NIS2 und die persönliche Haftung: Was Geschäftsführer jetzt wissen müssen

Die neue EU-Richtlinie NIS2 macht Cybersicherheit endgültig zur Chefsache. Geschäftsführer im deutschen Mittelstand müssen sich auf eine drastisch verschärfte persönliche Haftung einstellen. Wer das Thema ignoriert, riskiert nicht nur empfindliche Strafen für das Unternehmen, sondern auch sein Privatvermögen. Eine Analyse der neuen Lage und was jetzt zu tun ist.

Stellen Sie sich vor, Ihr Unternehmen wird Opfer eines Ransomware-Angriffs. Die Produktion steht still, Kundendaten sind verschlüsselt, die Reputation Ihres über Jahrzehnte aufgebauten Familienbetriebs ist in Gefahr. Ein Albtraum, der für immer mehr deutsche Mittelständler zur bitteren Realität wird. Doch mit der neuen NIS2-Richtlinie der Europäischen Union, die bis Oktober 2024 in nationales Recht umgesetzt sein muss, kommt eine neue, persönliche Dimension hinzu: Als Geschäftsführer könnten Sie für den entstandenen Schaden mit Ihrem Privatvermögen haften.

Die Zeiten, in denen Cybersicherheit als reines IT-Thema in die Technikabteilung delegiert werden konnte, sind endgültig vorbei. NIS2, die zweite Auflage der „Network and Information Security“ Direktive, rückt die Unternehmensleitung ins Zentrum der Verantwortung. Die Botschaft aus Brüssel ist unmissverständlich: Die digitale Sicherheit eines Unternehmens ist eine strategische Führungsaufgabe. Wer dieser Verantwortung nicht nachkommt, muss mit Konsequenzen rechnen, die weit über die bisher bekannten Bußgelder hinausgehen.

Die neue Schärfe: Was NIS2 für Geschäftsführer ändert

Die NIS2-Richtlinie und ihre deutsche Umsetzung im NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) erweitern den Kreis der betroffenen Unternehmen massiv. Waren es bisher vor allem die Betreiber kritischer Infrastrukturen (KRITIS), so fallen nun Schätzungen zufolge rund 30.000 bis 40.000 Unternehmen in Deutschland unter die neuen, strengeren Regeln. Betroffen sind nun auch „wichtige“ und „besonders wichtige“ Einrichtungen aus Sektoren wie der Lebensmittelproduktion, der Abfallwirtschaft, der chemischen Industrie oder dem Maschinenbau. Viele Mittelständler, die sich bisher nicht im Fokus der Regulierung sahen, müssen nun handeln.

Das Herzstück der neuen Regelungen für die Unternehmensführung ist der § 38 des BSI-Gesetzes in seiner neuen Fassung. Er formuliert eine explizite und unmissverständliche Verantwortung der Geschäftsleitung. Die Leitungsorgane müssen die Cybersicherheitsmaßnahmen ihres Unternehmens nicht nur billigen, sondern deren Umsetzung auch aktiv überwachen. Ein bloßes Abnicken von Budgets reicht nicht mehr aus. Geschäftsführer müssen verstehen, welche Risiken bestehen und welche Maßnahmen zu deren Minderung ergriffen werden.

Diese neue, explizite Zuweisung der Verantwortung hat weitreichende Folgen für die persönliche Haftung. Zwar gab es auch bisher schon die allgemeine Sorgfaltspflicht eines ordentlichen Kaufmanns, aus der eine Haftung abgeleitet werden konnte. Doch mit NIS2 wird diese Pflicht im Bereich der Cybersicherheit konkretisiert und verschärft. Die Hürden für den Nachweis einer Pflichtverletzung sinken, während die Anforderungen an die Geschäftsführung steigen.

Das Damoklesschwert der persönlichen Haftung

Was bedeutet das konkret für Sie als Geschäftsführer? Im Falle eines Sicherheitsvorfalls, der auf eine Verletzung der neuen Pflichten zurückzuführen ist, können Sie persönlich in Regress genommen werden. Das Unternehmen, aber auch Dritte wie geschädigte Kunden oder Lieferanten, können Schadensersatzansprüche direkt gegen Sie geltend machen. Diese Haftung ist nicht auf das Unternehmensvermögen beschränkt, sondern erstreckt sich auf Ihr privates Vermögen.

Ein Verzicht auf diese Haftung, etwa durch eine Regelung im Gesellschaftervertrag, ist laut Gesetzesentwurf ausdrücklich ausgeschlossen. Die persönliche Verantwortung ist damit unumgänglich. Hinzu kommen empfindliche Bußgelder, die bei Verstößen gegen die NIS2-Vorgaben verhängt werden können. Für „besonders wichtige Einrichtungen“ können diese bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen. Für „wichtige Einrichtungen“ sind es immer noch bis zu 7 Millionen Euro oder 1,4 % des Umsatzes.

