Kostenloses Whitepaper

Persönliche Haftung unter NIS2 — Was Sie als Geschäftsführer jetzt wissen müssen

Seit Dezember 2025 haften Geschäftsführer persönlich für Cybersicherheit. Erfahren Sie in unserem Whitepaper, welche Risiken §38 NIS2UmsuCG für Sie bedeutet — und wie Sie sich absichern.

Über 43 Geschäftsführer in Hamburg vertrauen uns bereits

10 Mio. €

Max. Bußgeld bei NIS2-Verstößen

§38

Persönliche Haftung — nicht delegierbar

06.12.2025

NIS2UmsuCG in Kraft seit

2 %

des Jahresumsatzes als Strafe möglich

Zwei Drittel der betroffenen Unternehmen haben die BSI-Registrierungsfrist am 6. März 2026 verpasst. Das BSI hat aktive Durchsetzung angekündigt — und die persönliche Haftung der Geschäftsführung lässt sich weder delegieren noch versichern.

Was Sie im Whitepaper erfahren

Was §38 NIS2UmsuCG konkret bedeutet

Die persönliche Haftung in verständlichem Deutsch — nicht in Juristendeutsch.

Welche Pflichten Sie als GF haben

Die 10 Maßnahmen aus §30 BSIG-neu, für die Sie persönlich verantwortlich sind.

Wie hoch Ihr finanzielles Risiko ist

Bußgelder, Schadensersatz und Regressansprüche — mit echten Rechenbeispielen.

Warum eine D&O-Versicherung nicht reicht

Die NIS2-Haftung ist von der Enthaftung durch Versicherungen ausgenommen.

Welche Sofortmaßnahmen Sie schützen

5 Schritte, die Sie diese Woche umsetzen können — ohne großes Budget.

Checkliste: Bin ich als GF NIS2-compliant?

15-Punkte-Selbstcheck zum Ausdrucken und Abhaken.

Es kam wirklich häufig vor, dass es dann ein Aha-Erlebnis war. Die Geschäftsleitung sagte: Das war mir so gar nicht bewusst. Ich dachte, Datenschutz ist dafür da, um mich zu ärgern.

Nils Oehmichen

Datenschutzberater bei frag.hugo

Häufige Fragen

Für wen gilt die persönliche Haftung nach §38?

Für Geschäftsführer, Vorstände und Leitungsorgane aller Unternehmen, die unter NIS2 fallen — sowohl "besonders wichtige" als auch "wichtige" Einrichtungen. Die Haftung ist nicht auf den GF beschränkt, sondern gilt für alle Mitglieder der Geschäftsleitung.

Kann ich die NIS2-Haftung delegieren?

Nein. §38 Abs. 1 NIS2UmsuCG stellt klar, dass die Geschäftsleitung die Umsetzung der Cybersicherheitsmaßnahmen überwachen muss und für Verstöße haftet. Sie können die operative Umsetzung delegieren, aber die Aufsichtspflicht bleibt bei der Geschäftsleitung.

Deckt meine D&O-Versicherung NIS2-Verstöße ab?

In den meisten Fällen nicht vollständig. Viele D&O-Policen schließen bewusste Pflichtverletzungen aus. Zudem sieht §38 Abs. 3 NIS2UmsuCG vor, dass die Einrichtung auf Schadensersatzansprüche gegen die Geschäftsleitung nicht verzichten darf.

Was passiert, wenn ich die BSI-Registrierungsfrist verpasst habe?

Die Frist für "besonders wichtige Einrichtungen" lief am 6. März 2026 ab. Das BSI kann Bußgelder verhängen. Registrieren Sie sich trotzdem schnellstmöglich — die Nachregistrierung ist besser als gar keine Registrierung.

Wie kann frag.hugo mir als Geschäftsführer helfen?

Wir übernehmen die NIS2-Compliance als externe Berater: Gap-Analyse, Maßnahmenumsetzung, BSI-Registrierung und laufende Dokumentation. So haben Sie den Nachweis, dass Sie Ihre Aufsichtspflicht erfüllen.

Jetzt kostenlos herunterladen

Tragen Sie Ihre E-Mail ein und erhalten Sie sofort Zugriff.