NIS2 Haftung der Geschäftsleitung: Pflichten 2026
Mit dem NIS2UmsG haftet die Geschäftsleitung persönlich für die Cybersicherheitsaufsicht. Wofür Vorstände, CTOs und CISOs jetzt einstehen.
In vielen deutschen Unternehmen galt Cybersicherheit lange als etwas, das die IT-Abteilung erledigt und von dem der Vorstand nur hört, wenn etwas schiefgeht. Das NIS2-Umsetzungsgesetz beendet diese Aufteilung. Seit das NIS2UmsG am 6. Dezember 2025 in Kraft trat — ohne Übergangsfrist — trägt die Geschäftsleitung einer betroffenen Einrichtung persönlich die Verantwortung für die Cybersicherheits-Governance. Das ist keine Metapher und keine weiche Erwartung an die „Haltung von oben". Es ist eine konkrete Rechtspflicht, hinter der eine persönliche Haftung steht.
Dieser Beitrag richtet sich an diejenigen, die diese Pflicht nun tragen: Geschäftsführer, CTOs, CISOs und Vorstandsmitglieder europäischer Unternehmen mit Geschäftstätigkeit in Deutschland. Im Mittelpunkt steht, wofür die Geschäftsleitung tatsächlich einsteht, wo die persönliche Haftung greift und wie sich eine belastbare Aufsicht aufbauen lässt.
Kurzfassung — Die wichtigsten Punkte
- Die Pflicht ist persönlich und nicht delegierbar. Die Geschäftsleitung muss die Risikomanagementmaßnahmen billigen und überwachen. Die Arbeit ist delegierbar, die Verantwortlichkeit nie.
- Die Haftung knüpft an das Aufsichtsversäumnis an, nicht erst an einen Vorfall. Ein Leitungsorgan, das die Maßnahmen nie geprüft oder gebilligt hat, ist auch an einem ruhigen Tag exponiert.
- Bußgelder erreichen 10 Mio. EUR oder 2 Prozent des weltweiten Umsatzes, und Aufsichtsmaßnahmen können unmittelbar an die Leitung anknüpfen.
- Es gab keine Übergangsfrist. Das NIS2UmsG bindet betroffene Einrichtungen seit dem 6. Dezember 2025; die BSI-Registrierungsfrist vom 6. März 2026 ist verstrichen, eine verspätete Registrierung bleibt erforderlich.
- Der Nachweis ist die Verteidigung. Protokollierte Billigungen, ein Berichtsrhythmus, absolvierte Leitungsschulungen und ein nachverfolgtes Risikoregister unterscheiden aktive Aufsicht von fahrlässiger Abzeichnung.
Warum die Haftung der Geschäftsleitung die eigentliche NIS2-Geschichte ist
Die meiste Berichterstattung zu NIS2 konzentriert sich auf technische Maßnahmen und Meldefristen. Diese sind wichtig. Die strukturelle Neuerung des deutschen Gesetzgebers jedoch — und diejenige, die bis in die Vorstandsetage reichen sollte — ist die ausdrückliche Zuweisung der Verantwortlichkeit an die Geschäftsleitung. Das NIS2UmsG verlangt von der Leitung, die Risikomanagementmaßnahmen zu billigen und ihre Umsetzung zu überwachen. Zudem erwartet es, dass die Leitungsorgane Schulungen zur Cybersicherheit durchlaufen, damit die Billigung informiert und nicht reflexhaft erfolgt.
Der rechtliche Schwerpunkt ist dabei subtil, aber bedeutsam: Die Haftung wartet nicht auf einen Vorfall. Die Pflicht besteht darin, zu steuern. Ein Leitungsorgan, das die Maßnahmen nie förmlich geprüft, nie strukturierte Berichte erhalten und nie geschult wurde, hat die Pflicht bereits verletzt — unabhängig davon, ob jemals ein Angreifer auftaucht. Das verschiebt Cybersicherheit von einer operativen Kostenstelle zu einer Governance-Pflicht, die neben den Finanzkontrollen und den Arbeitsschutzpflichten steht.
