NIS2 Geschäftsführer-Haftung

Inhalt in Kürze

• § 38 NIS2UmsuCG (Umsetzung von Art. 20 NIS2) macht Geschäftsführer persönlich haftbar für die Cybersicherheit — diese Verantwortung ist nicht delegierbar.
• Bußgelder bis 10 Mio. Euro oder 2 % des Jahresumsatzes — plus persönliche Schadensersatzansprüche und mögliches temporäres Berufsverbot durch das BSI.
• Die Geschäftsleitung muss Risikomanagement-Maßnahmen genehmigen, deren Umsetzung überwachen und persönlich an Cybersicherheits-Schulungen teilnehmen.
• D&O-Versicherungen decken NIS2-Bußgelder in der Regel nicht ab — nur dokumentierte Compliance schützt die Geschäftsführung.

Persönliche Haftung: Warum NIS2 ein Thema für die Geschäftsführung ist

NIS2 hat die Spielregeln für Cybersicherheit in Unternehmen grundlegend verändert. Die vielleicht einschneidendste Neuerung: Art. 20 der NIS2-Richtlinie macht die Geschäftsführung persönlich verantwortlich für die Einhaltung der Cybersicherheitsanforderungen. Diese Verantwortung ist ausdrücklich nicht delegierbar.

Seit Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland in Kraft – ohne Übergangsfrist. Für Geschäftsführer, Vorstände und leitende Organe betroffener Unternehmen — insbesondere besonders wichtige Einrichtungen — bedeutet das: Die persönliche Haftung greift ab sofort. Jeder Verstoß gegen die NIS2-Anforderungen kann ein empfindliches Bußgeld nach sich ziehen.

Art. 20 NIS2: Was das Gesetz sagt

Art. 20 der NIS2-Richtlinie (umgesetzt in § 38 NIS2UmsuCG) regelt die Verantwortung der Leitungsorgane in drei zentralen Punkten:

1. Genehmigungspflicht

Die Geschäftsleitung muss die Risikomanagement-Maßnahmen im Bereich der Cybersicherheit genehmigen. Geschäftsführer müssen jede einzelne Sicherheitsmaßnahme verstehen, bewerten und aktiv genehmigen — ein bloßes Budget-Freigeben und Delegieren an die IT-Abteilung genügt nicht. Dazu gehören insbesondere technische und organisatorische Maßnahmen zum Schutz der IT-Infrastruktur. Für besonders wichtige Einrichtungen gelten dabei verschärfte Anforderungen an die Dokumentation jeder Sicherheitsmaßnahme.

2. Überwachungspflicht

Geschäftsführer müssen die Umsetzung der genehmigten Maßnahmen überwachen. Es reicht nicht aus, eine Sicherheitsmaßnahme zu beschließen – Sie müssen sicherstellen, dass die technische und organisatorische Umsetzung tatsächlich erfolgt und wirksam ist. Ein Verstoß gegen diese Überwachungspflicht kann zur persönlichen Haftung führen. Das BSI-Gesetz verlangt den Nachweis, dass jede Sicherheitsmaßnahme implementiert und regelmäßig auf ihre Wirksamkeit überprüft wird.

3. Schulungspflicht

Die Geschäftsführung muss selbst an Cybersicherheits-Schulungen teilnehmen. NIS2 verlangt, dass Leitungsorgane über ausreichende Kenntnisse und Fähigkeiten verfügen, um Risiken zu erkennen und jede einzelne Sicherheitsmaßnahme zu bewerten. Einmalige Schulungen reichen nicht – die Schulungen müssen regelmäßig erfolgen.

Warum Delegation nicht funktioniert

In vielen Unternehmen ist Cybersicherheit Aufgabe der IT-Abteilung oder eines CISO. NIS2 bricht mit dieser Praxis. Die Logik dahinter: Cybersicherheit ist kein reines IT-Thema, sondern ein unternehmerisches Risiko, das auf Geschäftsleitungsebene gesteuert werden muss.

