NIS2 ist nicht nur ein IT-Gesetz. Es ist ein Governance-Gesetz — und es trifft die Geschäftsführung persönlich. NIS2 Art. 20 verpflichtet Leitungsorgane zur aktiven Verantwortungsübernahme für Cybersicherheit. Wer diese Pflicht vernachlässigt, riskiert persönliche Haftung — unabhängig davon, ob er oder sie technisch versiert ist.

Geschäftsführer — Verantwortung und Dokumentation
Cybersicherheit ist unter NIS2 Chefsache — nicht IT-Sache. Foto: Unsplash

Was sagt NIS2 Art. 20 genau?

NIS2 Artikel 20 trägt den Titel „Governance" und enthält eine in dieser Form neue regulatorische Anforderung: Die Leitungsorgane wesentlicher und wichtiger Einrichtungen müssen Cybersicherheitsmaßnahmen billigen, deren Umsetzung überwachen und sich regelmäßig schulen lassen.

Der Wortlaut des Artikels ist eindeutig:

„Die Leitungsorgane wesentlicher und wichtiger Einrichtungen billigen die von diesen Einrichtungen zur Einhaltung dieser Richtlinie ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit und überwachen deren Umsetzung."
— NIS2-Richtlinie, Art. 20 Abs. 1

Entscheidend: Das Leitungsorgan kann diese Aufgabe nicht delegieren. Es kann die operative Umsetzung an IT-Mitarbeitende oder externe Dienstleister delegieren — aber die Verantwortung und Überwachungspflicht verbleibt beim Geschäftsführer oder Vorstand persönlich.

Was bedeutet das in der Praxis?

Viele Geschäftsführer glauben, sie seien durch ihre IT-Abteilung, einen externen IT-Dienstleister oder einen Datenschutzbeauftragten abgesichert. Das ist ein gefährlicher Irrtum.

Unter NIS2 müssen Geschäftsführer:

Cybersicherheitsmaßnahmen formell billigen

Die GF muss die implementierten Sicherheitsmaßnahmen aktiv genehmigen — nicht nur zur Kenntnis nehmen. Diese Billigung muss dokumentiert sein.

Die Umsetzung aktiv überwachen

Regelmäßige Berichte über den Compliance-Status einfordern und auf Basis dieser Berichte nachweisbar handeln.

Regelmäßige Schulungen absolvieren

NIS2 schreibt vor, dass Leitungsorgane ausreichende Kenntnisse über Cyberrisiken erwerben und pflegen müssen — mit dokumentierbaren Schulungsmaßnahmen.

Im Schadensfall Rechenschaft ablegen

Bei einem Sicherheitsvorfall muss die GF nachweisen können, dass sie ihrer Aufsichtspflicht nachgekommen ist. Die Beweislast liegt beim Unternehmen — nicht bei der Behörde.

Konkrete Haftungsszenarien

Wie sieht persönliche GF-Haftung unter NIS2 in der Praxis aus? Drei realistische Szenarien:

SZ1
Ransomware-Angriff ohne Incident-Response-Plan

Ein Ransomware-Angriff legt das Unternehmen für 12 Tage lahm. Es existiert kein dokumentierter IR-Plan. Die Behörde stellt fest, dass die GF keine Maßnahmen zur Vorbereitung auf einen Vorfall getroffen hat. Ergebnis: Bußgeld gegen das Unternehmen, persönliche Haftung der GF für die Verletzung der Aufsichtspflicht, mögliche Schadensersatzansprüche betroffener Kunden.

SZ2
Datenpanne ohne Meldung innerhalb von 24 Stunden

Ein Sicherheitsvorfall wird entdeckt, aber intern nicht als meldepflichtig eingestuft. Die Erstmeldung erfolgt erst nach 5 Tagen. Die GF wusste vom Vorfall, aber das Meldeverfahren war weder dokumentiert noch bekannt. Ergebnis: Eigenständiges Bußgeld für die Meldepflichtverletzung, zusätzlich zum Bußgeld für den eigentlichen Sicherheitsmangel.

SZ3
Kompromittierter IT-Dienstleister ohne Lieferanten-Risikobewertung

Ein Cloud-Anbieter wird angegriffen und Kundendaten gelangen in falsche Hände. Das Unternehmen hat keine Sicherheitsanforderungen im Dienstleistervertrag und keine Lieferanten-Risikobewertung. Ergebnis: Die GF kann nicht nachweisen, dass sie ihrer Sorgfaltspflicht gegenüber Drittanbietern nachgekommen ist — persönliche Haftung ist wahrscheinlich.