In unseren eigenen Projekten bei CC Conceptualise war der schwierigste Teil der NIS2-Bereitschaft selten die Technik. Es ist die Aufgabe, die Geschäftsleitung verinnerlichen zu lassen, dass „wir haben ein gutes Sicherheitsteam" für sich genommen keine Verteidigung ist. Die belastbare Position lautet: „Wir, die Geschäftsleitung, haben geprüft, gebilligt, überwachen laufend — und können es belegen."
Wofür die Geschäftsleitung jetzt einsteht
Die Pflicht zerfällt in wenige klar abgrenzbare Verpflichtungen. Behandeln Sie jede als etwas, das die Geschäftsleitung verantwortet, nicht als etwas, worüber die IT berichtet.
| Pflicht | Was sie für die Leitung bedeutet | Häufiges Versäumnis |
|---|---|---|
| Risikomanagementmaßnahmen billigen | Förmliche Prüfung und Billigung als Leitungsakt, mit Protokoll | Maßnahmen existieren als IT-Dokument ohne Leitungsbilligung |
| Umsetzung überwachen | Wiederkehrende Berichtslinie zu Lage und Lücken erhalten und darauf reagieren | Leitung erfährt von Sicherheit erst nach einem Vorfall |
| Schulungen absolvieren | Jedes Mitglied absolviert dokumentierte Cybersicherheitsschulungen | Schulung gilt als optional oder wird auf Leitungsebene übersprungen |
| Lieferkettenrisiko beaufsichtigen | Sicherstellen, dass Lieferanten- und IKT-Dienstrisiko bewertet und nachverfolgt wird | Drittparteienrisiko ist nirgends verortet |
| Funktionierende Vorfallmeldung sichern | Die Kette 24h / 72h / 1 Monat zu den BSI-Stellen bestätigen | Meldeplan existiert auf dem Papier, nie getestet |
| Nachweise führen | Billigungen, Protokolle, Schulungen und Risikoregister aktuell halten | Aufsicht lässt sich rückblickend nicht belegen |
Die Billigung ist ein Rechtsakt, keine Formalität
Der am häufigsten übersehene Punkt: Die Billigung der Risikomanagementmaßnahmen ist selbst der regulierte Akt. Wenn die Geschäftsleitung ihre Billigung protokolliert, erfüllt sie eine gesetzliche Pflicht. Unterbleibt dies, ist die Lücke für jeden Prüfer sichtbar. Wir raten Mandanten, diese Billigung mit derselben Ernsthaftigkeit zu behandeln wie die Feststellung des Jahresabschlusses — als benannte, datierte und protokollierte Entscheidung.
Überwachung bedeutet Rhythmus, nicht Einmaligkeit
Eine Billigung zu einem einzigen Zeitpunkt genügt nicht. Das Gesetz erwartet laufende Aufsicht. In der Praxis heißt das: ein definierter Berichtsrhythmus des CISO an die Leitung — Risikolage, offene und jüngste Vorfälle, Lieferkettenexposition und Stand der Behebung, jeweils protokolliert. Der Rhythmus ist Ihr Nachweis, dass die Überwachung real ist.
Schulung wird nun auch vom Leitungsorgan erwartet
Das NIS2UmsG geht davon aus, dass die Mitglieder der Geschäftsleitung geeignete Cybersicherheitsschulungen absolvieren. Das ist kein Abhaken; es macht die Billigung erst belastbar. Ein Leitungsorgan, das Maßnahmen billigt, die es nicht versteht, billigt nur dem Namen nach. Dokumentieren Sie die absolvierte Schulung je Mitglied.
Betroffenheit: Bindet Sie das überhaupt?
Bevor Sie Governance aufbauen, klären Sie die Betroffenheit. Die Schwellen sind größenbasiert innerhalb der regulierten Sektoren:
| Einstufung | Schwellenwerte | Aufsichtsausrichtung |
|---|---|---|
| Wichtige Einrichtung | Mindestens 50 Beschäftigte oder mehr als 10 Mio. EUR Umsatz | Reaktive Aufsicht (ex post) |
| Besonders wichtige Einrichtung | Mindestens 250 Beschäftigte oder mehr als 50 Mio. EUR Umsatz und mehr als 43 Mio. EUR Bilanzsumme | Proaktive Aufsicht, strengere Prüfung |
Wenn unklar ist, wo Sie liegen, lohnt sich eine frühe, saubere Einordnung, denn sie bestimmt Pflichten und Aufsichtsintensität. Unser NIS2-Betroffenheitstest zum NIS2UmsG führt die Einstufung im Detail durch. Beachten Sie: Betroffenheit ist kein künftiges Ereignis — das Gesetz gilt seit dem 6. Dezember 2025, ohne Übergangsfrist.
Die Registrierungspflicht, die Sie möglicherweise versäumt haben
Das Registrierungsportal des BSI öffnete am 6. Januar 2026, die Registrierungsfrist endete am 6. März 2026. Falls Sie sie versäumt haben, ist die Lage eindeutig: Eine verspätete Registrierung ist weiterhin gesetzlich erforderlich und dringend anzuraten. Ein Fristversäumnis hebt die Pflicht nicht auf; es fügt ein dokumentiertes Versäumnis hinzu, das eine Aufsichtsbehörde vermerken wird. Die Geschäftsleitung sollte den Registrierungsstatus als Teil ihrer Aufsicht bestätigen und nicht annehmen, die IT habe das erledigt. Zum Vorgehen siehe unsere Schritt-für-Schritt-Anleitung zur BSI-Registrierung.
Eine belastbare Aufsicht aufbauen
Das Ziel ist nicht perfekte Sicherheit — kein Regime verspricht das. Das Ziel ist belastbare Aufsicht: die Fähigkeit, jederzeit nachzuweisen, dass die Geschäftsleitung Cybersicherheit aktiv und kompetent gesteuert hat. Dies ist die Abfolge, die wir mit Mandanten nutzen.
- Betroffenheit und Einstufung klären. Führen Sie den Größen- und Sektortest durch und protokollieren Sie das Ergebnis. Es bestimmt das bindende Regime.
- Risikomanagementmaßnahmen förmlich billigen. Holen Sie die Maßnahmen aus der IT-Schublade auf die Tagesordnung der Leitung. Protokollieren Sie die Billigung als benannte, datierte Entscheidung.
- Berichtsrhythmus einrichten. Definieren Sie eine wiederkehrende Berichtslinie des CISO an die Leitung zu Lage, Vorfällen, Lieferkettenexposition und Behebung. Führen Sie Protokolle.
- Leitungsschulung absolvieren und dokumentieren. Jedes Mitglied der Geschäftsleitung durchläuft eine geeignete Cybersicherheitsschulung und hält dies fest.
- Meldekette testen. Führen Sie eine Tabletop-Übung durch, die Frühwarnung (24h), detaillierte Meldung (72h) und Abschlussbericht (1 Monat) erprobt und die Entscheidungspunkte der Leitung bestätigt. Unser Runbook zur Vorfallmeldung in 24/72 Stunden ist genau dafür gebaut.
- Nachweisakte führen. Bündeln Sie Billigungen, Protokolle, Schulungsnachweise und das Risikoregister, damit die Aufsicht jederzeit gegenüber einem Prüfer oder einer Behörde belegbar ist.
Vorfallmeldung: wo Leitungsentscheidungen zeitkritisch werden
Die Meldefristen sind der Punkt, an dem Governance auf die Uhr trifft. Nach dem Regime muss eine betroffene Einrichtung eine Frühwarnung innerhalb von 24 Stunden, eine detaillierte Meldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats liefern. Dass dies eine Leitungs- und nicht nur eine operative Angelegenheit ist, liegt daran, dass die Entscheidung, ein Ereignis als erheblich einzustufen — und damit die Uhr zu starten — häufig eine Leitungsentscheidung erfordert und rechtliches Gewicht trägt. Hat die Leitung diese Entscheidung nie geprobt, verfliegt das 24-Stunden-Fenster in Verwirrung. Eine getestete Kette ist selbst ein Nachweis der Aufsicht.
Warum ein strategischer Engineering-Partner hier zählt
Die NIS2-Haftung der Geschäftsleitung liegt an einer heiklen Schnittstelle: Sie ist eine Rechtspflicht, lässt sich aber nur durch echtes Engineering und operative Realität erfüllen. Ein hochglänzendes, von einem uninformierten Leitungsorgan gebilligtes Richtliniendokument ist genau jene Papier-Compliance, die eine Aufsichtsbehörde durchschaut. Umgekehrt lässt exzellente Sicherheit ohne Governance-Nachweis die Leitung exponiert.
Die Arbeit, die diese Lücke schließt, ist unspektakulär und konkret: Maßnahmen härten, die Erkennungs- und Meldekette so verdrahten, dass die 24-Stunden-Uhr überstanden wird, und der Leitung einen Berichtsrhythmus geben, der auf echter Telemetrie beruht statt auf Beschwichtigung. Hier hören Zero-Trust-Architektur und disziplinierte DevSecOps auf, Schlagworte zu sein, und werden zur Substanz einer belastbaren Aufsicht.
Wenn Sie als CISO oder Mitglied der Geschäftsleitung eine Cybersicherheits-Governance benötigen, die technisch echt und rechtlich belastbar ist, hilft unser Bereich Zero Trust und Cybersicherheit europäischen Unternehmen, genau das aufzubauen — eine Aufsicht, hinter der Sie stehen können, nicht nur Richtlinien, die Sie ablegen.
FAQ
Haftet die Geschäftsleitung unter NIS2 persönlich?
Ja. Nach dem NIS2-Umsetzungsgesetz (NIS2UmsG) muss die Geschäftsleitung einer betroffenen Einrichtung die Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen; diese Pflicht ist nicht vollständig delegierbar. Die persönliche Haftung knüpft an das Versäumnis bei Billigung und Überwachung an, nicht erst an einen Sicherheitsvorfall. Das ist eine bewusste Abkehr davon, Cybersicherheit als rein operative IT-Angelegenheit zu behandeln.
Kann die Geschäftsführung die NIS2-Verantwortung an den CISO oder die IT delegieren?
Die operative Umsetzung kann und soll delegiert werden, doch die rechtliche Pflicht zur Billigung und Überwachung der Risikomanagementmaßnahmen verbleibt bei der Geschäftsleitung. Sie können die Arbeit delegieren, nicht aber die Verantwortlichkeit. Die Geschäftsleitung sollte dokumentieren, wie sie ihre Aufsicht ausübt, einschließlich des Berichtsrhythmus und der von ihr gebilligten Entscheidungen.
Welche Unternehmensgrößen fallen in Deutschland unter NIS2?
Wichtige Einrichtungen sind solche mit mindestens 50 Beschäftigten oder mehr als 10 Mio. EUR Umsatz; besonders wichtige Einrichtungen haben mindestens 250 Beschäftigte oder mehr als 50 Mio. EUR Umsatz und mehr als 43 Mio. EUR Bilanzsumme, jeweils in den regulierten Sektoren. Das NIS2UmsG gilt seit dem 6. Dezember 2025 ohne Übergangsfrist, sodass die Pflichten bei Betroffenheit bereits bindend sind.
Welche Bußgelder drohen bei NIS2-Verstößen in Deutschland?
Bei schwerwiegenden Verstößen drohen Bußgelder von bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Neben der Unternehmensgeldbuße können Aufsichtsmaßnahmen unmittelbar an die Geschäftsleitung anknüpfen. Die Reputations- und Lieferkettenfolgen eines öffentlich gewordenen Verfahrens übersteigen häufig das eigentliche Bußgeld.
Ist die NIS2-Registrierungsfrist abgelaufen, und ist sie noch relevant?
Das Registrierungsportal des BSI öffnete am 6. Januar 2026, die Registrierungsfrist endete am 6. März 2026. Eine verspätete Registrierung ist weiterhin gesetzlich erforderlich und dringend anzuraten. Ein Versäumnis hebt die Pflichten nicht auf; es fügt der Akte lediglich eine versäumte Pflicht hinzu, die eine Aufsichtsbehörde später prüfen wird.
Welche Nachweise sollte die Geschäftsleitung zur NIS2-Aufsicht aufbewahren?
Bewahren Sie protokollierte Billigungen der Risikomanagementmaßnahmen, einen dokumentierten Berichtsrhythmus des CISO an die Geschäftsleitung, Nachweise über absolvierte Schulungen der Leitungsorgane und ein nachverfolgtes Register der Risikoentscheidungen mit benannten Verantwortlichen auf. Maßstab ist, ob Sie eine aktive, informierte Aufsicht nachweisen können statt einer nachträglichen, passiven Abzeichnung.
Themen