Konkret bedeutet „nicht delegierbar”:

• Sie können die operative Umsetzung an Ihren CISO oder IT-Leiter übertragen
• Sie können einen externen Berater beauftragen
• Aber die Letztverantwortung verbleibt bei Ihnen persönlich
• Bei einem Sicherheitsvorfall wird geprüft, ob Sie Ihre Genehmungs- und Überwachungspflichten erfüllt haben
• „Ich habe mich auf meinen IT-Leiter verlassen” ist kein Entlastungsargument

Bußgeld und Sanktionen bei NIS2-Verstößen

Die Sanktionen bei einem NIS2-Verstoß sind die höchsten, die das deutsche Cybersicherheitsrecht je vorgesehen hat. Ein Bußgeld kann sowohl gegen das Unternehmen als auch gegen die Geschäftsführung persönlich verhängt werden:

Für wesentliche Einrichtungen

• Bußgeld: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag gilt)
• Temporäres Berufsverbot: Das BSI kann die vorübergehende Untersagung der Leitungstätigkeit anordnen — Geschäftsführer können persönlich haftbar gemacht werden

Für wichtige Einrichtungen

• Bußgeld: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
• Auch hier droht bei einem Verstoß gegen die NIS2-Anforderungen ein empfindliches Bußgeld

Persönliche Konsequenzen

Neben den Unternehmensbußgeldern haftet die Geschäftsführung persönlich. Bei einem Verstoß gegen die Sorgfaltspflichten können Geschäftsführer persönlich haftbar gemacht werden — mit ihrem Privatvermögen:

• Schadensersatzansprüche des eigenen Unternehmens gegen die Geschäftsführung (Innenhaftung)
• Schadensersatzansprüche Dritter bei Sicherheitsvorfällen, die auf mangelnde Sorgfalt zurückzuführen sind
• Reputationsschaden – die Veröffentlichung von Verstößen ist vorgesehen

D&O-Versicherung: Trügerische Sicherheit

Viele Geschäftsführer verlassen sich auf ihre Directors-and-Officers-Versicherung (D&O). Bei NIS2-Haftung ist diese Absicherung jedoch begrenzt:

Was D&O typischerweise abdeckt

• Schadensersatzansprüche Dritter bei fahrlässigen Pflichtverletzungen
• Verteidigungskosten bei Klagen

Was D&O typischerweise NICHT abdeckt

• Behördliche Bußgelder – in Deutschland sind Bußgelder in der Regel nicht versicherbar
• Vorsätzliche Pflichtverletzungen – wenn Sie bewusst keine Maßnahmen ergriffen haben
• Wissentliche Pflichtverletzungen – wenn Sie um die NIS2-Anforderungen wussten, aber nicht gehandelt haben
• Viele Policen schließen Verstöße gegen behördliche Auflagen explizit aus

Die Konsequenz

Eine D&O-Versicherung ersetzt keine NIS2-Compliance. Die D&O-Versicherung kann bestimmte Restrisiken abfedern, aber sie schützt Geschäftsführer nicht vor den Folgen bewusster oder fahrlässiger Untätigkeit. Bei einem nachgewiesenen Verstoß gegen die Sorgfaltspflichten werden Geschäftsführer persönlich haftbar gemacht — die D&O-Versicherung greift in diesem Fall nicht. Viele Unternehmen und ihre Geschäftsführer unterschätzen diese Deckungslücke der D&O-Versicherung bei der NIS2-Geschäftsführerhaftung.

So schützen Sie sich als Geschäftsführer

1. Informieren Sie sich persönlich

Verstehen Sie die NIS2-Anforderungen, die für Ihr Unternehmen gelten. Nehmen Sie an Schulungen teil. Warten Sie nicht darauf, dass jemand das Thema an Sie heranträgt.

2. Klären Sie die Betroffenheit

Lassen Sie verbindlich feststellen, ob und wie Ihr Unternehmen unter NIS2 fällt. Unser NIS2-Betroffenheitscheck hilft bei der ersten Einschätzung.

3. Führen Sie eine Gap-Analyse durch

Beauftragen Sie eine professionelle Bewertung Ihres aktuellen Sicherheitsniveaus im Vergleich zu den NIS2-Anforderungen. Dokumentieren Sie die Ergebnisse.

4. Genehmigen und dokumentieren Sie Maßnahmen

Erstellen Sie einen Maßnahmenplan, genehmigen Sie ihn formal als Geschäftsführung und dokumentieren Sie alles schriftlich. Im Haftungsfall zählt, was Sie nachweisen können.

5. Überwachen Sie die Umsetzung

Lassen Sie sich regelmäßig über den Fortschritt der Maßnahmen berichten. Etablieren Sie ein Reporting, das auf Geschäftsleitungsebene ankommt – mindestens quartalsweise.

6. Stellen Sie Ressourcen bereit

Cybersicherheit braucht Budget und Personal. Dokumentieren Sie, dass Sie angemessene Ressourcen bereitgestellt haben. Bei einem Vorfall wird genau das geprüft.

