NIS2 Geschäftsführerhaftung – Ihr persönliches Risiko bei Verstößen

Inhalt in Kürze

• Geschäftsführer haften persönlich für Cybersicherheit – mit dem Privatvermögen. Ein Haftungsverzicht ist gesetzlich ausgeschlossen.
• § 38 BSIG verpflichtet Sie, Risikomanagement-Maßnahmen zu genehmigen, deren Umsetzung zu überwachen und regelmäßig an Schulungen teilzunehmen.
• Bußgelder bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes drohen bei Verstößen.
• Delegation schützt nicht. Auch wenn Sie einen CISO oder IT-Leiter haben – die Verantwortung bleibt bei Ihnen.

Seit Dezember 2025 ist das NIS2-Umsetzungsgesetz in Kraft. Damit hat sich für Geschäftsführer in Deutschland etwas Grundlegendes verändert: Cybersicherheit ist keine IT-Aufgabe mehr. Sie ist Chefsache. Und zwar nicht im übertragenen Sinn – sondern im juristischen.

Wer als Geschäftsführer seine NIS2-Pflichten ignoriert, haftet persönlich. Mit dem eigenen Vermögen. Ohne Obergrenze. Und ohne die Möglichkeit, diese Haftung vertraglich auszuschließen.

Was § 38 BSIG von Ihnen verlangt

Der § 38 BSIG – die zentrale Vorschrift aus dem NIS2-Umsetzungsgesetz – richtet sich direkt an Sie als Geschäftsführer, Vorstand oder Mitglied der Geschäftsleitung. Die Pflichten sind klar definiert:

Absatz 1 – Genehmigung und Überwachung: Sie müssen die Risikomanagement-Maßnahmen nach § 30 BSIG persönlich billigen. Das bedeutet: Sie müssen verstehen, welche Cyberrisiken Ihr Unternehmen hat, welche Maßnahmen ergriffen werden und ob diese ausreichen. Außerdem müssen Sie die Umsetzung aktiv überwachen.

Absatz 2 – Persönliche Haftung: Verletzen Sie diese Pflichten schuldhaft, haften Sie Ihrer Gesellschaft gegenüber auf Schadensersatz. Die Haftung richtet sich nach den jeweiligen gesellschaftsrechtlichen Regelungen – § 43 GmbHG, § 93 AktG. Ein vertraglicher Haftungsverzicht ist ausdrücklich ausgeschlossen.

Absatz 3 – Schulungspflicht: Sie müssen regelmäßig an Schulungen teilnehmen, um Cyberrisiken bewerten und angemessene Maßnahmen beurteilen zu können. Branchenüblich sind Schulungen alle drei Jahre mit einem Umfang von etwa vier Stunden.

Warum viele Geschäftsführer das Risiko unterschätzen

Die Erfahrung zeigt: Viele Geschäftsführer wissen nicht, dass sie persönlich haften. Sie behandeln Cybersicherheit wie Datenschutz vor zehn Jahren – als lästige Pflicht, die „irgendwer in der IT” erledigt.

Es kam wirklich häufig vor, dass es dann ein Aha-Erlebnis war. Die Geschäftsleitung sagte: Das war mir so gar nicht bewusst. Ich dachte, Datenschutz ist dafür da, um mich zu ärgern.

Nils OehmichenDatenschutzberater bei frag.hugo

Dieses Muster wiederholt sich jetzt bei NIS2. Nur sind die Konsequenzen härter. Denn anders als bei der DSGVO richtet sich die NIS2-Haftung nicht nur an das Unternehmen. Sie richtet sich an die Person, die das Unternehmen leitet.

Was passiert bei einem Verstoß?

Die Konsequenzen eines NIS2-Verstoßes treffen Sie auf mehreren Ebenen:

Bußgelder gegen das Unternehmen

Für besonders wichtige Einrichtungen drohen Bußgelder bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt die Grenze bei 7 Mio. Euro oder 1,4 % des Jahresumsatzes.

Persönlicher Schadensersatz

Entsteht Ihrem Unternehmen ein Schaden durch mangelnde Cybersicherheit, kann das Unternehmen Sie persönlich in Regress nehmen. Ein Ransomware-Angriff, der den Betrieb für zwei Wochen lahmlegt, kann siebenstellige Schäden verursachen. Wenn nachweisbar ist, dass Sie Ihre Überwachungspflichten verletzt haben, haften Sie dafür.

Behördliche Maßnahmen

Das BSI kann Audits anordnen, Nachweise verlangen und bei Verstößen Maßnahmen bis hin zur vorübergehenden Untersagung der Geschäftsführertätigkeit einleiten. Seit März 2026 prüft das BSI aktiv.

