Die Haftungsthematik wird in Beiträgen zu NIS-2 oftmals angesprochen. Doch bis auf die in der Direktive, für Unternehmen, die in den Anwendungsbereich von NIS-2 fallen, genannten Zahlen (bis zu 10 Mio. € Bußgeld oder 2 % des weltweiten Jahresumsatzes für sogenannte „wesentliche Einrichtungen“, für „wichtige Einrichtungen“ sind es immerhin noch bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes) und einem entsprechenden Rat zum dringenden Handeln wird selten weiter in die Tiefe gegangen.
Mit diesem Artikel greifen wir die Dynamiken rund um diese Haftungssummen auf und beschreiben, wie es durch den Einsatz freiberuflicher Experten erst gar nicht zu Haftungs-Fragen kommen muss.
Betrachtet man die Geschäftsführerhaftung von NIS-2, dann liegt die eigentliche Tragweite nicht allein in möglichen Bußgeldern. Vielmehr liegt sie in der rechtlichen Dynamik dahinter: persönliche Haftung, Organisationspflichten, Nachweispflichten und der Frage, ob die Geschäftsleitung ihrer Verantwortung im Bereich Cybersicherheit angemessen nachgekommen ist.
Im Ernstfall wird eben nicht nur geprüft, ob ein Sicherheitsvorfall eingetreten ist. Bewertet wird vor allem, ob das Unternehmen organisatorisch angemessen aufgestellt war und ob die Geschäftsleitung Risiken aktiv gesteuert hat. Und spätestens an diesem Punkt wird NIS-2 für viele Unternehmen zur echten Managementaufgabe.
Genau hier entstehen derzeit in vielen Unternehmen gefährliche Lücken.
Die deutsche Umsetzung der NIS-2-Richtlinie erfolgt über Anpassungen des BSI-Gesetz. Geschäftsleitungen werden dadurch verpflichtet, Cybersicherheitsmaßnahmen nicht nur formal zu genehmigen, sondern deren Umsetzung und Wirksamkeit aktiv zu überwachen. Die Rolle der Geschäftsführung ändert sich dadurch fundamental.
IT-Security war in vielen Unternehmen bislang delegierbar. Die operative Verantwortung lag bei der IT-Leitung, externen Dienstleistern oder einzelnen Security-Verantwortlichen. Jedoch reicht dies alleine unter NIS-2 nicht mehr aus. Insbesondere dann, wenn Sicherheitsmaßnahmen fehlen, Risiken ignoriert oder organisatorische Defizite nicht behoben werden, bleibt die Geschäftsleitung in der Verantwortung.
Dies kann zu deutlichen Konsequenzen führen:
Vor allem für mittelständische Unternehmen entsteht dadurch ein neuer Handlungsdruck. Denn häufig fehlt intern genau jene spezialisierte Security-Expertise, die für eine belastbare Umsetzung notwendig wäre.
Deshalb setzen viele Unternehmen mittlerweile gezielt auf externe Spezialisten wie ISMS-Berater, CISO-as-a-Service-Modelle oder Incident-Response-Experten, um organisatorische Lücken schnell und nachvollziehbar zu schließen.
Ein zentraler Punkt wird in der öffentlichen Diskussion häufig unterschätzt: Juristisch problematisch ist nicht automatisch der erfolgreiche Cyberangriff selbst. Entscheidend wird vielmehr, ob ein Unternehmen angemessene organisatorische Maßnahmen getroffen hat.
Besonders kritisch sind dabei:
Gerade das Thema „Unterlassen“ ist haftungsrechtlich hochrelevant. Wenn bekannte Risiken nicht bewertet, notwendige Maßnahmen nicht umgesetzt oder offensichtliche organisatorische Schwächen nicht adressiert werden, kann daraus eine persönliche Haftung der Geschäftsleitung entstehen.
Die Rechtsgrundlagen hierfür bestehen bereits heute: Für GmbH-Geschäftsführer gilt die "Sorgfalt eines ordentlichen Geschäftsmannes" (§ 43 GmbHG), für Vorstände einer AG die "Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters" (§ 93 AktG).
