ChatGPT Image 8. Mai 2026, 09_25_05

Dynamik der NIS-2 Geschäftsführerhaftung

Die Haftungsthematik wird in Beiträgen zu NIS-2 oftmals angesprochen. Doch bis auf die in der Direktive, für Unternehmen, die in den Anwendungsbereich von NIS-2 fallen, genannten Zahlen (bis zu 10 Mio. € Bußgeld oder 2 % des weltweiten Jahresumsatzes für sogenannte „wesentliche Einrichtungen“, für „wichtige Einrichtungen“ sind es immerhin noch bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes) und einem entsprechenden Rat zum dringenden Handeln wird selten weiter in die Tiefe gegangen.

Mit diesem Artikel greifen wir die Dynamiken rund um diese Haftungssummen auf und beschreiben, wie es durch den Einsatz freiberuflicher Experten erst gar nicht zu Haftungs-Fragen kommen muss.

Wenn Sie sich darüber hinaus über die verschiedenen Aspekte und Herausforderungen von NIS-2 informieren möchten, schauen Sie sich gerne unsere Übersicht zum Thema, mit zahlreichen Weiterleitungen zu spezialisierten Themen zu NIS-2 an.

Organisationsrisiko NIS-2 Geschäftsführerhaftung

Betrachtet man die Geschäftsführerhaftung von NIS-2, dann liegt die eigentliche Tragweite nicht allein in möglichen Bußgeldern. Vielmehr liegt sie in der rechtlichen Dynamik dahinter: persönliche Haftung, Organisationspflichten, Nachweispflichten und der Frage, ob die Geschäftsleitung ihrer Verantwortung im Bereich Cybersicherheit angemessen nachgekommen ist.

Im Ernstfall wird eben nicht nur geprüft, ob ein Sicherheitsvorfall eingetreten ist. Bewertet wird vor allem, ob das Unternehmen organisatorisch angemessen aufgestellt war und ob die Geschäftsleitung Risiken aktiv gesteuert hat. Und spätestens an diesem Punkt wird NIS-2 für viele Unternehmen zur echten Managementaufgabe.

Genau hier entstehen derzeit in vielen Unternehmen gefährliche Lücken.

Aus IT-Security wird Organisationsverantwortung

Die deutsche Umsetzung der NIS-2-Richtlinie erfolgt über Anpassungen des BSI-Gesetz. Geschäftsleitungen werden dadurch verpflichtet, Cybersicherheitsmaßnahmen nicht nur formal zu genehmigen, sondern deren Umsetzung und Wirksamkeit aktiv zu überwachen. Die Rolle der Geschäftsführung ändert sich dadurch fundamental.

IT-Security war in vielen Unternehmen bislang delegierbar. Die operative Verantwortung lag bei der IT-Leitung, externen Dienstleistern oder einzelnen Security-Verantwortlichen. Jedoch reicht dies alleine unter NIS-2 nicht mehr aus. Insbesondere dann, wenn Sicherheitsmaßnahmen fehlen, Risiken ignoriert oder organisatorische Defizite nicht behoben werden, bleibt die Geschäftsleitung in der Verantwortung.

Dies kann zu deutlichen Konsequenzen führen:

  • Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
  • persönliche Haftung der Geschäftsführung
  • mögliche Regressforderungen
  • Management-Sanktionen
  • in bestimmten Konstellationen sogar strafrechtliche Risiken

Vor allem für mittelständische Unternehmen entsteht dadurch ein neuer Handlungsdruck. Denn häufig fehlt intern genau jene spezialisierte Security-Expertise, die für eine belastbare Umsetzung notwendig wäre.

Deshalb setzen viele Unternehmen mittlerweile gezielt auf externe Spezialisten wie ISMS-Berater, CISO-as-a-Service-Modelle oder Incident-Response-Experten, um organisatorische Lücken schnell und nachvollziehbar zu schließen.

Das eigentliche Risiko ist oft nicht der Angriff, sondern das Unterlassen

Ein zentraler Punkt wird in der öffentlichen Diskussion häufig unterschätzt: Juristisch problematisch ist nicht automatisch der erfolgreiche Cyberangriff selbst. Entscheidend wird vielmehr, ob ein Unternehmen angemessene organisatorische Maßnahmen getroffen hat.