Rechtliche Haftung — Dokumentation und Nachweise
Im Streitfall zählt nur was dokumentiert ist. Regulierer akzeptieren keine mündlichen Versicherungen. Foto: Unsplash

D&O-Versicherung: Der häufigste Irrtum

Viele Geschäftsführer glauben, ihre D&O-Versicherung (Directors & Officers) schütze sie vor den Folgen von NIS2-Verstößen. Das stimmt in dieser Pauschalität nicht.

D&O-Versicherungen schließen typischerweise aus:
  • Vorsätzliche Pflichtverletzungen (wenn die GF wissentlich Maßnahmen unterlassen hat)
  • Bußgelder und Geldstrafen aus regulatorischen Verstößen
  • Schäden, die durch grobe Fahrlässigkeit entstanden sind
  • Strafschadensersatz

Vor allem: Wenn eine GF nachweislich keine Maßnahmen zur NIS2-Compliance ergriffen hat und dies der Behörde bekannt ist, kann die Versicherung die Leistung verweigern. Die Versicherung deckt Fehler trotz Sorgfalt — nicht fehlende Sorgfalt.

Wie Geschäftsführer sich konkret schützen

Nachweisen
dass Maßnahmen ergriffen wurden
Überwachen
dass Maßnahmen wirksam sind
Dokumentieren
dass beides belegt werden kann

Der Schutz vor persönlicher Haftung besteht aus drei Elementen:

Formelle Billigung der Sicherheitsmaßnahmen

Protokollieren Sie in Geschäftsführer- oder Vorstandssitzungen, dass Cybersicherheitsmaßnahmen besprochen und genehmigt wurden. Datum, Inhalt und Entscheidung müssen im Protokoll stehen.

Regelmäßige Compliance-Berichte

Lassen Sie sich quartalsweise schriftliche Berichte über den Compliance-Status vorlegen. Die Tatsache, dass Sie Berichte eingefordert und erhalten haben, ist ein wichtiger Nachweis Ihrer Aufsichtspflicht.

Nachweisbare Schulungen

Nehmen Sie an Cybersicherheits-Schulungen teil und lassen Sie diese dokumentieren. Die Schulungsteilnahme ist explizit in NIS2 gefordert und schützt Sie im Haftungsfall.

Strukturierte Dokumentation — zentral und revisionssicher

Alle Maßnahmen, Entscheidungen und Reviews müssen mit Zeitstempel und Verantwortlichem gespeichert sein — in einem System, das im Prüfungsfall sofort exportierbar ist.

Warum Dokumentation der entscheidende Schutz ist

Im Kern läuft GF-Haftungsschutz auf eine einzige Frage hinaus: Können Sie beweisen, dass Sie Ihre Pflichten erfüllt haben?

Regulierer und Gerichte akzeptieren keine mündlichen Versicherungen. Was nicht dokumentiert ist, hat keine Beweiskraft. Das bedeutet:

  • Mündliche Absprachen in Meetings reichen nicht
  • E-Mails ohne klare Entscheidungsstruktur reichen nicht
  • Ein IT-Sicherheitskonzept in einer Schublade, das niemand kennt, reicht nicht
  • Die Behauptung, man hätte IT-Sicherheit „immer ernst genommen", reicht nicht

Was funktioniert: Ein Compliance-System, das Maßnahmen mit Datum, Verantwortlichem und Wirksamkeitsnachweis erfasst — und bei Bedarf einen strukturierten Prüfungsbericht generiert, den Sie einer Behörde vorlegen können.

3-Minuten Self-Check: Prüfen Sie kostenlos, ob Ihre Organisation die wichtigsten NIS2 Art. 20 Anforderungen erfüllt — und erhalten Sie sofort einen priorisierten Maßnahmenplan.
→ Self-Check starten
Über Neurobird

Neurobird ist ein Compliance-Betriebssystem für NIS2 und DORA. Es dokumentiert Maßnahmen revisionssicher, erinnert Verantwortliche automatisch und erstellt bei Bedarf einen vollständigen Prüfungsbericht — damit Geschäftsführer ihre Aufsichtspflicht nachweisbar erfüllen können.

Beta-Zugang sichern →