NIS-2 Geschäftsführerhaftung: Was GF persönlich riskieren

Lassen Sie mich mit dem Wichtigsten anfangen: Unter NIS-2 können Geschäftsführer und Vorstände persönlich für Pflichtverletzungen einstehen müssen – im Innenverhältnis gegenüber der eigenen Gesellschaft. § 38 BSIG verweist auf die allgemeinen Regeln des Gesellschaftsrechts, also auf die Innenhaftung nach § 43 GmbHG bzw. § 93 AktG. Wenn der Schaden hoch genug ist, kann das durchaus das Privatvermögen betreffen – aber juristisch ist es eine Schadensersatzhaftung gegenüber der eigenen Gesellschaft, keine Außenhaftung gegenüber dem BSI oder Dritten.

Artikel 20 der NIS-2-Richtlinie formuliert es unmissverständlich. Die Leitungsorgane müssen die Sicherheitsmaßnahmen genehmigen, ihre Umsetzung überwachen und können für Verstöße verantwortlich gemacht werden. “Ich habe davon nichts gewusst” oder “Das ist Sache der IT-Abteilung” – diese Ausreden funktionieren nicht mehr.

Wichtig zu wissen: Bußgelder selbst trifft die Einrichtung, nicht die Person. Die persönliche Sanktion gegen Leitungspersonen ist in Art. 32 Abs. 5 NIS-2 vorgesehen – die zeitweise Untersagung der Leitungsfunktion bei wiederholten oder besonders schweren Verstößen.

Was die Geschäftsleitung konkret tun muss

Es gibt vier Kernpflichten, und keine davon ist optional.

Die Genehmigungspflicht bedeutet: Sie müssen die Sicherheitsstrategie, das Budget und die konkreten Maßnahmen formell freigeben. Formell heißt: dokumentiert. Ein kurzes “Machen Sie mal” im Flur reicht nicht. Sie brauchen Protokolle, Unterschriften, nachvollziehbare Entscheidungen.

Die Überwachungspflicht geht weiter als nur “zur Kenntnis nehmen”. Sie müssen aktiv nachfragen. Wie ist der Stand der Umsetzung? Gab es Vorfälle? Was sagen die letzten Audits? Wenn Sie bei diesen Fragen ins Stocken geraten, haben Sie ein Problem.

Die Schulungspflicht betrifft Sie persönlich. Sie müssen ausreichende Kenntnisse erwerben, um Risiken zu erkennen und Maßnahmen zu bewerten. Das ist keine Empfehlung, das ist eine Pflicht. Sie müssen wissen, wovon die Rede ist, wenn Ihr IT-Leiter von Ransomware, Phishing oder Zero-Day-Exploits spricht.

Die Ressourcenbereitstellung ist eigentlich selbstverständlich, aber jetzt auch rechtlich verankert. Wenn Sie Cybersicherheit fordern, aber kein Budget dafür freigeben, ist das ein Widerspruch – und ein haftungsrelevanter dazu.

Wann es wirklich gefährlich wird

Die Innenhaftung gegenüber dem eigenen Unternehmen ist der praxisrelevante Fall. Stellen Sie sich vor: Das BSI verhängt ein Millionenbußgeld wegen mangelhafter Sicherheitsmaßnahmen. Oder ein Ransomware-Angriff verursacht Schäden in Millionenhöhe, die vermeidbar gewesen wären. In beiden Fällen kann das Unternehmen – oder im Insolvenzfall der Insolvenzverwalter – Sie persönlich auf Schadensersatz nehmen, wenn Ihnen eine schuldhafte Pflichtverletzung nachgewiesen wird.

Die Frage lautet dann: Haben Sie Ihre Pflichten erfüllt? Haben Sie sich informiert, haben Sie genehmigt, haben Sie überwacht? Und können Sie das beweisen?

Eine echte Außenhaftung gegenüber Dritten oder gar dem BSI sieht das BSIG dagegen nicht vor. Anders als manche Marketing-Texte suggerieren, kann das BSI Sie als Geschäftsführer nicht direkt persönlich auf Schadensersatz nehmen. Im Verhältnis zu Dritten – etwa geschädigten Kunden – greifen die allgemeinen deliktischen Regeln. Direkte Ansprüche sind theoretisch denkbar, in der Praxis aber selten und mit hohen Hürden verbunden.

Und dann gibt es noch die strafrechtliche Dimension. Hier ist Vorsicht geboten: Die in der Branche oft zitierte “Untreue (§ 266 StGB) bei mangelnder Cybersicherheit” ist juristisch deutlich differenzierter, als manche Texte glauben machen. Untreue setzt eine qualifizierte Vermögensbetreuungspflicht, eine gravierende Pflichtverletzung, einen konkreten Vermögensnachteil und Vorsatz voraus. Einschlägige Rechtsprechung im IT-Sicherheitskontext gibt es bisher praktisch keine. Das heißt nicht, dass es ausgeschlossen wäre – aber pauschale Aussagen vom Typ “mangelnde Cybersicherheit kann Untreue darstellen” sind eine starke Vereinfachung.