Checkliste: Ihre Pflichten als Geschäftsführer unter NIS2

Diese Punkte müssen Sie als Geschäftsführer persönlich sicherstellen:

• Betroffenheit prüfen: Fällt Ihr Unternehmen unter NIS2? Prüfen Sie Branche und Schwellenwerte.
• Risikomanagement genehmigen: Billigen Sie die Maßnahmen nach § 30 BSIG – schriftlich und dokumentiert.
• Umsetzung überwachen: Lassen Sie sich regelmäßig über den Stand der Cybersicherheit berichten. Mindestens quartalsweise.
• Schulung absolvieren: Nehmen Sie an einer NIS2-Schulung teil. Dokumentieren Sie Datum und Inhalt.
• Meldeprozesse einrichten: Stellen Sie sicher, dass Sicherheitsvorfälle innerhalb von 24 Stunden gemeldet werden können.
• Lieferkette absichern: Fordern Sie Nachweise zur Cybersicherheit von Ihren Lieferanten und Dienstleistern.
• Dokumentation führen: Halten Sie alle Maßnahmen, Entscheidungen und Schulungen nachweisbar fest.
• BSI-Registrierung prüfen: Besonders wichtige Einrichtungen mussten sich bis März 2026 registrieren.

Wie Sie sich als Geschäftsführer absichern

Die gute Nachricht: Sie können Ihr Haftungsrisiko erheblich reduzieren. Nicht durch Wegschauen – sondern durch nachweisbares Handeln.

1. Lassen Sie eine Gap-Analyse durchführen. Wo steht Ihr Unternehmen heute? Was fehlt? Eine strukturierte Bestandsaufnahme zeigt Ihnen die Lücken – und gibt Ihnen einen konkreten Maßnahmenplan. So funktioniert auch der Schritt-für-Schritt-Prozess zur NIS2-Umsetzung.

2. Dokumentieren Sie alles. Im Haftungsfall entscheidet die Dokumentation. Können Sie nachweisen, dass Sie sich mit Cybersicherheit befasst haben? Dass Sie Maßnahmen genehmigt und deren Umsetzung überwacht haben? Dann wird ein Gericht deutlich milder urteilen als bei einem Geschäftsführer, der das Thema ignoriert hat.

3. Holen Sie sich externe Unterstützung. Niemand erwartet, dass Sie als Geschäftsführer ein IT-Sicherheitsexperte sind. Aber Sie müssen nachweisen, dass Sie sich kompetent beraten lassen. Ein externer Datenschutz- und Sicherheitsberater kann die fachliche Grundlage liefern, auf der Sie Ihre Entscheidungen treffen.

4. Schulungen ernst nehmen. Die Schulungspflicht ist keine Formalie. Sie ist Ihr Schutzschild. Wer nachweislich geschult ist und auf dieser Basis entscheidet, dem kann man schwer Fahrlässigkeit vorwerfen.

Ihr nächster Schritt

Geschäftsführerhaftung in Hamburg: Was NIS2 für Sie bedeutet

In Hamburg sitzen zahlreiche Geschäftsführer von Logistik-, Energie- und IT-Unternehmen, die direkt unter NIS2 fallen. Die Handelskammer Hamburg hat bereits auf die verschärfte Haftungslage hingewiesen. Wer als Geschäftsführer in der Hansestadt die NIS2-Pflichten noch nicht umgesetzt hat, trägt ein konkretes persönliches Risiko. Unsere NIS2-Beratung in Hamburg zeigt Ihnen in einem Erstgespräch, wo Sie stehen und was noch fehlt.

Häufige Fragen (FAQ)

Haften Geschäftsführer persönlich bei NIS2-Verstößen?

Ja. § 38 BSIG-neu sieht eine persönliche Haftung der Geschäftsleitung vor, wenn Cybersicherheitsmaßnahmen nicht umgesetzt oder nicht überwacht werden. Diese Haftung kann nicht auf Mitarbeiter oder externe Dienstleister delegiert werden.

Welche Pflichten haben Geschäftsführer unter NIS2 konkret?

Geschäftsführer müssen die Cybersicherheitsmaßnahmen nach § 30 BSIG-neu genehmigen, deren Umsetzung überwachen und regelmäßig an Schulungen teilnehmen. Die Verantwortung liegt persönlich bei der Geschäftsleitung.

Kann ich die NIS2-Verantwortung an den IT-Leiter delegieren?

Die operative Umsetzung können Sie delegieren, nicht aber die Letztverantwortung. Sie müssen als Geschäftsführer die Maßnahmen genehmigen und deren Umsetzung aktiv überwachen. Bei Pflichtverletzung haften Sie persönlich.

Schützt eine D&O-Versicherung vor NIS2-Haftung?

Eine D&O-Versicherung kann finanzielle Schäden aus der persönlichen Haftung abfedern. Sie schützt aber nicht vor Bußgeldern und Ordnungswidrigkeiten. Zudem prüfen Versicherer zunehmend, ob angemessene Cybersicherheitsmaßnahmen vorhanden sind.

Ab wann gilt die persönliche Geschäftsführerhaftung nach NIS2?

Die Haftung gilt ab Inkrafttreten des deutschen NIS2-Umsetzungsgesetzes. Da das Gesetzgebungsverfahren läuft, sollten Geschäftsführer jetzt handeln – wer erst nach Inkrafttreten reagiert, riskiert bereits Haftungsansprüche.