Besonders kritisch sind dabei:

  • fehlendes oder unzureichendes Risikomanagement
  • keine dokumentierten Incident-Response-Prozesse
  • unzureichende Lieferkettenbewertung
  • fehlende Management-Einbindung
  • mangelnde Überprüfung bestehender Sicherheitsmaßnahmen

Gerade das Thema „Unterlassen“ ist haftungsrechtlich hochrelevant. Wenn bekannte Risiken nicht bewertet, notwendige Maßnahmen nicht umgesetzt oder offensichtliche organisatorische Schwächen nicht adressiert werden, kann daraus eine persönliche Haftung der Geschäftsleitung entstehen.

Die Rechtsgrundlagen hierfür bestehen bereits heute: Für GmbH-Geschäftsführer gilt die "Sorgfalt eines ordentlichen Geschäftsmannes" (§ 43 GmbHG), für Vorstände einer AG die "Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters" (§ 93 AktG).

Dadurch wird von Geschäftsführern zwar keine Perfektion erwartet, aber ein nachvollziehbares, strukturiertes und überprüfbares Sicherheitskonzept.

Insbesondere externe Security-Spezialisten eignen sich für die Entwicklung und Erstellung solcher Konzepte. Ein erfahrener Governance-Experte oder ISMS-Berater kann nicht nur technische Maßnahmen begleiten, sondern vor allem dabei helfen, Entscheidungsprozesse, Risikoanalysen und Dokumentationen belastbar aufzusetzen.

Delegation entlastet zwar operativ, aber nicht rechtlich

Ein häufiger Irrtum lautet: „Dafür haben wir doch unsere IT.“ Jedoch greift dieses Verständnis unter NIS-2 zu kurz. Natürlich bleibt die operative Umsetzung in der Verantwortung von IT-Abteilungen, Security-Teams oder externen Dienstleistern. Die Pflicht zur Steuerung und Überwachung verbleibt jedoch bei der Geschäftsführung.

Das bedeutet konkret, Geschäftsführer müssen nachvollziehen können,

  • welche Risiken bestehen,
  • welche Maßnahmen priorisiert wurden,
  • wie deren Wirksamkeit überprüft wird,
  • und ob ausreichende Ressourcen bereitstehen.

Gerade hier stoßen viele mittelständische Unternehmen an Grenzen. Denn moderne Security-Anforderungen umfassen mittlerweile hochspezialisierte Themen:

  • Penetration Testing
  • Incident Response
  • SIEM-Architekturen
  • Business Continuity Management
  • Lieferketten-Risikobewertung
  • Security-Awareness
  • regulatorische Dokumentation

Diese Expertise dauerhaft intern aufzubauen, ist für viele Unternehmen kaum realistisch, weshalb gezielt auf freiberufliche Experten zurückgegriffen wird:

  • Pentester zur technischen Schwachstellenanalyse,
  • Incident-Response-Experten für Notfallprozesse,
  • BCM-Spezialisten für Krisenmanagement oder
  • CISO-as-a-Service-Rollen zur strategischen Steuerung.

Bei all dem darf aber der Kern der Haftung nicht vergessen werden: Externe Expertise verbessert die organisatorische Aufstellung, ersetzt aber nicht die Steuerungspflicht der Geschäftsleitung.

Im Ernstfall zählt die Nachweisbarkeit

Besonders relevant wird es im Prüfungs- oder Schadensfall. Denn bewertet wird dann nicht primär, ob ein Angriff grundsätzlich vermeidbar gewesen wäre. Entscheidend ist vielmehr, ob angemessene organisatorische Maßnahmen existierten und nachweisbar umgesetzt wurden.

Typische Prüfungsfragen können dabei sein:

  • Gab es ein strukturiertes Sicherheitskonzept?
  • Wurde die Geschäftsleitung regelmäßig eingebunden?
  • Existierten dokumentierte Risikoanalysen?
  • Wurden Sicherheitsmaßnahmen überprüft?
  • Gab es klare Incident-Response-Prozesse?
  • Wurden Lieferkettenrisiken bewertet?

