Von Veröffentlicht am

NIS-2 und Geschäftsführerhaftung: So vermeiden Sie Cyber-Risiken

© IBM

Cyberangriffe: Warum Sie als Führungskraft jetzt persönlich haften

Cyberangriffe sind heute keine abstrakte Bedrohung mehr, sondern eine konkrete Gefahr für Unternehmen und öffentliche Einrichtungen: 81 % aller privaten und öffentlichen Organisationen in Deutschland waren 2024 von Datendiebstahl, Spionage oder Sabotage betroffen (Bitkom-Studie 2024). – ein Anstieg um 9 Prozentpunkte gegenüber 2023. Die wirtschaftlichen Schäden erreichten dabei einen Rekordwert von 266,6 Mrd. € (Bitkom-Studie „Wirtschaftsschutz 2024“). Und mit der NIS-2-Richtlinie (EU 2022/2555), die bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden musste, hat sich die Verantwortung für IT-Sicherheit grundlegend verschoben. In Deutschland erfolgt dies durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG), das aktuell im Gesetzgebungsverfahren ist (Stand: September 2025). Was früher vor allem ein Thema für die IT-Abteilung war, ist nun zur Chefsache geworden. Als Geschäftsführer, Vorstand oder Aufsichtsrat tragen Sie nun nicht nur die Verantwortung für den Schutz Ihres Unternehmens, sondern haften persönlich, wenn Sie Ihre Pflichten vernachlässigen. Die Zahlen sind alarmierend: Laut dem BSI-Lagebericht 2025 werden täglich Hunderttausende neue Schadprogramme registriert, während die Bitkom-Studie 2024 den durch Cyberkriminalität verursachten Schaden für die deutsche Wirtschaft auf 266,6 Milliarden Euro beziffert. Doch die finanziellen Verluste sind nur die eine Seite der Medaille. Die andere – und für Sie als Führungskraft weitaus bedrohlichere – ist die rechtliche Verantwortung, die mit der neuen Richtlinie einhergeht.

Stellen Sie sich vor, Ihr Unternehmen wird Opfer eines Ransomware-Angriffs – laut Sophos-Studie betragen die durchschnittlichen Wiederherstellungskosten 1,53 Mio. US-$, und 65 % der betroffenen Unternehmen fühlen sich in ihrer Existenz bedroht (Bitkom 2024). Die Produktion steht still, Kundendaten sind verschlüsselt, und die Angreifer drohen mit der Veröffentlichung sensibler Informationen. Besonders brisant: Laut Sicherheitsbehörden stammen viele Angriffe aus Staaten wie China oder Russland (BSI-Lagebericht 2025). Doch das eigentliche Problem beginnt erst, wenn die Behörden ermitteln: Haben Sie alle notwendigen Sicherheitsvorkehrungen getroffen? Können Sie nachweisen, dass Sie Ihre Sorgfaltspflichten erfüllt haben? Wenn nicht, drohen Ihnen nicht nur Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Umsatzes (Art. 34 NIS-2), sondern auch persönliche Haftung nach § 93 AktG/§ 43 GmbHG bei grober Fahrlässigkeit – und das bedeutet im schlimmsten Fall, dass Sie mit Ihrem privaten Vermögen für die Folgen des Angriffs geradestehen müssen. Was wie ein worst-case-Szenario klingt, ist seit dem 17. Oktober 2024 – dem Ende der Umsetzungsfrist für die NIS-2-Richtlinie – eine reale Möglichkeit. In Deutschland wird die Richtlinie durch das umgesetzt, das aktuell im Gesetzgebungsverfahren ist (Stand: September 2025). Die Europäische Union hat mit dieser Richtlinie nicht nur die Anforderungen an die digitale Sicherheit verschärft, sondern erstmals auch Geschäftsführung, Vorstand und Aufsichtsrat explizit in die Pflicht genommen. Wer diese Verantwortung nicht ernst nimmt, riskiert nicht nur wirtschaftliche Schäden, sondern auch strafrechtliche Konsequenzen.

