Zurück zum Blog Compliance

NIS2: Persoenliche Haftung fuer Geschaeftsfuehrer - Was Sie jetzt wissen muessen

Mit der NIS2-Richtlinie haften Geschaeftsfuehrer persoenlich fuer Versaeumnisse bei der IT-Sicherheit. Wir zeigen Ihnen, was konkret droht und wie Sie in 90 Tagen handlungsfaehig werden.

03. April 2026 8 Min. Lesezeit

Als Geschaeftsfuehrer haften Sie persoenlich

Die NIS2-Richtlinie veraendert die Spielregeln fuer Geschaeftsfuehrer grundlegend. Seit der Umsetzung in deutsches Recht koennen Sie als Geschaeftsfuehrer persoenlich und mit Ihrem Privatvermoegen fuer Versaeumnisse bei der IT-Sicherheit haften. Das ist kein theoretisches Szenario, sondern geltendes Recht.

Bisher konnten Sie IT-Sicherheit an Ihre IT-Abteilung oder einen externen Dienstleister delegieren und waren damit aus dem Schneider. Das ist mit NIS2 vorbei. Die Richtlinie verlangt ausdruecklich, dass die Geschaeftsfuehrung die Verantwortung fuer Cybersicherheit uebernimmt, Massnahmen genehmigt und deren Umsetzung ueberwacht. Delegieren koennen Sie die Ausfuehrung, aber nicht die Verantwortung.

⚠️ Wichtig: NIS2 sieht persoenliche Bussgelder von bis zu 2 % des weltweiten Jahresumsatzes vor. Bei einem KMU mit 5 Millionen Euro Umsatz sind das bis zu 100.000 Euro, die Sie als Geschaeftsfuehrer persoenlich zahlen. Hinzu kommt: Ihr Unternehmen darf diese Strafe nicht fuer Sie uebernehmen.

NIS2 im Schnellueberblick

Die NIS2-Richtlinie (Network and Information Security Directive 2) ist die EU-weite Regulierung fuer Cybersicherheit, die in Deutschland durch das NIS2-Umsetzungsgesetz in nationales Recht ueberfuehrt wurde. Sie betrifft deutlich mehr Unternehmen als die urspruengliche NIS-Richtlinie und schliesst erstmals auch viele mittelstaendische Betriebe ein.

Hinweis

Dieser Artikel konzentriert sich auf die persoenliche Haftung der Geschaeftsfuehrung. Einen umfassenden Ueberblick darueber, was NIS2 ist, wer betroffen ist und welche Fristen gelten, finden Sie in unserem Artikel NIS2: Was Unternehmen jetzt wissen muessen.

Persoenliche Haftung: Was genau droht Ihnen?

Die persoenliche Haftung unter NIS2 geht weit ueber das hinaus, was Geschaeftsfuehrer bisher von der DSGVO kennen. Drei zentrale Risiken muessen Sie verstehen:

1. Direkte persoenliche Bussgelder

Das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) kann als zustaendige Aufsichtsbehoerde Bussgelder direkt gegen die Geschaeftsfuehrung verhaengen. Das Unternehmen darf die Strafe nicht erstatten. Das bedeutet: Das Geld kommt aus Ihrem Privatvermoegen.

2. Persoenliche Schadensersatzansprueche

Erleidet Ihr Unternehmen durch einen Cyberangriff Schaeden und Sie haben Ihre NIS2-Pflichten nicht erfuellt, kann das Unternehmen bzw. die Gesellschafter Sie persoenlich auf Schadensersatz verklagen. Das gilt auch, wenn ein Angriff deshalb erfolgreich war, weil die von Ihnen genehmigten Sicherheitsmassnahmen ungenuegend waren.

3. D&O-Versicherung schuetzt moeglicherweise nicht

Viele Geschaeftsfuehrer verlassen sich auf ihre Directors-and-Officers-Versicherung (D&O). Doch Vorsicht: Zahlreiche D&O-Policen schliessen vorsaetzliche Pflichtverletzungen und wissentliche Verstoesse aus. Wenn Sie wissen, dass Ihr Unternehmen NIS2-pflichtig ist, aber nichts unternehmen, koennte Ihre Versicherung die Deckung verweigern. Pruefen Sie Ihre Police jetzt.

