Magazin
NIS2-Geschäftsführerhaftung: Was Verantwortliche jetzt wissen müssen

NIS2-Geschäftsführerhaftung: Was Verantwortliche jetzt wissen müssen

Letztes Update:
17
.
12
.
2025
Lesezeit:
0
Min
Schon heute sind Geschäftsführer verpflichtet, für IT-Sicherheit zu sorgen. Doch mit der neuen NIS2-Richtlinie wird klar: Die Verantwortung liegt unmissverständlich beim Management. Wer Pflichten ignoriert, Maßnahmen nicht überwacht oder auf Schulungen verzichtet, haftet unter Umständen persönlich. Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland in Kraft – ohne Übergangsfrist. Erfahren Sie in diesem Artikel alles über die NIS2-Haftung und warum IT-Sicherheit Chefsache ist.
NIS2-Geschäftsführerhaftung: Was Verantwortliche jetzt wissen müssen
Die wichtigsten Erkenntnisse
  • Cybersicherheit ist in der digitalen Welt unverzichtbar. Deshalb tragen Geschäftsführer Verantwortung für den Schutz von IT-Systemen sowie Kunden- und Mitarbeiterdaten.
  • Die NIS2-Richtlinie betont die Bedeutung der Cybersicherheit und verpflichtet die Führungsebene, ihr Unternehmen gegen moderne Bedrohungen abzusichern.
  • Verpflichtende Geschäftsführerschulung: Mindestens alle 3 Jahre müssen Führungskräfte Schulungen zu Cyberrisiken absolvieren.
  • Persönliche Haftung: Bei Verstößen können Mitglieder der Geschäftsleitung persönlich haftbar gemacht werden.
  • Um die NIS2-Vorgaben sicher einzuhalten, müssen Verantwortliche sofort proaktive Sicherheitsmaßnahmen ergreifen.

NIS2 bringt neue Pflichten und Verantwortlichkeiten

Die NIS2-Richtlinie der EU ist seit dem 6. Dezember 2025 auch in Deutschland in Kraft. Die Regelung der EU verpflichtet mehr Unternehmen und Branchen als bisher dazu, Sicherheitsvorkehrungen zu treffen, um die Auswirkungen von Cyberattacken auf den Geschäftsbetrieb zu reduzieren und Informationen und Daten in Unternehmen besser zu schützen. Rund 29.500 Unternehmen in Deutschland sind betroffen – ein Anstieg von bisher ca. 4.500 regulierten Organisationen.

Dafür schreibt die Richtlinie verschiedene Maßnahmen vor, zum Beispiel Verfahren zur Cyberhygiene, Notfallpläne und regelmäßige Sicherheitsüberprüfungen und Risikobewertungen. Geschäftsführer sind laut Artikel 20 der neuen NIS2-Richtlinie dazu verpflichtet, die Einhaltung der Vorgaben persönlich zu überwachen. Mindestens alle 3 Jahre müssen Führungskräfte Schulungen zu Cyberrisiken und Sicherheitsmaßnahmen absolvieren.

Der Gesetzgeber erwartet von der Geschäftsleitung unter anderem, aktiv zu handeln und ein solides Sicherheitsmanagement im Unternehmen zu etablieren. Neu ist die Vorgabe, dass die Geschäftsführung dazu verpflichtet ist, selbst an Sicherheitsschulungen teilzunehmen.

Da die NIS2-Richtlinie für mehr Unternehmen gilt als ihre Vorgängerin, müssen sich künftig auch mehr Führungsebenen mit IT-Sicherheit auseinandersetzen. Allerdings tun Geschäftsführer auch heute schon gut daran, das Thema Informationssicherheit ernst zu nehmen.

Persönliche Haftung als Geschäftsführer vermeiden?

NIS2 macht Cybersicherheit zur Chefsache und verschärft die Geschäftsführerhaftung. Prüfen Sie kostenlos, ob Ihr Unternehmen betroffen ist und welche Maßnahmen Sie jetzt ergreifen müssen.

