Persönliche Haftung nach NIS2: Was Geschäftsführer jetzt wissen müssen

Die wichtigste Neuerung: Haftung ist personenbezogen

Die NIS2-Richtlinie der Europäischen Union, die bis Oktober 2024 in nationales Recht umzusetzen war, bringt eine fundamentale Verschiebung mit sich: Cybersicherheit ist keine rein technische Angelegenheit mehr, die an die IT-Abteilung delegiert werden kann. Stattdessen tragen Geschäftsführer, Vorstände und Aufsichtsräte nun unmittelbare persönliche Verantwortung.

Konkret bedeutet das: Verstößt ein Unternehmen gegen die Anforderungen der NIS2-Richtlinie, können zuständige Leitungsorgane persönlich haftbar gemacht werden – nicht nur zivilrechtlich, sondern in schweren Fällen auch administrativ. Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes sind möglich. Entscheidend ist dabei, dass die persönliche Haftung nicht erst beim eingetretenen Schaden greift, sondern bereits bei nachgewiesener Pflichtverletzung – etwa dem Unterlassen angemessener Sicherheitsmaßnahmen.

Was konkret verlangt wird

NIS2 verpflichtet betroffene Unternehmen – und der Kreis der Betroffenen ist deutlich größer als unter der Vorgängerrichtlinie NIS1 – zu einem umfassenden Risikomanagement. Dazu gehören: die Identifikation und Bewertung von Cyberrisiken, technische und organisatorische Sicherheitsmaßnahmen, Lieferkettenmanagement, Meldepflichten bei Sicherheitsvorfällen sowie regelmäßige Überprüfung und Dokumentation all dieser Maßnahmen.

Besonders kritisch ist der Aspekt der Lieferkette: Unternehmen müssen nicht nur ihre eigene IT-Sicherheit nachweisen, sondern auch sicherstellen, dass ihre wesentlichen Lieferanten und Dienstleister angemessene Sicherheitsstandards einhalten. Wer hier auf Fragebögen und Selbstauskünfte setzt, riskiert, im Ernstfall keine belastbaren Nachweise vorlegen zu können.

Warum klassische Maßnahmen nicht ausreichen

Viele Unternehmen haben bereits interne ISMS-Prozesse etabliert oder Zertifizierungen wie ISO 27001 erworben. Diese sind wichtig, aber nicht hinreichend im Sinne von NIS2. Die Richtlinie fordert insbesondere auch die Überwachung externer Bedrohungen – also das, was außerhalb der eigenen Infrastruktur passiert. Ransomware-Gruppen, die Ihre Mitarbeiter-Credentials kaufen. Phishing-Infrastrukturen, die Ihren Markennamen missbrauchen. Lieferanten, deren Systeme bereits kompromittiert sind, ohne dass Sie es wissen.

Diesen blinden Fleck können interne Security-Teams kaum schließen, weil sie naturgemäß die eigene Infrastruktur im Blick haben – nicht das, was draußen in Darknet-Foren, auf Crime-Servern oder in Phishing-Kits passiert.

Wie externe Risikotransparenz Führungskräfte absichert

Eine nachweisliche, technisch validierte Risikobewertung ist der entscheidende Schutz für Leitungsorgane. Nicht weil sie jeden Angriff verhindert, sondern weil sie dokumentiert, dass angemessene Maßnahmen ergriffen wurden. Im Haftungsfall ist das der Unterschied zwischen persönlicher Verantwortlichkeit und nachgewiesener Sorgfaltspflicht.

Externe Anbieter, die spezialisiert auf die Überwachung externer Bedrohungsökosysteme sind, liefern genau das: technisch verifizierte Risikolagebilder, dokumentierte Erkenntnisse über Bedrohungen Ihrer Lieferkette und Ihres Unternehmens sowie auditierbare Berichte, die Sie gegenüber Aufsichtsbehörden, Versicherern und Investoren einsetzen können.

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für eine konkrete Bewertung Ihrer Situation empfehlen wir die Konsultation spezialisierter Rechtsanwälte sowie technischer Cybersicherheitsexperten.