In einem Satz. Das NIS2-Umsetzungsgesetz (BSIG-NIS2UmsuCG) etabliert in § 38 eine explizite persönliche Haftung von Geschäftsführung und Vorstand für die Genehmigung, Überwachung und Schulung im Risikomanagement — bei Verstoß drohen Bußgelder gegen das Unternehmen UND gegen die Geschäftsleitung persönlich, mit Schulungspflicht und Innenhaftung gegenüber dem Unternehmen.
NIS2 ist ein Game-Changer für die Geschäftsleitungs-Verantwortung in der Cybersicherheit. Siehe ergänzend NIS2 Deutschland sowie unseren Leitfaden zu den NIS2UmsuCG-Anforderungen 2026.
Wichtige Punkte
- § 38 BSIG explizit: Geschäftsleitungs-Pflicht.
- Genehmigung, Überwachung, Schulung.
- Bußgeld auch gegen Geschäftsleitung persönlich.
- Innenhaftung gegenüber Unternehmen nach § 43 GmbHG / § 93 AktG.
- D&O-Versicherung Pflicht-Überprüfung.
1. Pflichten der Geschäftsleitung (§ 38 BSIG)
- Genehmigung der Risikomanagement-Maßnahmen.
- Überwachung der Umsetzung.
- Schulung zu Risiken und Pflichten.
- Verantwortung für Konformität.
2. Schulungspflicht
- Verpflichtende Erstschulung Geschäftsleitung.
- Regelmäßige Auffrischung (typisch alle 2 Jahre).
- Inhalte: Risiken, NIS2-Pflichten, Verantwortlichkeiten.
- Schulungsnachweis dokumentiert (BSI-Audit).
3. Sanktionen gegen Geschäftsleitung
- Bußgeld (ergänzend zum Unternehmensbußgeld).
- Verbot der Geschäftsführungstätigkeit (theoretisch).
- Anordnungen zur Konformität.
- Veröffentlichung des Verstoßes.
4. Innenhaftung
§ 43 GmbHG / § 93 AktG: Geschäftsleitung haftet gegenüber der Gesellschaft für sorgfaltspflichtige Geschäftsführung. Bei NIS2-Verstoß mit Schaden für die Gesellschaft: Innenhaftung möglich.
5. D&O-Versicherung
- Standard-D&O deckt Innenhaftung gegen Vermögensschäden.
- Aber: Bußgelder gegen Geschäftsleitung oft NICHT versicherbar.
- NIS2-spezifische Klauseln prüfen.
- Cyber-Spezial-D&O als Ergänzung.
6. Verantwortlichkeiten
| Rolle | Verantwortung |
|---|---|
| Geschäftsleitung | Genehmigung, Überwachung, Schulung, persönliche Haftung |
| CISO/IT-Sicherheitsbeauftragter | Operative Umsetzung |
| DSB | Datenschutz-Schnittstelle |
| Process Owner | Fachbereichs-Verantwortung |
7. Compliance-Programm
Geschäftsleitung sollte umfassendes Programm dokumentieren:
- ISMS nach ISO 27001 / BSI 200-1.
- Vorfallmanagement-Prozess.
- Drittparteien-Management.
- Schulungsprogramm.
- Audit-Plan.
8. Vorstandsentscheidungen
Wichtige Entscheidungen sollten dokumentiert sein:
- Risikobewertungen mit Vorstandsbeschluss.
- Maßnahmenpläne mit Budget-Freigabe.
- Vorfallsmeldungen mit Geschäftsleitungs-Information.
- Externe Beratung dokumentiert.
9. Aufsichtsrat und NIS2
Aufsichtsrat hat Überwachungspflicht. Bei NIS2-Verstößen:
- Sorgfaltspflicht Aufsichtsrat geprüft.
- Bei Mängeln: Haftung des Aufsichtsrats nach § 116 AktG.
- Cyber-Kompetenz im AR Pflicht-Bewertung.
10. Praktische Schritte für Geschäftsleitung
- Bestandsaufnahme: Welche NIS2-Pflichten gelten?
- Schulung: Erste Pflichtschulung absolvieren.
- Konzept: ISMS und Risikomanagement etablieren.
- Budget: Cybersecurity ausreichend dotieren.
- Reporting: Quartalsweise Geschäftsleitungs-Reports.
- Übung: Incident-Response-Übung mit Geschäftsleitung.
- Audit: Externe Bewertung organisieren.
11. Tool-Unterstützung
Legiscope liefert Geschäftsleitungs-Dashboard mit NIS2-Compliance-Status und Audit-Dokumentation.