Doch warum dieser radikale Wandel? Die Antwort liegt in der zunehmenden Professionalisierung der Cyberkriminalität. Während früher vor allem Einzelpersonen oder kleine Gruppen versuchten, durch relativ einfache Angriffe an Daten zu gelangen, agieren heute organisierte Banden und staatlich gesteuerte Hackergruppen mit hochentwickelten Methoden. Ransomware-Angriffe, bei denen Daten verschlüsselt und erst gegen Lösegeld freigegeben werden, sind dabei nur die Spitze des Eisbergs. Viel gefährlicher sind langfristige Spionageangriffe, bei denen Kriminelle monatelang unentdeckt in den Systemen bleiben, um sensible Informationen abzuziehen oder Sabotage zu betreiben. Angesichts dieser Bedrohungen ist klar, dass ein reaktives Sicherheitskonzept – also das Warten, bis ein Angriff stattfindet – nicht mehr ausreicht. Stattdessen muss IT-Sicherheit proaktiv organisiert, kontinuierlich verbessert und in ein umfassendes Risikomanagement integriert werden. Und genau hier setzt die NIS-2-Richtlinie an: Sie macht IT-Sicherheit zur unternehmerischen Sorgfaltspflicht und stellt sicher, dass die Verantwortung dort liegt, wo sie hingehört – an der Spitze des Unternehmens.

NIS-2: Ein Paradigmenwechsel mit weitreichenden Konsequenzen

Die NIS-2-Richtlinie (EU 2022/2555) ist kein gewöhnliches Update bestehender Vorschriften, sondern ein grundlegender Paradigmenwechsel. Sie erweitert den Geltungsbereich deutlich: Betroffen sind nun private Unternehmen und öffentliche Einrichtungen in den Sektoren der Anhänge I (wesentliche Einrichtungen) und II (wichtige Einrichtungen) – unabhängig von ihrer Größe. Kleine Unternehmen sind nur in Ausnahmefällen betroffen, etwa wenn sie eine kritische Rolle in der Versorgungskette spielen. Die Richtlinie ist seit dem 17. Oktober 2024 verbindlich, die nationale Umsetzung in Deutschland durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) steht kurz vor dem Abschluss (Stand: September 2025). Die Richtlinie, die seit Oktober 2024 verbindlich ist, bringt dabei drei zentrale Veränderungen mit sich, die jedes Unternehmen verstehen und umsetzen muss:

  • Erweiterter Geltungsbereich: Betroffen sind nun Unternehmen in kritischen und wesentlichen Sektoren – unabhängig von ihrer Größe
  • Verschärfte Sanktionen: Bußgelder treffen das Unternehmen – für wesentliche Einrichtungen bis zu 10 Mio. € oder 2 % des Umsatzes, für wichtige Einrichtungen bis zu 7 Mio. € oder 1,4 %.
  • IT-Sicherheit wird zur Chefsache: Art. 20 NIS-2 verpflichtet die Unternehmensleitung, Cybersicherheitsmaßnahmen zu genehmigen, umzusetzen und zu überwachen. Persönliche Haftungsrisiken ergeben sich aus deutschem Organhaftungsrecht (§ 93 AktG / § 43 GmbHG), wenn Sorgfaltspflichten verletzt werden

Erstens wurden die Sanktionen massiv verschärft: Für wesentliche Einrichtungen (Anhang I) drohen Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen (Anhang II) bis zu 7 Mio. € oder 1,4 % des Umsatzes. Datenschutzverstöße nach DSGVO können zusätzlich mit bis zu 20 Mio. € oder 4 % des Umsatzes geahndet werden – eine existenzbedrohende Summe für viele Unternehmen. Zweitens wird die persönliche Verantwortung der Führungsebene erstmals explizit festgeschrieben. Das bedeutet, dass Geschäftsführer und Vorstände nicht nur für das Unternehmen, sondern auch mit ihrem privaten Vermögen haften können, wenn sie ihre Pflichten vernachlässigen. Es reicht nicht mehr aus, die Verantwortung an die IT-Abteilung zu delegieren. Stattdessen müssen Geschäftsführung, Vorstand und Aufsichtsrat aktiv sicherstellen, dass alle notwendigen Maßnahmen ergriffen werden, um Cyberrisiken zu minimieren.