Doch damit nicht genug. Bei groben Pflichtverstößen droht Geschäftsführern sogar die Abberufung. Die Aufsichtsbehörden erhalten weitreichende Befugnisse, um die Einhaltung der neuen Regeln durchzusetzen. Die Botschaft ist klar: Cybersicherheit ist kein Kavaliersdelikt, sondern ein zentraler Baustein der Unternehmensführung.

Vom Wissen zum Handeln: Konkrete Pflichten für die Chefetage

Die neuen Regelungen belassen es nicht bei abstrakten Forderungen. Sie definieren konkrete Pflichten für die Geschäftsleitung. Dazu gehört an erster Stelle die Verantwortung für das Risikomanagement. Geschäftsführer müssen sicherstellen, dass angemessene technische und organisatorische Maßnahmen zur IT-Sicherheit implementiert, überwacht und kontinuierlich weiterentwickelt werden. Diese Verantwortung ist nicht delegierbar. Sie können Aufgaben an Ihre IT-Abteilung oder externe Dienstleister übertragen, aber die Letztverantwortung bleibt bei Ihnen.

Eine weitere, explizite Neuerung ist die Schulungspflicht für die Geschäftsleitung. Mindestens alle drei Jahre müssen sich Geschäftsführer und andere Leitungsorgane zu Cyberrisiken und deren Management schulen lassen. Ziel ist es, ein grundlegendes Verständnis für die Bedrohungslage und die Wirksamkeit von Gegenmaßnahmen zu schaffen. Die Teilnahme an diesen Schulungen muss zudem lückenlos dokumentiert und nachweisbar sein.

Stellen Sie sich das Szenario eines mittelständischen Produktionsbetriebs vor. Ein Ransomware-Angriff legt die gesamte Fertigung lahm. Die Erpresser fordern ein hohes Lösegeld. Die Untersuchung ergibt, dass seit Jahren nicht mehr in die IT-Sicherheit investiert wurde, keine Notfallpläne existieren und die Geschäftsführung Warnungen der IT-Abteilung ignoriert hat. Nach neuem Recht wäre der Geschäftsführer hier nicht nur mit den Kosten des Produktionsausfalls und der Wiederherstellung der Systeme konfrontiert, sondern auch mit der persönlichen Haftung für den entstandenen Schaden.

Oder denken Sie an ein Krankenhaus, dessen IT-Systeme durch einen Angriff auf einen externen Dienstleister ausfallen. Patientendaten sind nicht mehr zugänglich, Operationen müssen verschoben werden. Auch hier würde die Geschäftsführung zur Verantwortung gezogen, wenn sie die Sicherheit ihrer Lieferkette nicht ausreichend geprüft und vertraglich abgesichert hat. Die NIS2-Richtlinie nimmt explizit auch die Sicherheit der Lieferkette in den Fokus.

Kein Grund zur Panik, aber Anlass zum Handeln

Die neuen Regelungen mögen auf den ersten Blick beunruhigend wirken. Doch sie bieten auch eine Chance. Sie schaffen einen klaren Handlungsrahmen und stärken die Position derjenigen in den Unternehmen, die schon lange auf die wachsende Bedeutung der Cybersicherheit hinweisen. Es geht nicht darum, aus jedem Geschäftsführer einen IT-Experten zu machen. Es geht darum, ein Bewusstsein für die Risiken zu schaffen und die richtigen strategischen Entscheidungen zu treffen.

Der erste Schritt ist eine ehrliche Bestandsaufnahme: Wo steht Ihr Unternehmen in Sachen Cybersicherheit? Welche Maßnahmen sind bereits etabliert? Wo gibt es Lücken? Eine solche Analyse ist die Grundlage für ein systematisches Risikomanagement. Holen Sie sich dafür externe Expertise ins Haus, wenn das nötige Know-how im Unternehmen fehlt.

Etablieren Sie klare Verantwortlichkeiten und Prozesse. Cybersicherheit muss ein fester Bestandteil der regulären Management-Meetings werden. Die Geschäftsführung muss regelmäßig über die aktuelle Risikolage, erfolgte Angriffe und die Wirksamkeit der Schutzmaßnahmen informiert werden. Und vor allem: Nehmen Sie die neue Schulungspflicht ernst. Sehen Sie sie nicht als lästige Pflicht, sondern als Chance, Ihre eigene Kompetenz und die Ihres Führungsteams zu stärken.

Die NIS2-Richtlinie ist mehr als nur eine weitere Regulierung. Sie ist ein Weckruf für den deutschen Mittelstand. Ein Weckruf, die digitale Transformation nicht nur als Chance für neue Geschäftsmodelle zu begreifen, sondern auch die damit verbundenen Risiken ernst zu nehmen und proaktiv zu managen. Wer jetzt die richtigen Weichen stellt, schützt nicht nur sein Unternehmen, sondern auch sich selbst.

Redaktion manager review