Magazin
NIS2-Geschäftsführerhaftung: Was Verantwortliche jetzt wissen müssen

NIS2-Geschäftsführerhaftung: Was Verantwortliche jetzt wissen müssen

Letztes Update:
25
.
07
.
2025
Lesezeit:
0
Min
Schon heute sind Geschäftsführer verpflichtet, für IT-Sicherheit zu sorgen. Doch mit der neuen NIS2-Richtlinie wird klar: Die Verantwortung liegt unmissverständlich beim Management. Wer Pflichten ignoriert, Maßnahmen nicht überwacht oder auf Schulungen verzichtet, haftet unter Umständen persönlich. Erfahren Sie in diesem Artikel alles über die NIS2-Haftung und warum IT-Sicherheit Chefsache ist.
NIS2-Geschäftsführerhaftung: Was Verantwortliche jetzt wissen müssen
Die wichtigsten Erkenntnisse
  • Cybersicherheit ist in der digitalen Welt unverzichtbar. Deshalb tragen Geschäftsführer Verantwortung für den Schutz von IT-Systemen sowie Kunden- und Mitarbeiterdaten.
  • Die neue NIS2-Richtlinie betont die Bedeutung der Cybersicherheit und verpflichtet die Führungsebene, ihr Unternehmen gegen moderne Bedrohungen abzusichern.
  • Um die NIS2-Vorgaben sicher einzuhalten, können Verantwortliche heute schon proaktive Sicherheitsmaßnahmen ergreifen.

NIS2 bringt neue Pflichten und Verantwortlichkeiten

In der EU gilt sie bereits, in Deutschland steht die Umsetzung in nationales Recht noch an: Die NIS2-Richtlinie der EU verpflichtet mehr Unternehmen und Branchen als bisher dazu, Sicherheitsvorkehrungen zu treffen, um die Auswirkungen von Cyberattacken auf den Geschäftsbetrieb zu reduzieren und Informationen und Daten in Unternehmen besser zu schützen.

Dafür schreibt die Richtlinie verschiedene Maßnahmen vor, zum Beispiel Verfahren zur Cyberhygiene, Notfallpläne und regelmäßige Sicherheitsüberprüfungen und Risikobewertungen. Geschäftsführer sind laut Artikel 20 der neuen NIS2-Richtlinie dazu verpflichtet, die Einhaltung der Vorgaben persönlich zu überwachen.  

Der Gesetzgeber erwartet von der Geschäftsleitung unter anderem, aktiv zu handeln und ein solides Sicherheitsmanagement im Unternehmen zu etablieren. Neu ist die Vorgabe, dass die Geschäftsführung dazu verpflichtet ist, selbst an Sicherheitsschulungen teilzunehmen.

Da die NIS2-Richtlinie für mehr Unternehmen gilt als ihre Vorgängerin, müssen sich künftig auch mehr Führungsebenen mit IT-Sicherheit auseinandersetzen. Allerdings tun Geschäftsführer auch heute schon gut daran, das Thema Informationssicherheit ernst zu nehmen.

Rundum informiet

Was ist NIS2? Was bedeutet die Richtlinie für Ihr Unternehmen und welche Pflichten kommen auf Geschäftsführer und ihre Teams zu? Unser Leitfaden liefert die Antworten kompakt und verständlich.

Zum kostenlosen NIS2-Leitfaden

Status quo Geschäftsführerhaftung: Das gilt bis zum Inkrafttreten von NIS2

Die Umsetzung der NIS2-Richtlinie für Deutschland steht voraussichtlich Ende 2025 an, I m Zuge der Umsetzung wird auch das BSI-Gesetz (BSIG) novelliert. Geschäftsführer unterliegen allerdings schon heute einer Sorgfalts-, Legalitäts- und Überwachungspflicht. Diese Pflicht ergibt sich aus § 43 des GmbH-Gesetzes (GmbHG) und § 93 des Aktiengesetzes (AktG). Demnach gilt:

  • IT- und Informationssicherheit ist Teil der Geschäftsführungsaufgabe.
  • Auch ohne besondere Gesetze wie das BSIG oder die DSGVO müssen Geschäftsführer ein angemessenes Risikomanagement einführen.
  • Wer dabei fahrlässig oder vorsätzlich seine Pflichten verletzt, kann zivilrechtlich haftbar gemacht werden, insbesondere gegenüber der eigenen Gesellschaft.