Die Konsequenzen dieser Veränderungen sind weitreichend und tiefgreifend. Plötzlich ist es nicht mehr ausreichend, sich auf technische Lösungen wie Firewalls oder Antivirenprogramme zu verlassen. Stattdessen müssen Unternehmen ein ganzheitliches Risikomanagement etablieren, das technische, organisatorische und strategische Aspekte gleichermaßen berücksichtigt. Das beginnt mit einer kontinuierlichen Risikoanalyse, die potenzielle Schwachstellen identifiziert, und reicht bis hin zur Schulung der Mitarbeiter, die oft das schwächste Glied in der Sicherheitskette sind. Gleichzeitig müssen Notfallpläne erstellt werden, die klar regeln, wie im Ernstfall zu reagieren ist – von der Isolation befallener Systeme bis hin zur Kommunikation mit Behörden und Kunden. All diese Maßnahmen müssen dokumentiert und regelmäßig überprüft werden, um im Falle eines Angriffs oder einer behördlichen Prüfung nachweisen zu können, dass die Sorgfaltspflichten erfüllt wurden.

Doch warum hat die EU diese Verschärfung vorgenommen? Die Antwort liegt in der zunehmenden Bedrohungslage, die sich in den letzten Jahren dramatisch zugespitzt hat. Während früher vor allem Einzeltäter versuchten, durch relativ einfache Angriffe an Daten zu gelangen, sind heute hochprofessionelle kriminelle Organisationen aktiv, die mit state-of-the-art-Methoden arbeiten. Ransomware-Angriffe, bei denen Daten verschlüsselt und erst gegen Lösegeld wieder freigegeben werden, sind dabei nur die sichtbarste Bedrohung. Viel gefährlicher sind langfristige Spionageangriffe, bei denen Kriminelle Monate oder sogar Jahre unentdeckt in den Systemen bleiben, um sensible Informationen abzuziehen oder Sabotage zu betreiben. Angesichts dieser Entwicklungen ist klar, dass ein reaktives Sicherheitskonzept – also das Warten, bis ein Angriff stattfindet – nicht mehr ausreicht. Stattdessen muss IT-Sicherheit proaktiv organisiert werden, kontinuierlich verbessert und in ein umfassendes Risikomanagement integriert werden.

Ihre rechtlichen Pflichten: Was Sie als Führungskraft jetzt wissen müssen

Die rechtliche Verantwortung für die Cybersicherheit ist heute keine abstrakte Gefahr mehr, sondern eine konkrete Verpflichtung für Führungskräfte – egal ob in privaten Unternehmen, öffentlichen Einrichtungen oder kritischen Infrastrukturen. Nach § 93 AktG und § 43 GmbHG müssen Geschäftsführer, Vorstände und leitende Angestellte in öffentlichen Betrieben technische und organisatorische Maßnahmen (TOMs) nach Stand der Technik umsetzen. Nach § 93 Abs. 1 AktG und § 43 Abs. 1 GmbHG sind Geschäftsführungen und Vorstände verpflichtet, technische und organisatorische Maßnahmen (TOMs) nach Stand der Technik umzusetzen (vgl. BSI IT-Grundschutz, ISO 27001). Doch was bedeutet das in der Praxis? Zunächst einmal müssen Unternehmen sicherstellen, dass technische Schutzmechanismen wie Firewalls, Verschlüsselungstechnologien und Multi-Faktor-Authentifizierung auf dem neuesten Stand sind. Doch das allein reicht nicht aus. Mindestens genauso wichtig sind organisatorische Strukturen, die es ermöglichen, Cyberrisiken frühzeitig zu erkennen, zu bewerten und zu minimieren.