  • Bussgelder bis zu 2 % des Jahresumsatzes, die Sie persoenlich tragen muessen
  • Das Unternehmen darf die persoenliche Strafe nicht uebernehmen oder erstatten
  • Schadensersatzansprueche des Unternehmens bei unzureichenden Sicherheitsmassnahmen
  • D&O-Versicherung kann Deckung bei wissentlicher Pflichtverletzung verweigern
  • Temporaeres Berufsverbot als Geschaeftsfuehrer bei schweren Verstoessen
  • Reputationsverlust bei Bekanntwerden von Sanktionen

Bin ich betroffen? Der Quick-Check fuer Geschaeftsfuehrer

Ob Ihr Unternehmen unter NIS2 faellt, haengt von Branche und Unternehmensgroesse ab. Grundsaetzlich sind Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in bestimmten Sektoren betroffen. Aber Achtung: Auch kleinere Unternehmen koennen als Teil einer Lieferkette indirekt betroffen sein.

Kriterium Wesentliche Einrichtung Wichtige Einrichtung
Mitarbeiter ab 250 ab 50
Jahresumsatz ab 50 Mio. Euro ab 10 Mio. Euro
Bilanzsumme ab 43 Mio. Euro ab 10 Mio. Euro
Max. Bussgeld Unternehmen 10 Mio. Euro oder 2 % Umsatz 7 Mio. Euro oder 1,4 % Umsatz
Aufsicht proaktiv durch BSI reaktiv (nach Vorfall)

Betroffene Branchen in der Region Suedbaden

Fuer Geschaeftsfuehrer in Baden-Wuerttemberg sind besonders diese Sektoren relevant, da sie in der Region stark vertreten sind:

Verarbeitendes Gewerbe / Produktion

Maschinenbau, Automobilzulieferer, Medizintechnik, Lebensmittelproduktion - alle ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz

Digitale Infrastruktur & IT-Dienste

Rechenzentren, Managed-Service-Provider, Cloud-Anbieter, Softwareunternehmen - teils unabhaengig von der Groesse

Gesundheitswesen

Krankenhaeuser, groessere Arztpraxen-Netzwerke, Medizintechnik-Hersteller, Labore

Energie & Versorgung

Stadtwerke, Energieversorger, Wasserwerke - auch kommunale Betriebe in Suedbaden

Logistik & Transport

Speditionen, Lagerbetriebe, Post- und Kurierdienste ab der Groessenschwelle

Abfallwirtschaft

Entsorgungsunternehmen und Recyclingbetriebe in der Region

Lieferketten-Effekt: Auch wenn Ihr Unternehmen die Groessenschwellen nicht erreicht, koennen groessere Kunden oder Auftraggeber NIS2-konforme Sicherheitsstandards von Ihnen verlangen. Als Zulieferer in Baden-Wuerttemberg sollten Sie pruefen, ob Ihre Geschaeftspartner NIS2-pflichtig sind.

Die 5 Pflichten des Geschaeftsfuehrers unter NIS2

NIS2 definiert ausdruecklich, welche Aufgaben die Geschaeftsfuehrung nicht delegieren kann. Diese fuenf Pflichten muessen Sie als Geschaeftsfuehrer persoenlich erfuellen:

1

Risikomanagement-Massnahmen genehmigen

Sie muessen die IT-Sicherheitsstrategie Ihres Unternehmens aktiv genehmigen. Das bedeutet nicht, dass Sie jede Firewall-Regel kennen muessen, aber Sie muessen das Gesamtkonzept verstehen, freigeben und dokumentiert abzeichnen.

2

Umsetzung der Massnahmen ueberwachen

Es reicht nicht, Massnahmen zu genehmigen und dann nie wieder hinzuschauen. Sie muessen sich regelmaessig - mindestens quartalsweise - ueber den Stand der IT-Sicherheit berichten lassen und die Berichte nachweisbar zur Kenntnis nehmen.