Beispiel: Kommt es infolge mangelnder Cybersicherheit zu einem Schaden, etwa durch einen Ransomware-Angriff, und wäre der Schaden bei ordnungsgemäßer Sorgfalt vermeidbar gewesen, kann die Geschäftsleitung mit ihrem Privatvermögen haftbar gemacht werden.

Was ändert NIS2 an der Geschäftsführerhaftung?

Die NIS2-Richtlinie bringt keine grundlegenden Neuerungen bei der Haftung der Geschäftsleistung, aber sie konkretisiert und verschärft bestehende Pflichten.

Entsprechend des aktuellen Referentenentwurfs von Juni 2025 soll NIS2 konkret folgendes regeln:

  • Explizite Verantwortung der Geschäftsleitung für Cybersicherheit: Leitungsorgane müssen die Sicherheitsmaßnahmen billigen, überwachen und sind verantwortlich für deren Einhaltung (Art. 20 Abs. 1 NIS2; § 38 BSIG-E).
  • Verpflichtende Schulungen für Geschäftsführer: Mindestens alle 3 Jahre müssen Führungskräfte Schulungen zu Cyberrisiken und Sicherheitsmaßnahmen absolvieren (§ 38 Abs. 3 BSIG-E).
  • Haftungsverschärfung durch gesetzliche Klarstellung: Die Haftung ergibt sich wie bisher aus GmbHG oder AktG. Doch § 38 BSIG-E formuliert das nun explizit für den Bereich Cybersicherheit. Für Geschäftsformen ohne klare gesellschaftsrechtliche Haftung wie Stiftungen oder eingetragene Vereine enthält § 38 BSIG-E einen Auffangtatbestand zur direkten Haftung.
  • Unverzichtbarkeit der Haftung: Ein Verzicht auf die Haftung durch Verträge wie die Gesellschaftervereinbarung soll nicht zulässig sein (§ 38 Abs. 2 S. 3 BSIG-E).

NIS2-Haftung: Welche Konsequenzen drohen Geschäftsführern?

Halten Unternehmen die Vorgaben der NIS2-Richtlinie nicht ein, müssen sie im schlimmsten Fall mit empfindlichen Geldstrafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes rechnen.  

Die Folgen von Verstößen gegen die NIS2-Richtlinie sind allerdings nicht nur finanzieller Natur, sondern gefährden die Reputation eines Unternehmens und können darüber hinaus die Geschäftsführung treffen.

Erfolgt ein Cyberangriff auf das Unternehmen, weil keine ausreichenden Sicherheitsmaßnahmen implementiert wurden, kann die Führungsebene dafür persönlich haftbar gemacht werden. Das gilt auch, wenn ein Verstoß auf Unachtsamkeit oder Nachlässigkeit der IT-Abteilung zurückzuführen ist.  

Die folgenden Szenarien zeigen beispielhaft, wie sich mangelhafte Schutzvorkehrungen auswirken können:

  • In der IT-Infrastruktur bestehen Schwachstellen, die über längere Zeit nicht behoben wurden und Angreifern als Einfallstor dienten.
  • Das Unternehmen hat keine angemessenen Mitarbeiterschulungen zur Cybersicherheit durchgeführt, weshalb Angreifer mit einer Phishing-Attacke Erfolg hatten.
  • Es ist keine angemessene Risikobewertung oder Sicherheitsüberprüfung der eingesetzten Systeme erfolgt, wodurch Datenlecks entstanden und Informationen in die falschen Hände geraten sind.

Besonders kritisch können solche Fehler für verantwortliche Personen werden, wenn man ihnen grobe Fahrlässigkeit oder sogar Vorsatz nachweisen kann.

Was bedeutet Informationssicherheit konkret und was ist der Unterschied zur IT-Sicherheit? Jetzt nachlesen!

Wie können Unternehmen und Geschäftsführer sich absichern?

Geschäftsführer sind verpflichtet, sich über die Anforderungen der NIS2 zu informieren und sicherzustellen, dass alle notwendigen Maßnahmen ergriffen werden. Außerdem müssen sie dafür sorgen, dass in ihrem Unternehmen Schulungen für die Cybersicherheit stattfinden und selbst daran teilnehmen.