Kostenlosen NIS2-Check starten

Geschäftsführerhaftung: Rechtliche Grundlagen und aktuelle Regelungen

Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Im Zuge der Umsetzung wurde auch das BSI-Gesetz (BSIG) novelliert. Geschäftsführer unterliegen allerdings schon seit jeher einer Sorgfalts-, Legalitäts- und Überwachungspflicht. Diese Pflicht ergibt sich aus § 43 des GmbH-Gesetzes (GmbHG) und § 93 des Aktiengesetzes (AktG). Demnach gilt:

  • IT- und Informationssicherheit ist Teil der Geschäftsführungsaufgabe.
  • Auch ohne besondere Gesetze wie das BSIG oder die DSGVO müssen Geschäftsführer ein angemessenes Risikomanagement einführen.
  • Wer dabei fahrlässig oder vorsätzlich seine Pflichten verletzt, kann zivilrechtlich haftbar gemacht werden, insbesondere gegenüber der eigenen Gesellschaft.

Beispiel: Kommt es infolge mangelnder Cybersicherheit zu einem Schaden, etwa durch einen Ransomware-Angriff, und wäre der Schaden bei ordnungsgemäßer Sorgfalt vermeidbar gewesen, kann die Geschäftsleitung mit ihrem Privatvermögen haftbar gemacht werden.

Was ändert NIS2 an der Geschäftsführerhaftung?

Die NIS2-Richtlinie bringt keine grundlegenden Neuerungen bei der Haftung der Geschäftsleistung, aber sie konkretisiert und verschärft bestehende Pflichten.

Das seit 6. Dezember 2025 geltende NIS2-Umsetzungsgesetz regelt konkret folgendes:

  • Explizite Verantwortung der Geschäftsleitung für Cybersicherheit: Leitungsorgane müssen die Sicherheitsmaßnahmen billigen, überwachen und sind verantwortlich für deren Einhaltung (Art. 20 Abs. 1 NIS2; § 38 BSIG-E).
  • Verpflichtende Schulungen für Geschäftsführer: Mindestens alle 3 Jahre müssen Führungskräfte Schulungen zu Cyberrisiken und Sicherheitsmaßnahmen absolvieren (§ 38 Abs. 3 BSIG-E).
  • Haftungsverschärfung durch gesetzliche Klarstellung: Die Haftung ergibt sich wie bisher aus GmbHG oder AktG. Doch § 38 BSIG-E formuliert das nun explizit für den Bereich Cybersicherheit. Für Geschäftsformen ohne klare gesellschaftsrechtliche Haftung wie Stiftungen oder eingetragene Vereine enthält § 38 BSIG-E einen Auffangtatbestand zur direkten Haftung.
  • Unverzichtbarkeit der Haftung: Ein Verzicht auf die Haftung durch Verträge wie die Gesellschaftervereinbarung soll nicht zulässig sein (§ 38 Abs. 2 S. 3 BSIG-E).

NIS2-Haftung: Welche Konsequenzen drohen Geschäftsführern?

Halten Unternehmen die Vorgaben der NIS2-Richtlinie nicht ein, müssen sie im schlimmsten Fall mit empfindlichen Geldstrafen. Die Höhe variiert je nach Einrichtungsart:

Bußgelder:

  • Besonders wichtige Einrichtungen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
  • Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)

Die Folgen von Verstößen gegen die NIS2-Richtlinie sind allerdings nicht nur finanzieller Natur, sondern gefährden die Reputation eines Unternehmens und können darüber hinaus die Geschäftsführung treffen.

Erfolgt ein Cyberangriff auf das Unternehmen, weil keine ausreichenden Sicherheitsmaßnahmen implementiert wurden, kann die Führungsebene dafür persönlich haftbar gemacht werden. Das gilt auch, wenn ein Verstoß auf Unachtsamkeit oder Nachlässigkeit der IT-Abteilung zurückzuführen ist.  

Die folgenden Szenarien zeigen beispielhaft, wie sich mangelhafte Schutzvorkehrungen auswirken können:

  • In der IT-Infrastruktur bestehen Schwachstellen, die über längere Zeit nicht behoben wurden und Angreifern als Einfallstor dienten.
  • Das Unternehmen hat keine angemessenen Mitarbeiterschulungen zur Cybersicherheit durchgeführt, weshalb Angreifer mit einer Phishing-Attacke Erfolg hatten.
  • Es ist keine angemessene Risikobewertung oder Sicherheitsüberprüfung der eingesetzten Systeme erfolgt, wodurch Datenlecks entstanden und Informationen in die falschen Hände geraten sind.