7. Sichern Sie die Lieferkette ab

NIS2 verlangt, dass Sie auch die Cybersicherheit Ihrer Zulieferer im Blick haben. Hugo Shield bietet dafür eine strukturierte Lösung mit Scoring und Dashboard. Mehr dazu unter NIS2 Lieferketten-Compliance.

Besondere Relevanz für Hamburger Unternehmen

Hamburgs Wirtschaft ist geprägt von Branchen, die direkt unter NIS2 fallen: Hafen und Logistik, maritime Wirtschaft, Handel und Lebensmittel, Medien und digitale Dienste. Geschäftsführer in diesen Branchen stehen ab sofort in der persönlichen Verantwortung.

Der HmbBfDI als hamburgische Datenschutzaufsicht arbeitet zudem eng mit dem BSI zusammen. Hamburger Unternehmen sollten davon ausgehen, dass die Anforderungen ernst genommen und durchgesetzt werden.

Handeln Sie jetzt – bevor es zum Vorfall kommt

Die persönliche Haftung nach NIS2 ist keine theoretische Möglichkeit, sondern geltendes Recht. Seit Dezember 2025 – ohne Übergangsfrist. Jeder Tag, den Sie ohne dokumentierte Sicherheitsmaßnahmen verstreichen lassen, erhöht Ihr persönliches Risiko. Ein Verstoß kann nicht nur ein Bußgeld nach sich ziehen, sondern auch zum temporären Berufsverbot führen.

Kostenloses Erstgespräch buchen

In einem vertraulichen Gespräch analysieren wir Ihre persönliche Haftungssituation und zeigen Ihnen konkret, welche Schritte jetzt Priorität haben.

§ 38 und § 43 NIS2UmsuCG: Die Haftungsgrundlage im Detail

Die Frage, ob § 38 Abs. 1 und 2 BSIG (NIS2UmsuCG) überhaupt eine Haftungsgrundlage für die GmbH-Geschäftsführung darstellt, ist eindeutig mit Ja zu beantworten. Die Regelung verweist auf § 43 GmbHG (Sorgfaltspflicht der Geschäftsführer) und erweitert sie um die spezifischen NIS2-Pflichten:

• § 38 Abs. 1 BSIG: Die Geschäftsleitung besonders wichtiger Einrichtungen muss die Cybersicherheits-Risikomanagement-Maßnahmen genehmigen und ihre Umsetzung überwachen.
• § 38 Abs. 2 BSIG: Die Geschäftsleitung muss an Schulungen teilnehmen, um die Risiken bewerten und angemessene Maßnahmen ergreifen zu können.
• § 30 BSIG: Definiert die konkreten Sicherheitsmaßnahmen, die umgesetzt werden müssen.
• § 43 GmbHG: Der Geschäftsführer haftet für Verletzung der Sorgfaltspflichten mit seinem Privatvermögen.

Diese Konstruktion bedeutet: Wenn ein Sicherheitsvorfall eintritt und die Geschäftsführung nachweislich keine angemessenen Maßnahmen genehmigt hat, haftet sie persönlich — unabhängig davon, ob ein ISMS vorhanden ist oder nicht.

Geschäftsführer-Schulung nach NIS2: Was Sie wissen müssen

NIS2 verlangt nicht nur, dass die Geschäftsführung Schulungen anordnet — sie muss selbst an Cybersicherheits-Schulungen teilnehmen. Unsere NIS2-Geschäftsführer-Schulung vermittelt in 3 Stunden:

• Die konkreten Haftungsrisiken nach § 38 NIS2UmsuCG und deren Bedeutung für Ihr Unternehmen
• Die IT-Sicherheitsmaßnahmen, die Sie als Geschäftsführer kennen und genehmigen müssen
• Nachweis-Dokumentation: Wie Sie Ihre Sorgfaltspflicht belegen und die Haftung minimieren
• Meldepflichten: Was bei Sicherheitsvorfällen in 24 Stunden zu tun ist
• Praktische Schritte zur Risikominimierung — auch bei begrenztem Budget

Die Schulung wird als Nachweis dokumentiert und dient der Entlastung im Haftungsfall. Kombinierbar mit unserer allgemeinen Datenschutzschulung für das gesamte Team.

Betroffenheitsanalyse: Fallen Sie unter NIS2?

Bevor Sie in die Umsetzung investieren, klären wir: Ist Ihr Unternehmen tatsächlich von NIS2 betroffen? Als besonders wichtige Einrichtung? Als wichtige Einrichtung? Oder nur indirekt über die Lieferkette? Die Antwort bestimmt den Umfang Ihrer Pflichten — und Ihrer persönlichen Haftung.

