Geschäftsführer haften jetzt persönlich für IT-Sicherheit
Mit NIS2 haftet die Geschäftsführung persönlich für die Cybersicherheit des Unternehmens. Bei groben Versäumnissen drohen Bußgelder von bis zu 10 Millionen Euro, und die Verantwortung lässt sich nicht einfach delegieren. Dieser Beitrag erklärt, wofür genau die Leitung geradesteht und mit welchen Schritten ihr euch nachweisbar entlastet.

Das Wichtigste in Kürze
Mit dem NIS2-Umsetzungsgesetz ist die Cybersicherheit endgültig zur Chefsache geworden. Das Gesetz verankert eine persönliche Haftung der Geschäftsleitung: Geschäftsführende müssen die Sicherheitsmaßnahmen aktiv billigen - ihre Umsetzung überwachen und selbst an Schulungen teilnehmen. Bei Verstößen drohen wesentlichen Einrichtungen Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes - je nachdem - welcher Betrag höher ist.
Diese Verantwortung lässt sich nicht an die IT-Abteilung oder einen Dienstleister abschieben. Ihr könnt die Umsetzung delegieren - die Verantwortung aber nicht. Für Entscheidende ohne IT-Hintergrund ist das eine echte Veränderung: IT-Sicherheit ist damit kein reines Technikthema mehr - sondern Teil der Sorgfaltspflicht der Unternehmensführung.
Was sich rechtlich geändert hat
Früher war IT-Sicherheit organisatorisch oft weit weg von der Geschäftsführung. NIS2 dreht das um: Die Leitungsebene muss die Risikomanagementmaßnahmen ausdrücklich genehmigen und ihre Wirksamkeit überwachen. Tut sie das nachweislich nicht - kann das im Schadensfall persönlich zugerechnet werden.
Wofür genau gehaftet wird
Es geht nicht darum - dass nie etwas passieren darf - kein Unternehmen ist hundertprozentig sicher. Gehaftet wird für das Unterlassen angemessener Vorkehrungen. Konkret betrifft das vor allem:
- Fehlende oder unwirksame Schutzmaßnahmen (z. B. keine MFA - keine getesteten Backups).
- Keine dokumentierte Risikobewertung der kritischen Systeme.
- Versäumte Meldungen von erheblichen Sicherheitsvorfällen an das BSI.
- Keine Aufsicht der Geschäftsleitung über die Umsetzung.
„Angemessene Maßnahmen" - übersetzt für Nicht-Juristen
Das Gesetz spricht von „angemessenen technischen und organisatorischen Maßnahmen nach dem Stand der Technik". Klingt vage - lässt sich aber herunterbrechen auf: Tut ihr das - was ein vergleichbares - sorgfältiges Unternehmen eurer Größe auch tun würde? Dazu zählen MFA - Backups - Patch-Management - Endpoint-Schutz - Schulungen und ein Notfallplan - alles dokumentiert.
So entlastet ihr euch - drei Bausteine
- Dokumentieren. Was nicht aufgeschrieben ist - gilt im Zweifel als nicht getan. Ein schlankes Sicherheitskonzept plus Nachweise (Schulungstermine - Backup-Tests) ist eure beste Absicherung.
- Regelmäßig prüfen lassen. Ein Penetrationstest weist nach - dass ihr eure Sicherheit ernsthaft kontrolliert - eines der stärksten Argumente im Ernstfall.
- Externe Betreuung holen. Ein Managed-Service-Partner setzt die technischen Pflichten um und liefert die Dokumentation. Die Aufsicht bleibt bei euch - der Aufwand sinkt deutlich.
Häufige Fragen zur Geschäftsführerhaftung (FAQ)
Kann ich die Haftung per Vertrag an meine IT-Firma weitergeben?
Nein. Die Umsetzung könnt ihr auslagern - die Leitungsverantwortung bleibt bei der Geschäftsführung.
Gilt das auch für GmbH-Geschäftsführer kleiner Betriebe?
Wenn euer Unternehmen unter NIS2 fällt - ja. Die persönliche Verantwortung der Leitung ist nicht an die Unternehmensgröße geknüpft - sondern an die Betroffenheit.
Schützt mich eine Cyber-Versicherung?
Sie kann finanzielle Schäden abfedern - ersetzt aber keine Schutzmaßnahmen. Viele Versicherer verlangen ohnehin Nachweise wie MFA und regelmäßige Tests - sonst zahlen sie nicht.
Was ist der schnellste erste Schritt?
Eine ehrliche Bestandsaufnahme: Welche der Pflichten erfüllt ihr heute schon - was fehlt - und wo ist nichts dokumentiert?
Fazit
NIS2 macht die Geschäftsleitung persönlich verantwortlich für die IT-Sicherheit des Unternehmens. Wer angemessene Maßnahmen umsetzt - überwacht und dokumentiert - entlastet sich wirksam. Ignorieren ist die teuerste Option - finanziell und persönlich.
Wir bringen euch durch eine NIS2-Bestandsaufnahme und liefern Pentest und Dokumentation - mit denen ihr eure Sorgfaltspflicht nachweist - siehe IT-Compliance & NIS2 und unseren Netzwerk- & Active-Directory-Pentest.
Quellen
Fragen zu diesem Thema?
Wir beraten dich gerne, kostenlos und unverbindlich. Lass uns gemeinsam schauen, wie wir dein Unternehmen schützen können.
Weitere Artikel
NIS2-Richtlinie: Was ändert sich 2026 für KMU?
Die NIS2-Richtlinie stellt neue Anforderungen an die Cybersicherheit von Unternehmen. Wir erklären, was auf KMU zukommt und wie du dich vorbereiten kannst.
NIS2 gilt jetzt - auch wenn ihr nicht direkt betroffen seid
Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft - ohne Übergangsfrist. Wir erklären, warum euch NIS2 auch als kleiner Zulieferer trifft und was ihr jetzt konkret tun müsst.
Was kostet ein Managed IT Service Provider?
Transparente Preise sind in der IT-Branche selten. Wir zeigen dir, mit welchen Kosten du rechnen kannst und worauf du bei der Auswahl achten solltest.