Stellen Sie sich vor: Ein Cyberangriff legt Ihr Unternehmen lahm. Das BSI ermittelt. Und plötzlich steht nicht nur Ihr Unternehmen in der Haftung – sondern Sie persönlich. Mit Ihrem Privatvermögen.
Was wie ein Worst-Case-Szenario klingt, ist seit dem 6. Dezember 2025 in Deutschland Realität. Das NIS2-Umsetzungsgesetz ist in Kraft getreten – ohne Übergangsfrist, ohne Gnadenfrist. Über 30.000 Unternehmen sind betroffen, und viele Geschäftsführer wissen noch gar nicht, dass sie nun persönlich in der Pflicht stehen.
Das Besondere: Diese Verantwortung ist nicht delegierbar. Sie können sie nicht an Ihren IT-Leiter abgeben, nicht an einen externen Dienstleister, nicht an einen Compliance-Beauftragten. Die Haftung liegt bei Ihnen – und im Ernstfall geht es um Ihr Privatvermögen.
In diesem Artikel erfahren Sie:
Die NIS2-Umsetzung erweitert § 38 des BSI-Gesetzes um eine klare Aussage: Die Geschäftsleitung trägt die persönliche Verantwortung für die Umsetzung der Cybersicherheitsmaßnahmen. Das bedeutet konkret:
• Billigung: Sie müssen Risikomanagementmaßnahmen aktiv genehmigen
• Überwachung: Sie müssen deren Umsetzung kontrollieren
• Schulung: Sie müssen sich persönlich zu Cyberrisiken weiterbilden (alle 3 Jahre verpflichtend)
Anders als bei anderen Compliance-Themen können Sie diese Verantwortung nicht an Ihren IT-Leiter, CISO oder externe Dienstleister delegieren.
|
⚠️ WICHTIG |
Als Geschäftsführer eines NIS2-betroffenen Unternehmens haben Sie fünf zentrale Pflichten, die Sie nicht delegieren können. Schauen wir uns an, was das in der Praxis bedeutet.
Was heißt das konkret?
Sie müssen ein ISMS (Informationssicherheits-Managementsystem) genehmigen
Sie müssen Budget für Cybersecurity-Maßnahmen freigeben
Sie müssen strategische Sicherheitsentscheidungen treffen
Warum diese Investition notwendig ist (Risikoanalyse)
Welche Alternativen geprüft wurden
Wie die Maßnahme in die Gesamtstrategie passt
Praxisbeispiel:
Ihr IT-Leiter schlägt vor, in ein neues Backup-System zu investieren (80.000 €). Unter NIS2 reicht es nicht, einfach 'OK' zu sagen. Sie müssen dokumentieren:
Warum diese Investition notwendig ist (Risikoanalyse)
Welche Alternativen geprüft wurden
Haftungsrisiko: Wenn Sie diese Maßnahme ablehnen und später ein Ransomware-Angriff erfolgreich ist, weil Backups fehlen → Persönliche Haftung
Was heißt das konkret?
Regelmäßige Management-Reviews (mind. quartalsweise empfohlen)
KPI-Dashboards zur Sicherheitslage
Was heißt das konkret?
Mind. alle 3 Jahre verpflichtende Schulung zu Cyberrisiken
Nicht delegierbar – Sie müssen selbst teilnehmen
Was heißt das konkret?
Sie müssen innerhalb von 24h informiert werden (intern)
Sie müssen Eskalationswege kennen
Was heißt das konkret?
Sie müssen sicherstellen, dass kritische Dienstleister NIS2-konform sind
Vertragliche Absicherung ist Ihre Verantwortung
Jetzt wird es konkret: In welchen Szenarien können Sie tatsächlich persönlich haftbar gemacht werden? Und was bedeutet das für Ihr Privatvermögen?
Szenario 1: Innenhaftung (Gesellschaft verklagt Geschäftsführer)
Beispiel:
Nach einem Ransomware-Angriff fällt die Produktion 2 Wochen aus. Schaden: 500.000 €. Die Gesellschafter stellen fest: Es gab keine Backups, obwohl der IT-Leiter das schon vor einem Jahr empfohlen hatte.
Haftung: Die GmbH verklagt den Geschäftsführer auf Schadenersatz. Dieser muss beweisen, dass er sorgfältig gehandelt hat (Beweislastumkehr!).
Szenario 2: Außenhaftung (Kunden/Partner verklagen)
Durch einen Cyberangriff werden Kundendaten gestohlen. Kunden erleiden Schäden und verklagen das Unternehmen UND den Geschäftsführer persönlich auf Schadenersatz.
Szenario 3: Bußgelder durch BSI
Besonders wichtige Einrichtungen: Bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes
Genug von den Risiken – schauen wir uns an, was Sie konkret tun können, um sich zu schützen. Diese fünf Sofortmaßnahmen sollten Sie jetzt angehen.
Ein externer Experte (MSP, CISO, Berater) prüft, welche NIS2-Anforderungen Sie bereits erfüllen und wo kritische Lücken bestehen.
Quartalsweise oder mind. halbjährlich sollten Sie die Sicherheitslage prüfen und dokumentieren.
Mind. alle 3 Jahre verpflichtend – warten Sie nicht, bis es zu spät ist.
Kritische Dienstleister identifizieren, Compliance abfragen, Verträge anpassen.
Ausgangssituation:
Unternehmen: Metallverarbeitung, 120 Mitarbeiter, 18 Mio. € Umsatz
Problem: Ransomware-Angriff, Produktion steht 5 Tage still
Schaden: Ca. 200.000 € Umsatzausfall
Frage: Haftet der Geschäftsführer?
Ergebnis:
Trotz des Schadens: Keine persönliche Haftung. Der Geschäftsführer konnte nachweisen, dass er alle Sorgfaltspflichten erfüllt hatte. Das Restrisiko (100% Sicherheit gibt es nie) lag im akzeptablen Bereich.
Die Kernbotschaften:
NIS2-Geschäftsführerhaftung ist real – nicht nur theoretisch
Sie betrifft Ihr Privatvermögen – D&O-Versicherung schützt oft nicht ausreichend
Die Pflichten sind konkret – Billigung, Überwachung, Schulung, Incident Response
Dokumentation ist Ihr bester Freund – im Haftungsfall müssen Sie Sorgfalt nachweisen
Handeln Sie JETZT – das Gesetz gilt ohne Übergangsfrist
Die gute Nachricht:
Sie müssen kein IT-Experte werden. Sie müssen als Geschäftsführer Ihrer Sorgfaltspflicht nachkommen: Die richtigen Fragen stellen, Ressourcen freigeben, Experten einbinden und Umsetzung überwachen.