die finanzielle Stabilität eines Unternehmens direkt gefährden.

Die persönliche Innenhaftung:

Viel bedrohlicher für Geschäftsführer ist jedoch die Innenhaftung gemäß § 43 GmbHG oder § 93 AktG. Wenn das Unternehmen ein Millionen-Bußgeld zahlen muss, weil die Geschäftsführung die NIS2-Pflichten vernachlässigt hat, kann die Gesellschafterversammlung den Geschäftsführer persönlich in Regress nehmen.

Die Rolle der D&O-Versicherung:

Viele Manager wiegen sich in Sicherheit, da sie eine D&O-Versicherung (Directors and Officers) abgeschlossen haben. Doch Vorsicht: Versicherer leisten nur bei einfacher Fahrlässigkeit. Wenn eine klare gesetzliche Vorgabe wie die NIS2-Schulungspflicht ignoriert wurde, argumentieren Versicherer oft mit „wissentlicher Pflichtverletzung“ oder „grob fahrlässigem Organisationsverschulden“ – und verweigern die Zahlung.

NIS2 verlangt keine absolute Sicherheit, sondern Angemessenheit nach dem Stand der Technik. Durch eine strukturierte Risikoanalyse (Identifikation kritischer Assets und Bedrohungsszenarien) trifft die Geschäftsführung fundierte Entscheidungen über Investitionen oder Restrisiken. Diese Dokumentation ist das wichtigste Werkzeug, um bei Prüfungen ein pflichtgemäßes Handeln nachzuweisen.

Im Schadensfall droht die Beweislastumkehr: Du musst beweisen, dass du deine Sorgfaltspflichten erfüllt hast. Ohne eine lückenlose „NIS2-Akte“ – inklusive Management-Protokollen, Budgetnachweisen und Schulungszertifikaten – ist dieser Beweis kaum zu führen. Digitale Compliance-Plattformen dienen hier als rechtssichere „Lebensversicherung“.

Die Verantwortung endet nicht am Firmentor. Du musst sicherstellen, dass auch direkte Zulieferer angemessene Sicherheitsstandards einhalten. Dies erfordert eine aktive Governance und einen „Tone from the Top“: IT-Sicherheit muss als Teil der Unternehmenskultur etabliert werden, inklusive klarer Rollenverteilung und einer offenen Fehlerkultur bei Vorfällen.

Die NIS2-Richtlinie zwingt zur längst überfälligen Professionalisierung. Für Geschäftsführer bedeutet das zwar eine höhere persönliche Haftung, aber auch die Chance, das Unternehmen krisenfest aufzustellen. Wer NIS2-konform agiert, minimiert nicht nur Risiken, sondern sichert sich Wettbewerbsvorteile bei Kunden und Versicherern.

Wie oft muss die Geschäftsführung an NIS2-Schulungen teilnehmen?

Das Gesetz gibt kein starres Intervall vor, spricht aber von „regelmäßiger“ Teilnahme. In der Praxis empfiehlt sich ein jährliches Update, um über neue Bedrohungsmuster (z.B. KI-gestütztes Phishing) informiert zu bleiben.

Gilt NIS2 auch für Geschäftsführer von Tochtergesellschaften?

Ja, wenn die Tochtergesellschaft selbst die Schwellenwerte erreicht oder eine wesentliche Funktion für den Konzern ausübt. Die Haftung trifft das jeweilige Leitungsorgan der betroffenen Rechtseinheit.

Was ist der wichtigste erste Schritt zur Haftungsvermeidung?

Die Durchführung und Dokumentation einer initialen Risikoanalyse. Damit zeigst du, dass du das Thema aktiv angegangen bist und deine Sorgfaltspflicht ernst nimmst.

Können Behörden mein Unternehmen einfach prüfen?

Ja, NIS2 räumt den Aufsichtsbehörden weitreichende Kontrollrechte ein, einschließlich Vor-Ort-Kontrollen und der Anforderung von Beweisdokumenten – auch ohne konkreten Anlass.

Was passiert, wenn die Umsetzungsfrist abgelaufen ist?

Mit dem Inkrafttreten des nationalen Gesetzes gelten die Sanktionsvorschriften. Unternehmen, die dann keine Basismaßnahmen nachweisen können, riskieren sofortige Bußgeldverfahren.