Bei NIS2 alles richtig machen

Informieren Sie sich darüber, wer von NIS2 betroffen ist, welche Anforderungen Ihr Unternehmen erfüllen muss und wie wir Sie dabei effizient unterstützen.

Jetzt mit Proliance compliant werden

Proaktives Handeln ist entscheidend, wenn Führungskräfte ihr Unternehmen und sich selbst vor rechtlichen Konsequenzen schützen wollen. Um die Haftung zu minimieren, sollten Geschäftsführer und IT-Verantwortliche deshalb eine Reihe von Maßnahmen ergreifen:

  • Schulungen anbieten und wahrnehmen: Alle Mitarbeiter inklusive der Geschäftsführung müssen regelmäßig an Datenschutzschulungen teilnehmen, um über die neuesten Cyberbedrohungen und Sicherheitslösungen informiert zu sein.
  • Audits durchführen lassen: Regelmäßige Sicherheitsaudits sorgen dafür, dass Schwachstellen frühzeitig identifiziert und effektiv behoben werden können.
  • Sicherheitslösungen etablieren: Unternehmen sollten in geeignete Netzwerksicherheits- und Datenschutzsoftware investieren, die den aktuellen Bedrohungen gewachsen ist.
  • Up to date bleiben: Damit im Unternehmen ausreichend Know-how vorhanden ist, um Cyberangriffe abzuwehren, empfiehlt es sich, neben Schulungen auf die Zusammenarbeit mit externen Experten und Datenschutzbeauftragten zu setzen. So stellen Unternehmen sicher, dass sie neben der NIS2 auch andere Richtlinien wie die DSGVO korrekt umsetzen.

Tipp: Ein Informationssicherheitsmanagementsystem (ISMS) hilft Ihnen, Ihr Unternehmen effektiv und strategisch gegen Gefahren aus dem Cyberraum abzusichern und gibt Ihnen die Chance, sich eine begehrte ISO-27001-Zertifizierung zu sichern.