Seit Dezember 2025 gilt: Betroffene Unternehmen hätten sich beim BSI (Bundesamt für Sicherheit in der Informationstechnik) registrieren müssen. Wer dies versäumt hat, sollte die Registrierung umgehend nachholen.

NIS2 macht Cybersicherheit zur Chefsache: Die Pflichten im AktG und GmbHG

Die Geschäftsführerhaftung nach NIS2 ergänzt bestehende gesellschaftsrechtliche Pflichten. Für GmbH-Geschäftsführer gilt § 43 GmbHG (Sorgfaltspflicht), für Vorstände einer AG § 93 AktG (Sorgfaltspflicht des Vorstands). NIS2 konkretisiert diese allgemeinen Sorgfaltspflichten um spezifische Cybersicherheits-Anforderungen.

Geschäftsführer und Vorstände können sich nicht darauf berufen, das Thema Cybersicherheit nicht verstanden zu haben. Die Mitglieder der Geschäftsleitung müssen über ausreichende Kenntnisse verfügen, um Cyberrisiken zu bewerten und bei einem Sicherheitsvorfall angemessen zu reagieren. Die Geschäftsleitung haftet gegenüber der eigenen Gesellschaft — bei einer GmbH nach § 43 Abs. 2 GmbHG, bei einer AG nach § 93 Abs. 2 AktG. NIS2 macht Cybersicherheit damit zu einem Pflichtthema auf der Geschäftsleitungsebene. Leitungsorgane, die Cyberrisiken nicht systematisch bewerten, können persönlich haftbar gemacht werden — die Geschäftsführerhaftung nach dem BSI-Gesetz lässt hier keinen Spielraum.

Viele Unternehmen und ihre Geschäftsführer unterschätzen die persönlichen Konsequenzen. Ein BSI IT-Grundschutz oder ein ISMS nach ISO 27001 kann zwar die Haftung minimieren, aber die Geschäftsführung muss aktiv involviert sein — nicht nur formal die Maßnahmen nach § 30 BSIG genehmigen, sondern deren Wirksamkeit überwachen.

Haftung minimieren: Praktische Maßnahmen für Geschäftsführer

Um die persönliche Haftung zu minimieren, empfiehlt Nils Oehmichen folgende dokumentierte Maßnahmen:

1. NIS2-Compliance-Beschluss: Formaler Geschäftsführungsbeschluss zur Umsetzung der NIS2-Anforderungen — schriftlich protokolliert
2. Budget-Freigabe: Dokumentierte Bereitstellung angemessener Ressourcen für IT-Sicherheit
3. Regelmäßiges Reporting: Quartalsberichte zur IT-Sicherheit an die Geschäftsleitung — mit Risikobewertung und Fortschrittskontrolle
4. Schulungsnachweis: Dokumentierte Teilnahme an Cybersicherheits-Schulungen — mindestens jährlich
5. Incident-Response-Plan: Verabschiedeter und getesteter Meldeprozess für die 24h/72h-Fristen beim BSI

Jede dieser Maßnahmen dient als Nachweis angemessener Sorgfalt im Haftungsfall. Die Verantwortung der Geschäftsleitung kann nicht auf den IT-Leiter oder einen externen Dienstleister übertragen werden — aber dokumentierte Compliance-Maßnahmen belegen, dass die Geschäftsführung ihren Pflichten nachgekommen ist.

Unsere NIS2-Beratung begleitet Sie von der Betroffenheitsanalyse bis zur vollständigen Umsetzung — inklusive IT-Sicherheitsberatung und Lieferketten-Compliance. Erreichen Sie uns über unser Kontaktformular oder buchen Sie ein Erstgespräch.

BSI-Gesetz und NIS2: Der rechtliche Rahmen

Das BSI-Gesetz (BSIG) bildet den nationalen Rahmen für die Umsetzung der NIS2-Richtlinie in Deutschland. Mit dem NIS2-Umsetzungsgesetz wurden die Anforderungen des BSI-Gesetzes erheblich erweitert. Das BSI-Gesetz definiert nun konkret, welche technische und organisatorische Maßnahmen Unternehmen umsetzen müssen, und regelt die Aufsichtsbefugnisse des BSI. Für Geschäftsführer ist das BSI-Gesetz deshalb zentral, weil es die Grundlage für ein mögliches Bußgeld und die persönliche Haftung bildet. Wer gegen die Anforderungen des BSI-Gesetzes verstößt, muss mit empfindlichen Sanktionen rechnen — bis hin zum temporären Berufsverbot.