3

An Cybersecurity-Schulungen teilnehmen

Als Geschaeftsfuehrer muessen Sie persoenlich an Schulungen zur Cybersicherheit teilnehmen. Sie muessen in der Lage sein, Risiken einzuschaetzen und fundierte Entscheidungen zu treffen. Eine einmalige Schulung reicht nicht - es geht um kontinuierliche Weiterbildung.

4

Meldepflichten sicherstellen

Bei einem erheblichen Sicherheitsvorfall muss innerhalb von 24 Stunden eine Erstmeldung an das BSI erfolgen. Innerhalb von 72 Stunden folgt eine detaillierte Meldung. Sie muessen sicherstellen, dass die Prozesse dafuer existieren und funktionieren.

5

Dokumentation und Nachweispflicht

Alle Massnahmen, Entscheidungen und Schulungen muessen lueckenlos dokumentiert sein. Im Ernstfall muessen Sie gegenueber dem BSI nachweisen koennen, dass Sie Ihre Pflichten erfuellt haben. Ohne Dokumentation gilt die Pflicht als nicht erfuellt.

Was passiert bei Verstoessen? Konkrete Bussgelder

Die Bussgelder unter NIS2 sind erheblich und gestaffelt. Entscheidend ist, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung eingestuft wird:

Verstoss Bussgeld wesentliche Einrichtung Bussgeld wichtige Einrichtung
Fehlende Risikomanagement-Massnahmen bis 10 Mio. Euro oder 2 % Umsatz bis 7 Mio. Euro oder 1,4 % Umsatz
Verspaetete oder fehlende Vorfallmeldung bis 10 Mio. Euro oder 2 % Umsatz bis 7 Mio. Euro oder 1,4 % Umsatz
Mangelnde Kooperation mit dem BSI bis 10 Mio. Euro oder 2 % Umsatz bis 7 Mio. Euro oder 1,4 % Umsatz
Fehlende Geschaeftsfuehrer-Schulung Persoenliches Bussgeld + Haftung Persoenliches Bussgeld + Haftung
Unzureichende Dokumentation Beweislastumkehr zu Ihren Lasten Beweislastumkehr zu Ihren Lasten

Zum Vergleich: Ein mittelstaendischer Zulieferer in Baden-Wuerttemberg mit 80 Mitarbeitern und 15 Millionen Euro Jahresumsatz riskiert als wichtige Einrichtung ein Bussgeld von bis zu 210.000 Euro (1,4 % des Umsatzes). Als Geschaeftsfuehrer haften Sie dafuer persoenlich.

NIS2 vs. DSGVO: Der Unterschied bei der Haftung

Viele Geschaeftsfuehrer kennen die DSGVO-Haftung bereits. NIS2 geht in mehreren Punkten deutlich weiter. Dieser Vergleich zeigt die wichtigsten Unterschiede:

Aspekt DSGVO NIS2
Wer haftet primaer? Das Unternehmen als juristische Person Geschaeftsfuehrung persoenlich UND Unternehmen
Persoenliche Haftung Nur bei grober Pflichtverletzung ableitbar Ausdruecklich im Gesetz vorgesehen
Delegation moeglich? Datenschutzbeauftragter entlastet teilweise Verantwortung nicht delegierbar
Schulungspflicht fuer GF Nicht vorgeschrieben Persoenliche Teilnahme Pflicht
Erstattung durch Unternehmen Bussgeld traegt das Unternehmen Persoenliches Bussgeld darf nicht erstattet werden
Meldefrist bei Vorfall 72 Stunden 24 Stunden (Erstmeldung)
Aufsichtsbehoerde Landesdatenschutzbehoerde BSI (Bundesebene)
Fokus Schutz personenbezogener Daten IT-Sicherheit und Geschaeftskontinuitaet

⚠️ Wichtig: NIS2 und DSGVO gelten parallel. Ein Cyberangriff mit Datenabfluss loest sowohl NIS2-Meldepflichten (24 Stunden an das BSI) als auch DSGVO-Meldepflichten (72 Stunden an die Datenschutzbehoerde) aus. Verstoesse gegen beide Regelwerke koennen separat sanktioniert werden.