Ein zentraler Aspekt dabei ist die Risikoanalyse. Unternehmen müssen regelmäßig Risikoanalysen durchführen (Art. 21 NIS-2). Bei signifikanten Vorfällen gilt Art. 23: eine erste Frühwarnung binnen 24 Stunden, eine detaillierte Meldung binnen 72 Stunden und ein Abschlussbericht spätestens nach einem Monat – ergänzt durch mögliche Zwischenberichte. Besonders kritisch sind dabei Phishing-Angriffe, bei denen Kriminelle durch gefälschte E-Mails oder Websites versuchen, an Zugangsdaten zu gelangen. Studien wie der Verizon DBIR 2024 zeigen, dass der Human Factor – insbesondere Phishing – in rund 68 % aller Sicherheitsvorfälle eine Rolle spielt. Daher ist es entscheidend, dass alle Mitarbeiter sensibilisiert und geschult werden, um solche Angriffe zu erkennen und richtig zu reagieren.

Ein weiteres zentrales Element ist die Dokumentation. Selbst wenn ein Unternehmen alle notwendigen Sicherheitsmaßnahmen umsetzt, kann es ohne nachweisbare Protokolle im Ernstfall schwerfallen, zu beweisen, dass die Sorgfaltspflichten erfüllt wurden. Das kann insbesondere dann zum Problem werden, wenn es zu einem Datenschutzverstoß kommt, der nach der DSGVO mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes geahndet werden kann. Daher ist es unerlässlich, dass alle Sicherheitsmaßnahmen, Risikoanalysen und Schulungen lückenlos dokumentiert werden. Nur so kann im Falle einer behördlichen Prüfung oder eines Angriffs nachgewiesen werden, dass das Unternehmen seine Pflichten ernst genommen hat.

Ein besonders heikles Thema ist dabei die Cyberversicherung. Viele Unternehmen glauben, dass sie mit einer solchen Police auf der sicheren Seite sind. Doch das ist ein gefährlicher Trugschluss. In der Praxis knüpfen viele Versicherer den Schutz an Mindestkontrollen wie MFA, EDR, Backups oder getestete Notfallpläne. Fehlen diese, drohen Leistungsausschlüsse – unabhängig davon, ob eine MDR/SOCaaS-Lösung eingesetzt wird. Cyberversicherungen ersetzen keine proaktive Sicherheitsstrategie. Im Gegenteil: Die meisten Policen enthalten Klauseln, die die Leistung verweigern, wenn der Schaden durch grob fahrlässiges Verhalten entstanden ist.

MDR (Managed Detection and Response) und SOCaaS (Security Operations Center as a Service) bieten:

  • 24/7-Überwachung durch zertifizierte Analysten (z. B. ISO 27001)
  • Automatisierte Compliance-Berichte für NIS-2/DSGVO
  • Sie können kosteneffizienter sein als ein eigenes 24/7-SOC – die tatsächlichen Einsparungen hängen jedoch stark von Größe und Scope des Unternehmens ab.

Die größten Haftungsfallen – und wie Sie sie vermeiden können

Trotz der klaren rechtlichen Vorgaben und der zunehmenden Bedrohungslage unterschätzen viele Unternehmen immer noch die Risiken, die mit unzureichender IT-Sicherheit verbunden sind. Dabei gibt es drei typische Fallstricke, die immer wieder zu schweren Sicherheitsvorfällen und Haftungsfällen führen:

Die drei größten Haftungsfallen nach NIS-2:

  • Fehlende Risikoanalysen (Art. 21 NIS-2: Pflicht zur jährlichen Prüfung)
  • Ungetestete Notfallpläne (Art. 23: Incident Response muss innerhalb 24h aktiviert werden)
  • Keine Mitarbeiter-Schulungen (laut Verizon DBIR 2024 spielt der Human Factor – einschließlich Phishing – in rund 68 % aller Sicherheitsvorfälle eine Rolle)

Die zweite große Gefahr liegt im übermäßigen Vertrauen in Cyberversicherungen. Viele Policen knüpfen den Schutz an Mindestkontrollen wie MFA, EDR, regelmäßige Backups oder getestete Notfallpläne. Fehlen diese, drohen Leistungsausschlüsse – selbst bei Einsatz einer MDR/SOCaaS-Lösung. Cyberversicherungen ersetzen keine proaktive Sicherheitsstrategie: Ohne Nachweis der Maßnahmen (z. B. Penetrationstests, Supply-Chain-Absicherung) verweigern Versicherer im Schadensfall oft die Leistung, und die Geschäftsführung haftet privat. Besonders problematisch wird es, wenn der Vorfall auf grob fahrlässiges Verhalten zurückzuführen ist. In solchen Fällen springt oft nicht einmal die Directors-and-Officers-Versicherung (D&O) ein, die eigentlich für Schäden aufgrund von Pflichtverletzungen der Führungsebene aufkommen soll.