Fehlt diese organisatorische Nachweisbarkeit, entstehen erhebliche Risiken, unabhängig davon, ob bereits Bußgelder verhängt wurden. Gerade deshalb investieren viele Unternehmen aktuell nicht nur in Technik, sondern in belastbare Governance-Strukturen. Externe Spezialisten unterstützen dabei häufig gezielt punktuell:

  • mit Gap-Analysen,
  • Audit-Vorbereitungen,
  • Risiko-Workshops,
  • BCM-Konzepten,
  • Security-Assessments
  • oder dem Aufbau regulatorischer Dokumentationen.

So erhalten Unternehmen durch externe Experten schnell Zugriff auf Spezialwissen, ohne langfristig eigene Ressourcen aufbauen zu müssen.

Ein Fazit: NIS-2 macht Cybersicherheit zur Managementaufgabe

Die eigentliche Tragweite von NIS-2 liegt nicht in einzelnen technischen Anforderungen. Sie liegt in der organisatorischen Verantwortung der Unternehmensleitung.

Geschäftsführer haften künftig nicht primär dafür, Opfer eines Cyberangriffs geworden zu sein. Kritisch wird vielmehr die Frage, ob bekannte Risiken angemessen adressiert wurden und ob die Organisation nachweisbar handlungsfähig war.

Genau deshalb wird externe Security-Expertise für viele mittelständische Unternehmen zunehmend zu einem strategischen Faktor.  Freiberufliche Spezialisten können dabei unterstützen, Sicherheitsstrukturen zügig aufzubauen, interne Teams gezielt zu entlasten und regulatorische Anforderungen praxisnah umzusetzen, von ISMS-Beratern über Pentester bis hin zu Experten für Incident Response und Business Continuity. Besonders wertvoll ist dabei die breite Projekterfahrung, die externe Spezialisten aus unterschiedlichsten Unternehmen und Branchen mitbringen. So profitieren Sie nicht nur von zusätzlicher Kapazität, sondern auch von erprobten Best Practices und einem Blick über die Grenzen der eigenen Organisation hinaus. 

Denn unter NIS-2 wird Cybersicherheit nicht mehr nur an Technik gemessen. Sondern an Organisation, Steuerung und Nachweisbarkeit.

Dieser Beitrag gibt einen allgemeinen Überblick und stellt keine rechtliche Beratung dar. Ob ein Unternehmen von NIS-2 betroffen ist und welche konkreten Pflichten bestehen, hängt vom Einzelfall ab.

NIS-2 mit externer Expertise umsetzen

Etengo ist spezialisiert auf die Vermittlung hochqualifizierter IT-Experten an Unternehmen, die ihre IT-Projekte zuverlässig vorantreiben wollen. Wenn in laufenden Vorhaben kurzfristig zusätzliche Kapazitäten benötigt werden oder unternehmensintern entscheidende Expertise fehlt, schließt Etengo diese Lücke mit passgenau ausgewählten Fachkräften. So erhalten Sie genau die Skills, die Sie brauchen, um kritische Projekte termingerecht umzusetzen, Ressourcenengpässe zu überbrücken und Ihre strategischen Ziele im Bereich Digitalisierung und IT sicher zu erreichen.

Nutzen Sie unsere IT-Expertensuche, um sofort auf sorgfältig ausgewählte IT-Sicherheitsspezialisten zuzugreifen. 

IT-Sicherheits-Experten finden

Sie haben ein komplexes Projekt - wir die dazu passende Lösung! Etengo vermittelt nicht nur einzelne Experten, sondern stellt auch gesamte Projektteams nach Ihren Vorgaben zusammen. Sprechen Sie uns an – gemeinsam analysieren wir Ihren Bedarf und stellen die optimale Besetzung für Sie zusammen.

Lassen Sie uns sprechen

Damit wir Sie optimal unterstützen können, möchten wir Ihre Situation und Ihren konkreten Bedarf möglichst genau verstehen.

So finden wir genau die passenden Lösungen für Ihr Vorhaben.

Autor:

Christian Grimm