Praxisbeispiel: Zulieferer aus Baden-Wuerttemberg

Ein Beispiel, das die Situation vieler Unternehmen in unserer Region verdeutlicht:

Die Mustermann Praezisionstechnik GmbH in der Region Freiburg ist ein klassischer Mittelstaendler: 65 Mitarbeiter, 12 Millionen Euro Jahresumsatz, Zulieferer fuer die Automobilindustrie. Geschaeftsfuehrer Thomas M. hat eine IT-Abteilung mit zwei Mitarbeitern, die sich um Server, Netzwerk und Arbeitsplaetze kuemmert.

Als Unternehmen im verarbeitenden Gewerbe mit mehr als 50 Mitarbeitern und ueber 10 Millionen Euro Umsatz faellt die Mustermann GmbH als wichtige Einrichtung unter NIS2. Thomas M. hatte das lange nicht auf dem Schirm - er ging davon aus, dass NIS2 nur grosse Konzerne betrifft.

Was Thomas M. jetzt riskiert:

  • Bussgeld fuer das Unternehmen: bis zu 168.000 Euro (1,4 % von 12 Mio. Euro Umsatz)
  • Persoenliches Bussgeld, das er aus seinem Privatvermoegen zahlen muss
  • Schadensersatzansprueche der Gesellschafter, falls ein Cyberangriff Schaeden verursacht
  • Sein Hauptkunde, ein grosser Automobilhersteller, verlangt kuenftig NIS2-Konformitaet als Lieferantenvoraussetzung - ohne Nachweis droht der Verlust des wichtigsten Auftrags

Thomas M. hat verstanden, dass er handeln muss. Mit einem strukturierten 90-Tage-Plan und externer Unterstuetzung fuer die technische Umsetzung bringt er sein Unternehmen auf Kurs - und schuetzt gleichzeitig sein persoenliches Vermoegen.

Ihr 90-Tage-Aktionsplan

Sie muessen nicht alles auf einmal erledigen. Dieser Aktionsplan gibt Ihnen eine realistische Struktur, um in drei Monaten NIS2-Compliance zu erreichen:

Phase 1: Grundlagen (Tag 1-30)

1

NIS2-Betroffenheitsanalyse durchfuehren

Stellen Sie fest, ob Ihr Unternehmen als wesentliche oder wichtige Einrichtung gilt. Pruefen Sie Branche, Mitarbeiterzahl und Umsatz. Im Zweifel ziehen Sie rechtliche Beratung hinzu.

2

D&O-Versicherung pruefen

Lassen Sie Ihre D&O-Police von Ihrem Versicherungsmakler auf NIS2-Abdeckung pruefen. Ergaenzen Sie bei Bedarf Cyber-Bausteine.

3

IST-Analyse der IT-Sicherheit beauftragen

Lassen Sie den aktuellen Stand Ihrer IT-Sicherheit durch einen externen NIS2-Dienstleister bewerten. So erkennen Sie die groessten Luecken.

4

Geschaeftsfuehrer-Schulung absolvieren

Nehmen Sie an einer NIS2-Grundlagenschulung teil. Damit erfuellen Sie eine Ihrer Kernpflichten und verstehen die weiteren Schritte besser.

Phase 2: Umsetzung (Tag 31-60)

1

Risikomanagement-Strategie verabschieden

Erstellen und genehmigen Sie auf Basis der IST-Analyse eine IT-Sicherheitsstrategie. Dokumentieren Sie Ihre Genehmigung schriftlich.

2

Technische Massnahmen umsetzen

Schliessen Sie die identifizierten Sicherheitsluecken: Firewall-Konfiguration, Backup-Konzept, Netzwerksegmentierung, Endpoint-Security. Hier kommt Ihr IT-Dienstleister ins Spiel.

3

Vorfallmeldeprozess etablieren

Definieren Sie einen klaren Prozess: Wer erkennt Vorfaelle? Wer meldet intern? Wer meldet an das BSI? Testen Sie den Prozess mit einem Planspiel.