11. Konkrete Pflichten und Deadlines
| Pflicht | Frist / Schwellenwert | Rechtsgrundlage |
|---|---|---|
| Registrierungspflicht beim BSI | bis 17.4.2025 bzw. 3 Monate nach Identifizierung | § 32 NIS2UmsuCG |
| Erstmeldung Incident | binnen 24 h | § 35 NIS2UmsuCG |
| Zwischenbericht | binnen 72 h | § 35 NIS2UmsuCG |
| Abschlussbericht | binnen 1 Monat | § 35 NIS2UmsuCG |
| Risikomanagement implementiert | sofort wirksam | § 30 NIS2UmsuCG |
| Geschäftsleitungs-Schulung | jährlich | § 38 NIS2UmsuCG |
| Lieferanten-Risikobewertung | jährlich | § 30 NIS2UmsuCG |
| Audit / Nachweis | alle 2 Jahre | § 39 NIS2UmsuCG |
KRITIS-Sektoren mit niedrigeren Schwellenwerten (Energie, Wasser, Gesundheit, Finanz, ITK) sind zusätzlich dem BSI-Gesetz § 8a unterworfen.
12. KRITIS-Schwellenwerte
Nach BSI-KritisV (zuletzt geändert 2025):
- Energie: Stromerzeugung > 420 MW; Gasnetz > 5,2 Mrd. kWh/Jahr.
- Wasser: > 22 Mio. m³/Jahr Trinkwasser oder > 500.000 Einwohner.
- Gesundheit: Krankenhäuser > 30.000 vollstationäre Fälle/Jahr.
- Finanz: Banken > 80 Mrd. € Bilanzsumme oder Zahlungsverkehr.
- ITK: > 100.000 Teilnehmer Telekommunikation; > 25 Mio. Domains DNS.
- Transport: Flughäfen > 20 Mio. Passagiere; Häfen > 100 Mio. t.
Unterhalb der KRITIS-Schwellen kann NIS2 trotzdem greifen, wenn Einrichtung als “wesentlich” oder “wichtig” nach Anhang I/II NIS2-Richtlinie eingestuft ist.
13. Sanktionstiere
| Verstoß | Sanktion wesentliche Einrichtung | Sanktion wichtige Einrichtung |
|---|---|---|
| Risikomanagement | bis 10 Mio. € oder 2 % Konzernumsatz | bis 7 Mio. € oder 1,4 % |
| Meldepflicht | bis 10 Mio. € oder 2 % | bis 7 Mio. € oder 1,4 % |
| Registrierungspflicht | bis 100.000 € | bis 100.000 € |
| Verletzung Audit-Pflicht | bis 5 Mio. € | bis 3 Mio. € |
| Persönliche Haftung Geschäftsleitung | ja (§ 38) | ja |
Zusätzlich kann das BSI Anordnungen erlassen, Tätigkeitsverbote aussprechen und Zertifizierungen widerrufen. Wie das BSI Sanktionen bemisst und durchsetzt, analysiert unser Beitrag zu den NIS2-Bußgeldern in Deutschland.
14. BSI-Leitfäden und BaFin-Guidance
Relevante Dokumente:
- BSI Orientierungshilfe zur Umsetzung NIS2 (Stand 2025).
- BSI IT-Grundschutz-Kompendium, Edition 2024.
- BSI Cyber-Sicherheits-Check für Geschäftsleitung.
- BSI Handlungsempfehlungen für die Lieferkette (Supply Chain Security).
- BaFin Merkblatt zu DORA für Finanzinstitute.
- BaFin BAIT/VAIT/KAIT (sektorale Aufsichtsanforderungen).
- ENISA Guidelines on Cybersecurity Risk Management (EU-Ebene).
Wer ISO 27001 oder BSI-Grundschutz bereits implementiert hat, kann diese als Nachweis verwenden.
15. Integration mit bestehenden Standards
NIS2-Umsetzung ist effizienter, wenn vorhandene Standards integriert werden:
- ISO 27001:2022 → ca. 80 % NIS2-Abdeckung.
- BSI IT-Grundschutz Standard-Absicherung → ca. 85 %.
- ISO 22301 (BCM) → ergänzt Resilienz-Anforderungen.
- ISO 27701 (PIMS) → Schnittstelle zu DSGVO.
- TISAX → für Automotive-Lieferanten.
Mapping-Tabellen reduzieren Dokumentations-Aufwand erheblich. Audit-Kombination ISO 27001 + NIS2-Nachweis ist Standardpraxis.
16. Supply-Chain-Implikationen
NIS2 fordert in § 30 explizit Lieferketten-Risikomanagement. Praktische Umsetzung:
- Lieferanteninventar mit Kritikalitäts-Einstufung (A/B/C-Klassen).
- Vertragsklauseln zu Cybersecurity-Mindestanforderungen.
- Audit-Recht bei kritischen Lieferanten.
- Notfall-Übungen mit Schlüssel-Lieferanten.
- Backup-Lieferanten für KRITIS-Funktionen.
- Pflicht zur Meldung von Vorfällen beim Lieferanten innerhalb von 24-72 h.
- Sub-Lieferanten-Transparenz (n-tier visibility).
Kleine Zulieferer geraten dadurch unter indirekten NIS2-Druck — viele KMU werden in 2026 zertifizierungspflichtig durch Kundenverträge.