Die Business Judgment Rule und ihre Grenzen

In der Diskussion taucht häufig die Business Judgment Rule (§ 93 Abs. 1 S. 2 AktG) als Schutzschild auf. Hier ist eine wichtige Klarstellung nötig: Die BJR schützt unternehmerische Ermessensentscheidungen, die auf Grundlage angemessener Informationen, ohne Interessenkonflikte und zum Wohl des Unternehmens getroffen werden. Sie schützt nicht bei der Verletzung von Legalitätspflichten.

Und genau das ist § 30 BSIG: eine Legalitätspflicht. Die zehn Mindestmaßnahmen aus Art. 21 NIS-2 müssen umgesetzt werden – das ist kein Ermessen. Wer die MFA gar nicht einführt oder kein Risikomanagement etabliert, kann sich nicht hinter der BJR verstecken.

Wo die BJR durchaus relevant wird: bei der Auswahl, Priorisierung und konkreten Ausgestaltung von Maßnahmen. Welches Schutzniveau ist für ein bestimmtes System angemessen? Welche von mehreren technischen Lösungen wählen wir? Welche Risiken akzeptieren wir bewusst und dokumentiert? Hier kommt es auf die Qualität der Entscheidungsgrundlage an – und hier kann eine sorgfältig dokumentierte Entscheidung Schutz bieten, selbst wenn sich die Wahl im Nachhinein als nicht optimal herausstellt.

Der Unterschied liegt zwischen “Wir haben uns ernsthaft mit Cybersicherheit befasst, Experten einbezogen und eine fundierte, dokumentierte Entscheidung getroffen” und “Wir haben die Pflicht ignoriert”. Das erste kann ein BJR-Fall sein, das zweite ist Pflichtverletzung – und durch die BJR nicht heilbar.

Was Sie konkret tun sollten

Dokumentation ist Ihr bester Freund. Lassen Sie alle sicherheitsrelevanten Entscheidungen protokollieren. Wenn Sie ein Sicherheitskonzept genehmigen, unterschreiben Sie es. Wenn Sie ein Budget freigeben, halten Sie fest, wofür und warum.

Machen Sie Cybersicherheit zum regelmäßigen Tagesordnungspunkt. Nicht einmal im Jahr, sondern quartalsweise. Lassen Sie sich vom CISO oder IT-Leiter berichten. Fragen Sie nach, wenn Sie etwas nicht verstehen. Die Fragen zeigen Engagement, nicht Unwissenheit.

Nehmen Sie an Schulungen teil – und dokumentieren Sie das. Es gibt gute Programme speziell für Führungskräfte, die nicht in technischen Details versinken, sondern die Risiken und Entscheidungsgrundlagen vermitteln.

Prüfen Sie Ihre D&O-Versicherung. Deckt sie NIS-2-Verstöße ab? Sind die Summen ausreichend? Vorsätzliche Verstöße werden nie gedeckt sein, aber fahrlässige Fehler könnten abgesichert werden. Klären Sie das mit Ihrem Versicherungsmakler.

Delegation und ihre Grenzen

Natürlich können Sie nicht selbst die Firewall konfigurieren. Operative Aufgaben lassen sich delegieren – das tägliche Sicherheitsmanagement, die technische Umsetzung, die Schulungen für Mitarbeiter.

Was Sie nicht delegieren können, ist die Letztverantwortung. Die Genehmigung der Strategie, die Überwachung der Umsetzung, die eigene Schulungspflicht – das bleibt bei Ihnen. Wenn Sie delegieren, müssen Sie die richtigen Leute auswählen, klare Zuständigkeiten definieren und regelmäßig kontrollieren. “Ich habe das delegiert” ist keine Entschuldigung, wenn die Delegation selbst mangelhaft war.

Im Konzern wird es kompliziert

Wenn Ihr Unternehmen Teil eines Konzerns ist, stellen sich zusätzliche Fragen. Die Konzernmutter haftet nicht automatisch für Sicherheitsmängel bei Töchtern – aber es gibt Einflusspflichten bei wesentlichen Beteiligungen. Umgekehrt sind Sie als Geschäftsführer einer Tochtergesellschaft nicht entlastet, nur weil die Konzernmutter Vorgaben macht. Sie müssen diese Vorgaben prüfen und lokale Anforderungen berücksichtigen.

In der Praxis bedeutet das: Konzernweite Sicherheitsrichtlinien sind sinnvoll, aber keine Garantie. Jede Geschäftsführung muss ihre eigene Verantwortung ernst nehmen.

Die unbequeme Wahrheit

NIS-2 macht Cybersicherheit zur Chefsache. Das ist kein Marketing-Slogan, das ist geltendes Recht. Sie können das Thema nicht mehr an die IT-Abteilung abschieben und hoffen, dass schon nichts passiert.

Die gute Nachricht: Wer proaktiv handelt, hat wenig zu befürchten. Wer sich informiert, investiert, überwacht und dokumentiert, wird im Ernstfall besser dastehen als jemand, der das Thema ignoriert hat.

Die weniger gute Nachricht: “Proaktiv handeln” kostet Zeit, Aufmerksamkeit und Geld. Aber die Alternative – ein Vorfall, gefolgt von einem Bußgeld, gefolgt von einem Haftungsverfahren – kostet deutlich mehr.

Fangen Sie heute an. Lassen Sie sich den aktuellen Stand der Cybersicherheit berichten. Stellen Sie Fragen. Und dokumentieren Sie, dass Sie gefragt haben.