4

Mitarbeiterschulungen starten

Schulen Sie alle Mitarbeiter in IT-Sicherheit. NIS2 verlangt nachweisbare Sensibilisierung der gesamten Belegschaft.

Phase 3: Absicherung (Tag 61-90)

1

Dokumentation vervollstaendigen

Stellen Sie sicher, dass alle Massnahmen, Entscheidungen, Genehmigungen und Schulungen lueckenlos dokumentiert sind. Diese Dokumentation ist Ihr Nachweis gegenueber dem BSI.

2

Lieferketten-Anforderungen pruefen

Stellen Sie sicher, dass auch Ihre IT-Dienstleister und Zulieferer angemessene Sicherheitsstandards einhalten. Fordern Sie entsprechende Nachweise an.

3

Regelmaessiges Reporting aufsetzen

Etablieren Sie einen quartalsweisen IT-Sicherheitsbericht an die Geschaeftsfuehrung. Damit erfuellen Sie Ihre Ueberwachungspflicht dauerhaft.

4

Ersten internen Audit planen

Planen Sie fuer Monat 4-6 einen internen oder externen Audit, um die Wirksamkeit Ihrer Massnahmen zu ueberpruefen.

Checkliste fuer Geschaeftsfuehrer

Nutzen Sie diese Checkliste, um Ihren aktuellen Stand schnell einzuschaetzen. Jeder offene Punkt ist ein potenzielles Haftungsrisiko:

NIS2-Compliance: Persoenliche Pflichten des Geschaeftsfuehrers

  • Betroffenheit geprueft: Faellt mein Unternehmen unter NIS2?
  • D&O-Versicherung auf NIS2-Abdeckung geprueft
  • Persoenliche Cybersecurity-Schulung absolviert und dokumentiert
  • IT-Sicherheitsstrategie schriftlich genehmigt und unterschrieben
  • Quartalsweises IT-Sicherheits-Reporting an Geschaeftsfuehrung eingerichtet
  • Vorfallmeldeprozess (24h-Frist) definiert und getestet
  • Alle Mitarbeiter nachweisbar in IT-Sicherheit geschult
  • Technische Massnahmen (Firewall, Backup, Endpoint-Security) aktuell und dokumentiert
  • Lieferketten-Sicherheit geprueft und Nachweise eingeholt
  • Dokumentation aller Massnahmen vollstaendig und aktuell
  • Naechsten Audit-Termin festgelegt
  • Rechtsberatung zu NIS2-Pflichten eingeholt

Fazit: Handeln Sie jetzt - bevor das BSI anklopft

NIS2 ist keine weitere Regulierung, die man aussitzen kann. Als Geschaeftsfuehrer tragen Sie die persoenliche Verantwortung - und haften mit Ihrem Privatvermoegen. Die gute Nachricht: Mit einem strukturierten Vorgehen erreichen Sie in 90 Tagen einen soliden Compliance-Stand.

Den groessten Fehler, den Sie machen koennen, ist nichts zu tun. Denn Unwissenheit schuetzt nicht vor Strafe, und Untaetigkeit trotz Kenntnis ist unter NIS2 ein eigenstaendiger Haftungsgrund.

Als IT-Dienstleister in Suedbaden unterstuetzen wir Geschaeftsfuehrer dabei, die technischen Anforderungen der NIS2 umzusetzen: von der IST-Analyse ueber Firewall-Konfiguration und Backup-Konzepte bis hin zur Einrichtung von Monitoring- und Meldesystemen. Sie kuemmern sich um die strategischen Entscheidungen - wir sorgen dafuer, dass die Technik stimmt.

NIS2-Compliance: Wir uebernehmen die Technik

Sie tragen die Verantwortung als Geschaeftsfuehrer - wir sorgen dafuer, dass Ihre IT-Infrastruktur die NIS2-Anforderungen erfuellt. Von der Sicherheitsanalyse bis zur Umsetzung.

Beratungsgespraech vereinbaren 07663 / 409 445