17. Sektor-spezifische Beispiele
| Sektor | Typischer Anwendungsfall NIS2 | Pflichtige Akteure |
|---|---|---|
| Energie | Smart-Meter-Gateway, Leitstellen | Stadtwerke, Übertragungsnetzbetreiber |
| Wasser | SCADA-Steuerungen, Aufbereitung | Wasserwerke, Abwasser |
| Gesundheit | KIS, PACS, Telematik-Infrastruktur | Krankenhäuser, Praxisnetze |
| Finanz | Core-Banking, Online-Banking | Banken, Zahlungsdienstleister |
| ITK | DNS, Cloud, Rechenzentren | Hoster, Telco, ISPs |
| Transport | Logistik-IT, Buchungssysteme | Bahn, Häfen, Flughäfen |
| Verwaltung | Bürgerportale, ELSTER | Bund, Länder, Kommunen |
| Lebensmittel | Lieferketten-IT | Großhandel, Produktion |
Pflichtige Akteure sollten zusätzlich DSGVO Art. 32 Sicherheit und Datenpannenmeldung (Datenpanne melden) kohärent integrieren.
Fazit
NIS2-Personenhaftung ist Game-Changer. Geschäftsleitungen müssen Cybersecurity aktiv steuern, nicht delegieren-und-vergessen. Mit dokumentiertem ISMS, regelmäßiger Schulung und klarem Reporting reduziert sich persönliches Haftungsrisiko massiv.
FAQ
Hafte ich als Geschäftsführer persönlich?
Ja, § 38 BSIG sieht persönliche Haftung explizit vor. Bußgelder können sowohl gegen das Unternehmen als auch gegen Geschäftsleitung persönlich verhängt werden.
Deckt meine D&O das ab?
Innenhaftung meist ja. Persönliche Bußgelder oft NICHT versicherbar. Cyber-Spezial-D&O als Ergänzung prüfen.
Brauche ich eine Schulung?
Ja, Pflichtschulung mit Auffrischung. Inhalt: NIS2-Pflichten, Risiken, persönliche Verantwortung.
Was sind die wichtigsten Pflichten?
Genehmigung Risikomanagement-Maßnahmen, Überwachung Umsetzung, Eigene Schulung, Verantwortung Konformität.
Wie dokumentiere ich Compliance?
ISMS-Dokumentation, Vorstandsbeschlüsse, Schulungsnachweise, Audit-Berichte, Vorfallsdokumentation — alles vorzeigbar bei BSI-Audit.
Welche Sanktionen drohen Geschäftsführern persönlich?
§ 38 NIS2UmsuCG sieht persönliche Haftung der Geschäftsleitung vor — bei Verletzung der Sorgfaltspflichten haftet die Person mit ihrem Privatvermögen für Schäden des Unternehmens. Zusätzlich: Tätigkeitsverbote durch das BSI (§ 39 NIS2UmsuCG). D&O-Versicherungen decken NIS2-Haftung nur eingeschränkt — explizite Cyber-Klausel erforderlich. Pflichtschulung jährlich (§ 38) ist nicht delegierbar.
Wie unterscheiden sich wesentliche und wichtige Einrichtungen?
Wesentliche Einrichtungen (Anhang I NIS2): KRITIS-Sektoren mit hoher Kritikalität — strengere Aufsicht, höhere Sanktionen (bis 10 Mio. € / 2 % Konzernumsatz). Wichtige Einrichtungen (Anhang II): mittlere Kritikalität — reaktive Aufsicht, Sanktionen bis 7 Mio. € / 1,4 %. Größenschwelle: > 250 Mitarbeitende oder > 50 Mio. € Umsatz oder > 43 Mio. € Bilanzsumme. Einstufung obliegt dem BSI nach §§ 28-29 NIS2UmsuCG.
Wie integriere ich NIS2 mit DORA und DSGVO?
DORA (EU-VO 2022/2554) gilt für Finanzsektor und ist lex specialis gegenüber NIS2 — Finanzinstitute brauchen DORA-Compliance, dürfen aber NIS2-Maßnahmen anrechnen. DSGVO Art. 32 fordert TOM, NIS2 fordert Cyber-Sicherheit insgesamt — Überschneidung > 60 %. Beste Praxis: ein integriertes ISMS nach ISO 27001 / BSI-Grundschutz, das alle drei Regelwerke abdeckt.
Welche Meldewege bestehen beim BSI?
Online-Portal “Meldungen” auf bsi.bund.de mit BSI-MeldeAPI. Pflicht: Erstmeldung 24 h (kurze Faktenmeldung), Zwischenbericht 72 h (Ursachen, Auswirkungen), Abschlussbericht 1 Monat (Lessons Learned, Maßnahmen). Bei gleichzeitiger Datenpanne (Datenpanne melden): zusätzlich Meldung an Datenschutzbehörde. Doppelmeldungen sind häufig — getrennte Workflows einrichten.
Wie hoch sind die Implementierungskosten?
Mittleres Unternehmen (250-500 MA): Erstimplementierung 200.000-500.000 €, jährlich 80.000-200.000 €. Großbetrieb (> 5.000 MA): 1-5 Mio. € Erstaufwand, 500.000-2 Mio. € jährlich. Wer ISO 27001 hat, spart 60-70 %. Investitionen amortisieren sich typisch nach 2-3 Jahren über reduzierte Vorfallskosten und niedrigere Versicherungsprämien (10-20 % Rabatt).
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial