Geschäftsführerhaftung unter NIS-2: Persönliche Verantwortung und Risiken

Lassen Sie mich mit dem Wichtigsten anfangen: Unter NIS-2 können Geschäftsführer und Vorstände mit ihrem Privatvermögen haften, wenn sie ihre Cybersicherheitspflichten verletzen. Das ist neu, das ist ernst gemeint, und das ändert die Spielregeln fundamental.

Artikel 20 der NIS-2-Richtlinie formuliert es unmissverständlich. Die Leitungsorgane müssen die Sicherheitsmaßnahmen genehmigen, ihre Umsetzung überwachen und können für Verstöße verantwortlich gemacht werden. “Ich habe davon nichts gewusst” oder “Das ist Sache der IT-Abteilung” – diese Ausreden funktionieren nicht mehr.

Was die Geschäftsleitung konkret tun muss

Es gibt vier Kernpflichten, und keine davon ist optional.

Die Genehmigungspflicht bedeutet: Sie müssen die Sicherheitsstrategie, das Budget und die konkreten Maßnahmen formell freigeben. Formell heißt: dokumentiert. Ein kurzes “Machen Sie mal” im Flur reicht nicht. Sie brauchen Protokolle, Unterschriften, nachvollziehbare Entscheidungen.

Die Überwachungspflicht geht weiter als nur “zur Kenntnis nehmen”. Sie müssen aktiv nachfragen. Wie ist der Stand der Umsetzung? Gab es Vorfälle? Was sagen die letzten Audits? Wenn Sie bei diesen Fragen ins Stocken geraten, haben Sie ein Problem.

Die Schulungspflicht betrifft Sie persönlich. Sie müssen ausreichende Kenntnisse erwerben, um Risiken zu erkennen und Maßnahmen zu bewerten. Das ist keine Empfehlung, das ist eine Pflicht. Sie müssen wissen, wovon die Rede ist, wenn Ihr IT-Leiter von Ransomware, Phishing oder Zero-Day-Exploits spricht.

Die Ressourcenbereitstellung ist eigentlich selbstverständlich, aber jetzt auch rechtlich verankert. Wenn Sie Cybersicherheit fordern, aber kein Budget dafür freigeben, ist das ein Widerspruch – und ein haftungsrelevanter dazu.

Wann es wirklich gefährlich wird

Die Innenhaftung gegenüber dem eigenen Unternehmen ist der wahrscheinlichste Fall. Stellen Sie sich vor: Das BSI verhängt ein Millionenbußgeld wegen mangelhafter Sicherheitsmaßnahmen. Oder ein Ransomware-Angriff verursacht Schäden in Millionenhöhe, die vermeidbar gewesen wären. In beiden Fällen kann das Unternehmen – oder im Insolvenzfall der Insolvenzverwalter – Sie persönlich auf Schadensersatz verklagen.

Die Frage lautet dann: Haben Sie Ihre Pflichten erfüllt? Haben Sie sich informiert, haben Sie genehmigt, haben Sie überwacht? Und können Sie das beweisen?

Die Außenhaftung gegenüber Dritten ist seltener, aber nicht ausgeschlossen. Wenn Kunden oder Geschäftspartner durch einen Cybervorfall bei Ihnen Schäden erleiden, können unter Umständen auch direkte Ansprüche entstehen.

Und dann gibt es noch die strafrechtliche Dimension. Bei vorsätzlichen oder grob fahrlässigen Verstößen können Ermittlungen wegen Untreue eingeleitet werden. Das ist der worst case, aber er ist nicht undenkbar.

Die Business Judgment Rule als Schutzschild

Es gibt Entwarnung: Nicht jede falsche Entscheidung führt zur Haftung. Die sogenannte Business Judgment Rule schützt Geschäftsführer, die auf Grundlage angemessener Informationen, ohne Interessenkonflikte und zum Wohl des Unternehmens entscheiden.

Was heißt das praktisch? Wenn Sie sich ernsthaft mit Cybersicherheit befassen, Experten einbeziehen, fundierte Entscheidungen treffen und diese dokumentieren – dann sind Sie geschützt, selbst wenn sich eine Maßnahme im Nachhinein als unzureichend erweist.

Der Unterschied liegt zwischen “Wir haben das Risiko falsch eingeschätzt, obwohl wir uns informiert haben” und “Wir haben uns gar nicht erst mit dem Thema befasst”. Das erste ist unternehmerisches Risiko, das zweite ist Pflichtverletzung.

Was Sie konkret tun sollten

Dokumentation ist Ihr bester Freund. Lassen Sie alle sicherheitsrelevanten Entscheidungen protokollieren. Wenn Sie ein Sicherheitskonzept genehmigen, unterschreiben Sie es. Wenn Sie ein Budget freigeben, halten Sie fest, wofür und warum.

Machen Sie Cybersicherheit zum regelmäßigen Tagesordnungspunkt. Nicht einmal im Jahr, sondern quartalsweise. Lassen Sie sich vom CISO oder IT-Leiter berichten. Fragen Sie nach, wenn Sie etwas nicht verstehen. Die Fragen zeigen Engagement, nicht Unwissenheit.

Nehmen Sie an Schulungen teil – und dokumentieren Sie das. Es gibt gute Programme speziell für Führungskräfte, die nicht in technischen Details versinken, sondern die Risiken und Entscheidungsgrundlagen vermitteln.

Prüfen Sie Ihre D&O-Versicherung. Deckt sie NIS-2-Verstöße ab? Sind die Summen ausreichend? Vorsätzliche Verstöße werden nie gedeckt sein, aber fahrlässige Fehler könnten abgesichert werden. Klären Sie das mit Ihrem Versicherungsmakler.

Delegation und ihre Grenzen

Natürlich können Sie nicht selbst die Firewall konfigurieren. Operative Aufgaben lassen sich delegieren – das tägliche Sicherheitsmanagement, die technische Umsetzung, die Schulungen für Mitarbeiter.

Was Sie nicht delegieren können, ist die Letztverantwortung. Die Genehmigung der Strategie, die Überwachung der Umsetzung, die eigene Schulungspflicht – das bleibt bei Ihnen. Wenn Sie delegieren, müssen Sie die richtigen Leute auswählen, klare Zuständigkeiten definieren und regelmäßig kontrollieren. “Ich habe das delegiert” ist keine Entschuldigung, wenn die Delegation selbst mangelhaft war.

Im Konzern wird es kompliziert

Wenn Ihr Unternehmen Teil eines Konzerns ist, stellen sich zusätzliche Fragen. Die Konzernmutter haftet nicht automatisch für Sicherheitsmängel bei Töchtern – aber es gibt Einflusspflichten bei wesentlichen Beteiligungen. Umgekehrt sind Sie als Geschäftsführer einer Tochtergesellschaft nicht entlastet, nur weil die Konzernmutter Vorgaben macht. Sie müssen diese Vorgaben prüfen und lokale Anforderungen berücksichtigen.

In der Praxis bedeutet das: Konzernweite Sicherheitsrichtlinien sind sinnvoll, aber keine Garantie. Jede Geschäftsführung muss ihre eigene Verantwortung ernst nehmen.

Die unbequeme Wahrheit

NIS-2 macht Cybersicherheit zur Chefsache. Das ist kein Marketing-Slogan, das ist geltendes Recht. Sie können das Thema nicht mehr an die IT-Abteilung abschieben und hoffen, dass schon nichts passiert.

Die gute Nachricht: Wer proaktiv handelt, hat wenig zu befürchten. Wer sich informiert, investiert, überwacht und dokumentiert, wird im Ernstfall besser dastehen als jemand, der das Thema ignoriert hat.

Die weniger gute Nachricht: “Proaktiv handeln” kostet Zeit, Aufmerksamkeit und Geld. Aber die Alternative – ein Vorfall, gefolgt von einem Bußgeld, gefolgt von einem Haftungsverfahren – kostet deutlich mehr.

Fangen Sie heute an. Lassen Sie sich den aktuellen Stand der Cybersicherheit berichten. Stellen Sie Fragen. Und dokumentieren Sie, dass Sie gefragt haben.