Besonders kritisch können solche Fehler für verantwortliche Personen werden, wenn man ihnen grobe Fahrlässigkeit oder sogar Vorsatz nachweisen kann.

Was bedeutet Informationssicherheit konkret und was ist der Unterschied zur IT-Sicherheit? Jetzt nachlesen!

Wie können Unternehmen und Geschäftsführer sich absichern?

Geschäftsführer sind verpflichtet, sich über die Anforderungen der NIS2 zu informieren und sicherzustellen, dass alle notwendigen Maßnahmen ergriffen werden. Außerdem müssen sie dafür sorgen, dass in ihrem Unternehmen Schulungen für die Cybersicherheit stattfinden und selbst daran teilnehmen.

Bei NIS2 alles richtig machen

Informieren Sie sich darüber, wer von NIS2 betroffen ist, welche Anforderungen Ihr Unternehmen erfüllen muss und wie wir Sie dabei effizient unterstützen.

Jetzt mit Proliance compliant werden

Proaktives Handeln ist entscheidend, wenn Führungskräfte ihr Unternehmen und sich selbst vor rechtlichen Konsequenzen schützen wollen. Um die Haftung zu minimieren, sollten Geschäftsführer und IT-Verantwortliche deshalb eine Reihe von Maßnahmen ergreifen:

  • Umfassende NIS2-Anforderungen erfüllen: Die konkreten Anforderungen der NIS2-Richtlinie umfassen Registrierung beim BSI, Risikomanagement, Meldeprozesse, Business Continuity Management und technische Sicherheitsmaßnahmen. Einen detaillierten Überblick über alle Pflichten und Schritte zur Umsetzung finden Sie in unserem Artikel zu den NIS2-Anforderungen an Unternehmen.
  • Sicherheitslösungen etablieren: Unternehmen sollten in geeignete Netzwerksicherheits- und Datenschutzsoftware investieren, die den aktuellen Bedrohungen gewachsen ist.
  • Verpflichtende Geschäftsführerschulungen wahrnehmen: Mindestens alle 3 Jahre müssen Geschäftsführer an Schulungen zu Cyberrisiken und Sicherheitsmaßnahmen teilnehmen. Diese Schulungspflicht ist nicht delegierbar und liegt in der persönlichen Verantwortung der Geschäftsleitung. Auch alle Mitarbeiter müssen regelmäßig zu Cybersicherheitsthemen geschult werden.
  • Betroffenheit prüfen und registrieren: Nutzen Sie den NIS2-Check von Proliance für eine erste Einschätzung Ihrer NIS2-Compliance. Regelmäßige Sicherheitsaudits sorgen dafür, dass Schwachstellen frühzeitig identifiziert und effektiv behoben werden können. Die Registrierung beim BSI muss unverzüglich erfolgen – besonders wichtige Einrichtungen haben bis zum 6. März 2026 Zeit, wichtige Einrichtungen müssen sich sofort registrieren.
  • Externe Expertise einbinden: Damit im Unternehmen ausreichend Know-how vorhanden ist, um Cyberangriffe abzuwehren, empfiehlt es sich, neben Schulungen auf die Zusammenarbeit mit externen Datenschutzbeauftragten und ISB zu setzen. So stellen Unternehmen sicher, dass sie neben NIS2 auch andere Richtlinien wie die DSGVO korrekt umsetzen.

Tipp: Ein Informationssicherheitsmanagementsystem (ISMS) hilft Ihnen, Ihr Unternehmen effektiv und strategisch gegen Gefahren aus dem Cyberraum abzusichern und gibt Ihnen die Chance, sich eine begehrte ISO-27001-Zertifizierung zu sichern.

Fazit zur NIS2-Haftung: Informationssicherheit lieber früher als später stärken

Geschäftsführer sind verpflichtet, für angemessene Informationssicherheit zu sorgen – NIS2 macht diese Pflicht nur sichtbarer, überprüfbarer und haftungssicherer. Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland in Kraft – ohne Übergangsfrist. Betroffene Unternehmen und ihre Geschäftsführer müssen sofort handeln. Wer Informationssicherheit bisher aufschiebt, riskiert nicht nur Bußgelder, sondern haftet im schlimmsten Fall sogar persönlich.

Häufige Fragen

Sie haben noch Fragen? Wir haben die Antworten

Welche Pflichten hat die Geschäftsführung unter NIS2?

