Zum Inhalt springen
Zurück zum Blog
NIS2
·Rouwen Behncke
6 Min.

Geschäftsführer haften jetzt persönlich für IT-Sicherheit

Mit NIS2 haftet die Geschäftsführung persönlich für die Cybersicherheit des Unternehmens. Bei groben Versäumnissen drohen Bußgelder von bis zu 10 Millionen Euro, und die Verantwortung lässt sich nicht einfach delegieren. Dieser Beitrag erklärt, wofür genau die Leitung geradesteht und mit welchen Schritten ihr euch nachweisbar entlastet.

Geschäftsführer haften jetzt persönlich für IT-Sicherheit

Das Wichtigste in Kürze

Mit dem NIS2-Umsetzungsgesetz ist die Cybersicherheit endgültig zur Chefsache geworden. Das Gesetz verankert eine persönliche Haftung der Geschäftsleitung: Geschäftsführende müssen die Sicherheitsmaßnahmen aktiv billigen - ihre Umsetzung überwachen und selbst an Schulungen teilnehmen. Bei Verstößen drohen wesentlichen Einrichtungen Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes - je nachdem - welcher Betrag höher ist.

Diese Verantwortung lässt sich nicht an die IT-Abteilung oder einen Dienstleister abschieben. Ihr könnt die Umsetzung delegieren - die Verantwortung aber nicht. Für Entscheidende ohne IT-Hintergrund ist das eine echte Veränderung: IT-Sicherheit ist damit kein reines Technikthema mehr - sondern Teil der Sorgfaltspflicht der Unternehmensführung.

Was sich rechtlich geändert hat

Früher war IT-Sicherheit organisatorisch oft weit weg von der Geschäftsführung. NIS2 dreht das um: Die Leitungsebene muss die Risikomanagementmaßnahmen ausdrücklich genehmigen und ihre Wirksamkeit überwachen. Tut sie das nachweislich nicht - kann das im Schadensfall persönlich zugerechnet werden.

Wofür genau gehaftet wird

Es geht nicht darum - dass nie etwas passieren darf - kein Unternehmen ist hundertprozentig sicher. Gehaftet wird für das Unterlassen angemessener Vorkehrungen. Konkret betrifft das vor allem:

  • Fehlende oder unwirksame Schutzmaßnahmen (z. B. keine MFA - keine getesteten Backups).
  • Keine dokumentierte Risikobewertung der kritischen Systeme.
  • Versäumte Meldungen von erheblichen Sicherheitsvorfällen an das BSI.
  • Keine Aufsicht der Geschäftsleitung über die Umsetzung.

„Angemessene Maßnahmen" - übersetzt für Nicht-Juristen

Das Gesetz spricht von „angemessenen technischen und organisatorischen Maßnahmen nach dem Stand der Technik". Klingt vage - lässt sich aber herunterbrechen auf: Tut ihr das - was ein vergleichbares - sorgfältiges Unternehmen eurer Größe auch tun würde? Dazu zählen MFA - Backups - Patch-Management - Endpoint-Schutz - Schulungen und ein Notfallplan - alles dokumentiert.

So entlastet ihr euch - drei Bausteine

  1. Dokumentieren. Was nicht aufgeschrieben ist - gilt im Zweifel als nicht getan. Ein schlankes Sicherheitskonzept plus Nachweise (Schulungstermine - Backup-Tests) ist eure beste Absicherung.
  2. Regelmäßig prüfen lassen. Ein Penetrationstest weist nach - dass ihr eure Sicherheit ernsthaft kontrolliert - eines der stärksten Argumente im Ernstfall.
  3. Externe Betreuung holen. Ein Managed-Service-Partner setzt die technischen Pflichten um und liefert die Dokumentation. Die Aufsicht bleibt bei euch - der Aufwand sinkt deutlich.

Häufige Fragen zur Geschäftsführerhaftung (FAQ)

Kann ich die Haftung per Vertrag an meine IT-Firma weitergeben?

Nein. Die Umsetzung könnt ihr auslagern - die Leitungsverantwortung bleibt bei der Geschäftsführung.

Gilt das auch für GmbH-Geschäftsführer kleiner Betriebe?

Wenn euer Unternehmen unter NIS2 fällt - ja. Die persönliche Verantwortung der Leitung ist nicht an die Unternehmensgröße geknüpft - sondern an die Betroffenheit.

Schützt mich eine Cyber-Versicherung?

Sie kann finanzielle Schäden abfedern - ersetzt aber keine Schutzmaßnahmen. Viele Versicherer verlangen ohnehin Nachweise wie MFA und regelmäßige Tests - sonst zahlen sie nicht.

Was ist der schnellste erste Schritt?

Eine ehrliche Bestandsaufnahme: Welche der Pflichten erfüllt ihr heute schon - was fehlt - und wo ist nichts dokumentiert?

Fazit

NIS2 macht die Geschäftsleitung persönlich verantwortlich für die IT-Sicherheit des Unternehmens. Wer angemessene Maßnahmen umsetzt - überwacht und dokumentiert - entlastet sich wirksam. Ignorieren ist die teuerste Option - finanziell und persönlich.

Wir bringen euch durch eine NIS2-Bestandsaufnahme und liefern Pentest und Dokumentation - mit denen ihr eure Sorgfaltspflicht nachweist - siehe IT-Compliance & NIS2 und unseren Netzwerk- & Active-Directory-Pentest.

Quellen

Fragen zu diesem Thema?

Wir beraten dich gerne, kostenlos und unverbindlich. Lass uns gemeinsam schauen, wie wir dein Unternehmen schützen können.

Baltaris - Einfach. Sicher. Eure IT.
    RB

    Rouwen Behncke

    Geschäftsführer, Baltaris GmbH

    LinkedIn-Profil