NIS2 Geschäftsführerhaftung: Der unterschätzte Risikofaktor für Mittelständler

Stellen Sie sich vor: Ein Cyberangriff legt Ihr Unternehmen lahm. Das BSI ermittelt. Und plötzlich steht nicht nur Ihr Unternehmen in der Haftung – sondern Sie persönlich. Mit Ihrem Privatvermögen.
Was wie ein Worst-Case-Szenario klingt, ist seit dem 6. Dezember 2025 in Deutschland Realität. Das NIS2-Umsetzungsgesetz ist in Kraft getreten – ohne Übergangsfrist, ohne Gnadenfrist. Über 30.000 Unternehmen sind betroffen, und viele Geschäftsführer wissen noch gar nicht, dass sie nun persönlich in der Pflicht stehen.
Das Besondere: Diese Verantwortung ist nicht delegierbar. Sie können sie nicht an Ihren IT-Leiter abgeben, nicht an einen externen Dienstleister, nicht an einen Compliance-Beauftragten. Die Haftung liegt bei Ihnen – und im Ernstfall geht es um Ihr Privatvermögen.

In diesem Artikel erfahren Sie:

• Wann Sie als Geschäftsführer persönlich haften
• Welche konkreten Pflichten NIS2 Ihnen auferlegt
• Wie Sie Ihr Privatvermögen wirksam schützen
• Welche 5 Sofortmaßnahmen jetzt kritisch sind

Was bedeutet Geschäftsführerhaftung unter NIS2 konkret?  

Die rechtliche Grundlage – § 38 BSIG im Klartext

Die NIS2-Umsetzung erweitert § 38 des BSI-Gesetzes um eine klare Aussage: Die Geschäftsleitung trägt die persönliche Verantwortung für die Umsetzung der Cybersicherheitsmaßnahmen. Das bedeutet konkret:
•    Billigung: Sie müssen Risikomanagementmaßnahmen aktiv genehmigen
•    Überwachung: Sie müssen deren Umsetzung kontrollieren
•    Schulung: Sie müssen sich persönlich zu Cyberrisiken weiterbilden (alle 3 Jahre verpflichtend)
Anders als bei anderen Compliance-Themen können Sie diese Verantwortung nicht an Ihren IT-Leiter, CISO oder externe Dienstleister delegieren.

Diese 5 Pflichten treffen Sie persönlich

Als Geschäftsführer eines NIS2-betroffenen Unternehmens haben Sie fünf zentrale Pflichten, die Sie nicht delegieren können. Schauen wir uns an, was das in der Praxis bedeutet.  

Pflicht 1: Billigung der Risikomanagementmaßnahmen

Was heißt das konkret?

• Sie müssen ein ISMS (Informationssicherheits-Managementsystem) genehmigen

• Sie müssen Budget für Cybersecurity-Maßnahmen freigeben

• Sie müssen strategische Sicherheitsentscheidungen treffen

• Warum diese Investition notwendig ist (Risikoanalyse)

• Welche Alternativen geprüft wurden

• Wie die Maßnahme in die Gesamtstrategie passt

Praxisbeispiel:

Ihr IT-Leiter schlägt vor, in ein neues Backup-System zu investieren (80.000 €). Unter NIS2 reicht es nicht, einfach 'OK' zu sagen. Sie müssen dokumentieren:

• Warum diese Investition notwendig ist (Risikoanalyse)

• Welche Alternativen geprüft wurden

• Wie die Maßnahme in die Gesamtstrategie passt

Haftungsrisiko: Wenn Sie diese Maßnahme ablehnen und später ein Ransomware-Angriff erfolgreich ist, weil Backups fehlen → Persönliche Haftung

Pflicht 2: Überwachung der Umsetzung

Was heißt das konkret?

• Regelmäßige Management-Reviews (mind. quartalsweise empfohlen)

• KPI-Dashboards zur Sicherheitslage

• Nachweis, dass Sie Berichte gelesen und verstanden haben
  

Pflicht 3: Persönliche Schulung

Was heißt das konkret?

• Mind. alle 3 Jahre verpflichtende Schulung zu Cyberrisiken

• Nachweispflicht (Zertifikat/Teilnahmebestätigung)

• Nicht delegierbar – Sie müssen selbst teilnehmen 

Pflicht 4: Incident Response – Ihre Rolle im Krisenfall

Was heißt das konkret?

• Sie müssen innerhalb von 24h informiert werden (intern)

• Sie entscheiden über BSI-Meldung (Fristen: 24h/72h)

• Sie müssen Eskalationswege kennen 

Pflicht 5: Lieferantenmanagement – Verantwortung für die Lieferkette

Was heißt das konkret?