NIS2 verankert eine klare Pflicht der Unternehmensleitung, ausreichende Ressourcen bereitzustellen, die Umsetzung zu steuern und sich regelmäßig berichten zu lassen. Die Haftung bleibt bei der Geschäftsführung – auch wenn Aufgaben an interne Verantwortliche oder Dienstleister delegiert werden. Das verschärfte BSI-Gesetz ist seit 6. Dezember 2025 in Kraft. Mit deutlich höheren Sanktionen und konsequenterer Durchsetzung ist zu rechnen.

Welche Vorteile bietet eine NIS2 Geschäftsführerschulung?

Die Schulung von Proliance wird im effizienten 1:1- oder Kleingruppen-Format durchgeführt, nicht als Massenkurs. Für Bestandskunden sind die Schulungskosten kostenlos, da sie bei einem ISMS-Projekt angerechnet werden. Die Schulung ist nahtlos in die Proliance 360 Plattform integriert und liefert als gesetzliche Pflichtschulung einen offiziellen Nachweis für Audit und Compliance. Teilnehmer erhalten Zugang zu zertifizierten Experten mit Praxiserfahrung und profitieren von jährlich aktualisierten Folgeschulungen.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
NIS2
Informationssicherheit
ISO 27001
Redaktion
Sabrina Schaub
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von Proliance dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Stefan Rühl
Information Security Lead
In seiner Funktion als Leiter des Bereiches InfoSec und als ISO27001 Lead Auditor unterstützt Stefan unsere Kunden bei der Implementierung- und Optimierung von ISMS Systemen. Sein spezieller Bereich ist der Aufbau von BCM-Umgebungen, Notfall- und Krisenstäben sowie die Erstellung und Verprobung von Notfallprozessen, sowohl bei KMUs als auch bei Konzernstrukturen. Darüber hinaus berät er Geschäftsführer und Vorstände bei der Entscheidungsfindung zur Cyberresilienz und der Optimierung von IT-Organisationen.
Zum Autorenprofil
Zum Expertenprofil
Über Proliance
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