Fazit zur NIS2-Haftung: Informationssicherheit lieber früher als später stärken

Geschäftsführer sind schon heute verpflichtet, für angemessene Informationssicherheit zu sorgen – NIS2 macht diese Pflicht nur sichtbarer, überprüfbarer und haftungssicherer. Wer Informationssicherheit bisher aufschiebt, riskiert nicht nur Bußgelder, sondern haftet im schlimmsten Fall sogar persönlich.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
NIS2
Informationssicherheit
ISO 27001
Redaktion
Sabrina Schaub
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von datenschutzexperte.de dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Stefan Rühl
Information Security Lead
In seiner Funktion als Leiter des Bereiches InfoSec und als ISO27001 Lead Auditor unterstützt Stefan unsere Kunden bei der Implementierung- und Optimierung von ISMS Systemen. Sein spezieller Bereich ist der Aufbau von BCM-Umgebungen, Notfall- und Krisenstäben sowie die Erstellung und Verprobung von Notfallprozessen, sowohl bei KMUs als auch bei Konzernstrukturen. Darüber hinaus berät er Geschäftsführer und Vorstände bei der Entscheidungsfindung zur Cyberresilienz und der Optimierung von IT-Organisationen.
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Die TISAX®-Anforderungen verstehen: So meistern Unternehmen den Weg zur Zertifizierung
12
.
06
.
2025
Die TISAX®-Anforderungen verstehen: So meistern Unternehmen den Weg zur Zertifizierung
Die Automobilindustrie steht seit Jahren für hohe Standards in der Qualitätssicherung. Mit zunehmender Digitalisierung steigt jedoch auch der Anspruch an Informationssicherheit. TISAX® (Trusted Information Security Assessment Exchange) hat sich als zentraler Prüfmechanismus etabliert, um einheitliche Sicherheitsstandards entlang der gesamten Zusammenarbeit mit Partnern und Dienstleistern zu gewährleisten – nicht nur in der Automobilbranche, sondern zunehmend auch in angrenzenden IT- und Softwareindustrien. Dieser Artikel liefert einen strukturierten Überblick über die zentralen Anforderungen von TISAX®, zeigt konkrete Umsetzungstipps und adressiert typische Herausforderungen. Ein Muss für alle Compliance-Verantwortlichen, die ihre Organisation zukunftssicher aufstellen möchten.
ISO 27001:2022 – die wichtigsten Neuerungen im Überblick
02
.
09
.
2024
ISO 27001:2022 – die wichtigsten Neuerungen im Überblick
Die ISO 27001:2022 bringt mehrere wichtige Änderungen im Vergleich zu älteren Versionen. Die Neuerungen zielen darauf ab, die Informationssicherheit von Unternehmen noch effektiver zu gestalten.
NIS2: Was Unternehmen über die Richtlinie wissen müssen
06
.
02
.
2025
NIS2: Was Unternehmen über die Richtlinie wissen müssen
Die NIS2-Richtlinie ist eine EU-weite Regelung zur Verbesserung der Cybersicherheit und zum Schutz kritischer Infrastrukturen. Sie wurde als Erweiterung der vorherigen NIS-Richtlinie eingeführt, um neue Bedrohungslagen und technologische Entwicklungen besser abzudecken. NIS2 verfolgt das Ziel, die Resilienz und Reaktionsfähigkeit von Unternehmen und Institutionen gegenüber Cyberangriffen zu erhöhen.
Der beste Weg zum robusten ISMS: Schritte für die Implementierung
17
.
07
.
2024
Der beste Weg zum robusten ISMS: Schritte für die Implementierung
Ein robustes Informationssicherheits-Managementsystem (ISMS) bildet das Rückgrat einer effektiven Sicherheitsstrategie im Unternehmen. Erfahren Sie, auf welchem Weg Sie ein solches System in Ihrem Unternehmen implementieren, damit Hacker draußen bleiben.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Interview mit Dr. Herrmann: Alles rund um Digitalisierung, Datenschutz und KI
24
.
07
.
2025
Interview mit Dr. Herrmann: Alles rund um Digitalisierung, Datenschutz und KI
Im Zentrum eines erkenntnisreichen Gesprächs mit Dr. Herrmann, Leiter der Bayerischen Staatskanzlei, standen die Themenschwerpunkte Datenschutz, Bürokratieabbau, Künstliche Intelligenz (KI) und Cybersicherheit. Die folgenden Fragen und Antworten unterstreichen Dr. Herrmanns optimistische Einschätzungen und zeigen Lösungen und Chancen für die digitale Zukunft auf.
ISO 27001 Controls: Mit Annex-A-Maßnahmen zu mehr Cybersicherheit
23
.
07
.
2025
ISO 27001 Controls: Mit Annex-A-Maßnahmen zu mehr Cybersicherheit
In einer Welt, in der Cyberangriffe immer häufiger und raffinierter werden, sind Informationssicherheit und Datenschutz für Unternehmen essenziell. Die internationale Norm ISO 27001 hilft Unternehmen dabei, Cyberrisiken mithilfe der ISO 27001 Controls aus Anhang A zu reduzieren. Erfahren Sie alles über die ISO 27001 Controls und wie Sie die Maßnahmen erfolgreich umsetzen.
Die Betroffenenrechte der DSGVO: Wie Unternehmen darauf reagieren sollten
23
.
07
.
2025
Die Betroffenenrechte der DSGVO: Wie Unternehmen darauf reagieren sollten
Eines der obersten Ziele der DSGVO ist der Schutz personenbezogener Daten von EU-Bürgern. Die Datenschutzgrundverordnung stärkt die Rechte Betroffener und gibt ihnen die Möglichkeit, einen sensiblen Umgang mit ihren Daten zu fordern. Welche Rechte das sind und was sie für Unternehmen bedeuten, zeigt Ihnen die folgende Übersicht.
Datenschutz-Förderung für Unternehmen: Welche Mittel bekommen KMU?
22
.
07
.
2025
Datenschutz-Förderung für Unternehmen: Welche Mittel bekommen KMU?
Immer mehr Unternehmen fühlen sich mit der Umsetzung des Datenschutzes überfordert. Externe Berater helfen dabei, die DSGVO-Anforderungen korrekt und effizient umzusetzen. KMU können dabei auf finanzielle Unterstützung vom Staat zurückgreifen.
datenschutz-Muster

Kostenlose Materialien zum Thema

Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Datenschutzerklärung Vorlage & Muster
Nutzen Sie unsere kostenlose Datenschutzerklärung Vorlage und setzen Sie die DSGVO sicher um.
Auftrags­verarbeitungsvertrag (AV-Vertrag)
Erstellen Sie mit unserem kostenlosen Muster einen DSGVO-konformen Auftragsverarbeitungsvertrag.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!