• Sie müssen sicherstellen, dass kritische Dienstleister NIS2-konform sind

• Vertragliche Absicherung ist Ihre Verantwortung

• Bei Sicherheitsvorfällen durch Dienstleister haften Sie mit
  

Wann und wie haften Sie mit Ihrem Privatvermögen?  

Jetzt wird es konkret: In welchen Szenarien können Sie tatsächlich persönlich haftbar gemacht werden? Und was bedeutet das für Ihr Privatvermögen?  

Die drei Haftungsszenarien

Szenario 1: Innenhaftung (Gesellschaft verklagt Geschäftsführer)

Beispiel:

Nach einem Ransomware-Angriff fällt die Produktion 2 Wochen aus. Schaden: 500.000 €. Die Gesellschafter stellen fest: Es gab keine Backups, obwohl der IT-Leiter das schon vor einem Jahr empfohlen hatte.

Haftung: Die GmbH verklagt den Geschäftsführer auf Schadenersatz. Dieser muss beweisen, dass er sorgfältig gehandelt hat (Beweislastumkehr!).

Szenario 2: Außenhaftung (Kunden/Partner verklagen)

Durch einen Cyberangriff werden Kundendaten gestohlen. Kunden erleiden Schäden und verklagen das Unternehmen UND den Geschäftsführer persönlich auf Schadenersatz.

Szenario 3: Bußgelder durch BSI

• Besonders wichtige Einrichtungen: Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes

• Wichtige Einrichtungen: Bis zu 7 Mio. € oder 1,4% des Jahresumsatzes

So schützen Sie sich wirksam vor persönlicher Haftung

Genug von den Risiken – schauen wir uns an, was Sie konkret tun können, um sich zu schützen. Diese fünf Sofortmaßnahmen sollten Sie jetzt angehen.

Maßnahme 1: Verschaffen Sie sich Klarheit über Ihre Betroffenheit

• NIS2-Selbstcheck durchführen

• Branche prüfen: Gehören Sie zu den 18 Sektoren?
• Größenkriterien prüfen: >50 MA oder >10 Mio. € Umsatz?
  
  

Maßnahme 2: Beauftragen Sie eine Gap-Analyse

Ein externer Experte (MSP, CISO, Berater) prüft, welche NIS2-Anforderungen Sie bereits erfüllen und wo kritische Lücken bestehen.

Maßnahme 3: Etablieren Sie Management-Reviews

Quartalsweise oder mind. halbjährlich sollten Sie die Sicherheitslage prüfen und dokumentieren.

Maßnahme 4: Absolvieren Sie Ihre Pflichtschulung JETZT

Mind. alle 3 Jahre verpflichtend – warten Sie nicht, bis es zu spät ist.

Maßnahme 5: Sichern Sie Ihre Lieferkette ab

Kritische Dienstleister identifizieren, Compliance abfragen, Verträge anpassen.

Praxisfall: Wie ein Geschäftsführer die Haftungsfalle umging  

Ausgangssituation:

• Unternehmen: Metallverarbeitung, 120 Mitarbeiter, 18 Mio. € Umsatz

• Problem: Ransomware-Angriff, Produktion steht 5 Tage still

• Schaden: Ca. 200.000 € Umsatzausfall

• Frage: Haftet der Geschäftsführer?

Ergebnis:

Trotz des Schadens: Keine persönliche Haftung. Der Geschäftsführer konnte nachweisen, dass er alle Sorgfaltspflichten erfüllt hatte. Das Restrisiko (100% Sicherheit gibt es nie) lag im akzeptablen Bereich.

Fazit: Haftungsschutz ist kein Hexenwerk – aber erfordert Handeln 

Die Kernbotschaften:

• NIS2-Geschäftsführerhaftung ist real – nicht nur theoretisch

• Sie betrifft Ihr Privatvermögen – D&O-Versicherung schützt oft nicht ausreichend

• Die Pflichten sind konkret – Billigung, Überwachung, Schulung, Incident Response

• Dokumentation ist Ihr bester Freund – im Haftungsfall müssen Sie Sorgfalt nachweisen

• Handeln Sie JETZT – das Gesetz gilt ohne Übergangsfrist
  

Die gute Nachricht:
Sie müssen kein IT-Experte werden. Sie müssen als Geschäftsführer Ihrer Sorgfaltspflicht nachkommen: Die richtigen Fragen stellen, Ressourcen freigeben, Experten einbinden und Umsetzung überwachen.