SOC 2 Type 1 vs. SOC 2 Type 2: Die wichtigsten Unterschiede
10
.
10
.
2024
SOC 2 Type 1 vs. SOC 2 Type 2: Die wichtigsten Unterschiede
Die Sicherheit von Kundendaten und die Einhaltung regulatorischer Anforderungen sind heute für Unternehmen jeder Größe von entscheidender Bedeutung. Insbesondere in einer digitalen Welt, in der die Datensicherheit ständig unter Bedrohung steht, suchen Unternehmen nach robusten Maßnahmen, um Vertrauen bei Kunden und Geschäftspartnern aufzubauen. Ein zentraler Aspekt dabei ist der SOC 2-Bericht. Doch was ist SOC 2 eigentlich? Und was ist der Unterschied zwischen SOC 2 Type 1 und SOC 2 Type 2 und wie treffen Sie die beste Entscheidung für Ihr Unternehmen?
KI-Browser: Neue Risiken für Datenschutz und Informationssicherheit
18
.
11
.
2025
KI-Browser: Neue Risiken für Datenschutz und Informationssicherheit
Mit ihren KI-Browsern versprechen Anbieter wie OpenAI und Perplexity mehr Produktivität im Arbeitsalltag. Doch im KI-Browser lauern auch Risiken für Datenschutz und Informationssicherheit: Was Compliance-Verantwortliche über Prompt-Injections und Kontext-Manipulation wissen müssen und wie sie ihr Unternehmen schützen.
it-sa 2025: KI-Governance für den Mittelstand – Erkenntnisse und Handlungsempfehlungen
04
.
11
.
2025
it-sa 2025: KI-Governance für den Mittelstand – Erkenntnisse und Handlungsempfehlungen
Die it-sa 2025 in Nürnberg hat eindrucksvoll gezeigt: Informationssicherheit ist keine theoretische Übung mehr – sie ist geschäftskritische Realität für den deutschen Mittelstand. Zwischen vollgepackten Messegängen und intensiven Gesprächen kristallisierte sich ein klares Bild heraus: Unternehmen suchen nicht nach der perfekten Lösung, sondern nach pragmatischen Antworten auf drängende Compliance-Fragen. Von NIS2 über digitale Souveränität bis hin zu KI-Governance – die regulatorischen Anforderungen wachsen rasant, während interne Ressourcen begrenzt bleiben. Dieser Bericht fasst die wichtigsten Erkenntnisse unserer Panel-Diskussion "Risk Exposure – Was ändert KI wirklich?" zusammen und liefert konkrete Handlungsempfehlungen für KMU.
ISMS – Informationssicherheits-managementsystem
20
.
09
.
2024
ISMS – Informationssicherheits-managementsystem
Ein ISMS ist ein System für das Management von Informationssicherheit – damit stellen Sie sicher, dass interne und externe Informationen in Ihrer Organisation sicher sind. Die wichtigsten Fakten zum Thema ISMS fassen wir in dieser Übersicht für Sie zusammen.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Risikomanagement bei KI-Systemen: EDSA-Guideline praktisch umsetzen
29
.
12
.
2025
Risikomanagement bei KI-Systemen: EDSA-Guideline praktisch umsetzen
Der Europäische Datenschutzausschuss (EDSA) hat im Dezember 2024 eine wegweisende Guideline zum Risikomanagement bei KI-Systemen veröffentlicht. Für Unternehmen, die KI-Systeme betreiben, bedeutet das: Risikomanagement ist nicht mehr optional – es ist Pflicht. Doch wie setzt man die komplexen Anforderungen der EDSA-Guideline praktisch um? Dieser Artikel bietet IT- und Compliance-Verantwortlichen einen strukturierten Leitfaden zur Implementierung – mit konkreten Use Cases, Checklisten und Expertentipps.
KI-Agenten für KMU: Zwischen Hype und Datenschutzrealität
22
.
12
.
2025
KI-Agenten für KMU: Zwischen Hype und Datenschutzrealität
Am Anfang war der Chatbot – heute gibt es autonome KI-Agenten, die Automatisierung und Erleichterung im Arbeitsalltag versprechen. Erfahren Sie, was KI-Agenten von anderen KI-Tools unterscheidet und was Verantwortliche in KMU vor dem Einsatz der intelligenten Helfer bedenken sollten, um den Datenschutz zu gewährleisten und regulatorische Anforderungen zu erfüllen.
Was ist NIS2 und wie erreichen betroffene Unternehmen NIS2-Compliance?
17
.
12
.
2025
Was ist NIS2 und wie erreichen betroffene Unternehmen NIS2-Compliance?
Die NIS2-Richtlinie ist eine EU-weite Regelung zur Verbesserung der Informationssicherheit von Unternehmen und zum Schutz kritischer Infrastrukturen. Sie ist die Antwort auf neue Bedrohungslagen und technologische Entwicklungen. Seit dem 6. Dezember 2025 ist das deutsche NIS2-Umsetzungsgesetz in Kraft – ohne Übergangsfrist. Erfahren Sie, wie Ihr Unternehmen NIS2-compliant wird.
NIS2: Wer ist betroffen? Sektoren und Branchen im Überblick
17
.
12
.
2025
NIS2: Wer ist betroffen? Sektoren und Branchen im Überblick
Seit dem 6. Dezember 2025 müssen rund 29.500 Unternehmen in Deutschland zu mehr Cybersicherheit beitragen. Denn an diesem Tag ist das neue IT-Sicherheitsgesetz NIS2 auch hierzulande in Kraft getreten – ohne Übergangsfrist. Wer Strafen vermeiden will, muss sofort zentrale Schutzmaßnahmen etablieren. Die Frage ist: Wer ist von NIS2 betroffen?
datenschutz-Muster

Kostenlose Materialien zum Thema

Datenschutzerklärung für Kunden
Erfüllen Sie mit unserer Vorlage die DSGVO-Datenschutzinformationspflicht für Ihre Kunden.
Verschwiegenheits­erklärung für Mitarbeiter
Stellen Sie mit unserer Verschwiegenheits­erklärung sicher, dass sensible Informationen im Unternehmen bleiben und reduzieren Sie das Risiko von Datenschutzverstößen und Abmahnungen.
Einwilligungserklärung: Kostenloses Muster
Nutzen Sie unsere kostenlose Vorlage für eine Einwilligungserklärung zur Erhebung personenbezogener Daten.
Datenschutzerklärung Vorlage & Muster
Nutzen Sie unsere kostenlose Datenschutzerklärung Vorlage und setzen Sie die DSGVO sicher um.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!