Dadurch wird von Geschäftsführern zwar keine Perfektion erwartet, aber ein nachvollziehbares, strukturiertes und überprüfbares Sicherheitskonzept.
Insbesondere externe Security-Spezialisten eignen sich für die Entwicklung und Erstellung solcher Konzepte. Ein erfahrener Governance-Experte oder ISMS-Berater kann nicht nur technische Maßnahmen begleiten, sondern vor allem dabei helfen, Entscheidungsprozesse, Risikoanalysen und Dokumentationen belastbar aufzusetzen.
Ein häufiger Irrtum lautet: „Dafür haben wir doch unsere IT.“ Jedoch greift dieses Verständnis unter NIS-2 zu kurz. Natürlich bleibt die operative Umsetzung in der Verantwortung von IT-Abteilungen, Security-Teams oder externen Dienstleistern. Die Pflicht zur Steuerung und Überwachung verbleibt jedoch bei der Geschäftsführung.
Das bedeutet konkret, Geschäftsführer müssen nachvollziehen können,
Gerade hier stoßen viele mittelständische Unternehmen an Grenzen. Denn moderne Security-Anforderungen umfassen mittlerweile hochspezialisierte Themen:
Diese Expertise dauerhaft intern aufzubauen, ist für viele Unternehmen kaum realistisch, weshalb gezielt auf freiberufliche Experten zurückgegriffen wird:
Bei all dem darf aber der Kern der Haftung nicht vergessen werden: Externe Expertise verbessert die organisatorische Aufstellung, ersetzt aber nicht die Steuerungspflicht der Geschäftsleitung.
Besonders relevant wird es im Prüfungs- oder Schadensfall. Denn bewertet wird dann nicht primär, ob ein Angriff grundsätzlich vermeidbar gewesen wäre. Entscheidend ist vielmehr, ob angemessene organisatorische Maßnahmen existierten und nachweisbar umgesetzt wurden.
Typische Prüfungsfragen können dabei sein:
Fehlt diese organisatorische Nachweisbarkeit, entstehen erhebliche Risiken, unabhängig davon, ob bereits Bußgelder verhängt wurden. Gerade deshalb investieren viele Unternehmen aktuell nicht nur in Technik, sondern in belastbare Governance-Strukturen. Externe Spezialisten unterstützen dabei häufig gezielt punktuell:
So erhalten Unternehmen durch externe Experten schnell Zugriff auf Spezialwissen, ohne langfristig eigene Ressourcen aufbauen zu müssen.
Die eigentliche Tragweite von NIS-2 liegt nicht in einzelnen technischen Anforderungen. Sie liegt in der organisatorischen Verantwortung der Unternehmensleitung.
Geschäftsführer haften künftig nicht primär dafür, Opfer eines Cyberangriffs geworden zu sein. Kritisch wird vielmehr die Frage, ob bekannte Risiken angemessen adressiert wurden und ob die Organisation nachweisbar handlungsfähig war.
Genau deshalb wird externe Security-Expertise für viele mittelständische Unternehmen zunehmend zu einem strategischen Faktor. Freiberufliche Spezialisten können dabei unterstützen, Sicherheitsstrukturen zügig aufzubauen, interne Teams gezielt zu entlasten und regulatorische Anforderungen praxisnah umzusetzen, von ISMS-Beratern über Pentester bis hin zu Experten für Incident Response und Business Continuity. Besonders wertvoll ist dabei die breite Projekterfahrung, die externe Spezialisten aus unterschiedlichsten Unternehmen und Branchen mitbringen. So profitieren Sie nicht nur von zusätzlicher Kapazität, sondern auch von erprobten Best Practices und einem Blick über die Grenzen der eigenen Organisation hinaus.
Denn unter NIS-2 wird Cybersicherheit nicht mehr nur an Technik gemessen. Sondern an Organisation, Steuerung und Nachweisbarkeit.
Dieser Beitrag gibt einen allgemeinen Überblick und stellt keine rechtliche Beratung dar. Ob ein Unternehmen von NIS-2 betroffen ist und welche konkreten Pflichten bestehen, hängt vom Einzelfall ab.