Die dritte und vielleicht unterschätzte Gefahr ist die mangelnde Expertise im eigenen Haus. Moderne Cyberangriffe, insbesondere Ransomware oder staatlich gesteuerte Hackergruppen, erfordern spezialisiertes Know-how, das viele Unternehmen nicht vorhalten können. Hier kommen Managed Detection and Response (MDR)-Dienste oder SOC-as-a-Service (SOCaaS) ins Spiel. Diese Dienstleister bieten eine 24/7-Überwachung der IT-Infrastruktur durch erfahrene Sicherheitsexperten, die Angriffe in Echtzeit erkennen und abwehren können – oft noch bevor ein Schaden entsteht. Für Unternehmen bedeutet das nicht nur höhere Sicherheit, sondern auch eine bessere Verhandlungsposition gegenüber Versicherern. Denn wer nachweisen kann, dass er alles Erdenkliche getan hat, um Angriffe zu verhindern, hat im Ernstfall deutlich bessere Karten.

Praktische Handlungsempfehlungen: So erfüllen Sie die NIS-2-Anforderungen

Angesichts der komplexen Bedrohungslage und der strengen rechtlichen Anforderungen stellt sich die Frage: Was können Sie konkret tun, um die neuen Vorgaben zu erfüllen und Haftungsrisiken zu minimieren? Die Antwort liegt in einem ganzheitlichen Ansatz, der technische, organisatorische und strategische Maßnahmen kombiniert. Der erste und entscheidende Schritt ist eine umfassende Risikoanalyse, die alle potenziellen Schwachstellen identifiziert.

Schritt-für-Schritt-Risikoanalyse:

  • Inventar erstellen (Hardware, Software, Datenflüsse)
  • Bedrohungsszenarien bewerten (Ransomware, Phishing, Supply-Chain-Angriffe)
  • Risikostufe festlegen (niedrig/mittel/hoch nach BSI-Standard 200-3)

Auf Basis der Risikoanalyse müssen konkrete Schutzmaßnahmen ergriffen werden. Dazu gehören:

  • Firewalls, Endpoint Detection and Response (EDR) und Verschlüsselungstechnologien auf dem neuesten Stand halten
  • Multi-Faktor-Authentifizierung (MFA) für alle Systeme (inkl. Admin-Zugänge und Remote-Arbeitsplätze) einführen
  • Regelmäßige Sicherheitsupdates, Penetrationstests und Supply-Chain-Risikoanalysen durchführen
  • Automatisierte Backups testen (monatliche Wiederherstellungsproben!)
 
Notfallplan muss enthalten (Art. 23 NIS-2):
  • Verantwortlichkeiten (Wer entscheidet? Wer kommuniziert?)
  • Kommunikationskette (Behördenmeldung binnen 72 h nach Art. 33 DSGVO; Information betroffener Personen ohne unangemessene Verzögerung nach Art. 34 DSGVO)
  • Backup-Strategie (Testen Sie monatlich, ob Backups funktionieren!)

Fazit:

Verantwortung beginnt an der Spitze – handeln Sie jetzt

Die NIS-2-Richtlinie macht klar: Cybersecurity ist Chefsache – und die Zeit zum Handeln ist jetzt. Mit Inkrafttreten des NIS2UmsuCG in Deutschland – voraussichtlich Ende 2025 – beginnen auch die ersten behördlichen Prüfungen durch das BSI. Unternehmen, die diese Verantwortung nicht ernst nehmen, riskieren nicht nur wirtschaftliche Schäden, sondern auch persönliche Konsequenzen für ihre Führungskräfte.

Drei zentrale Erkenntnisse bleiben:

  1. IT-Sicherheit ist Chefsache – § 93 AktG/§ 43 GmbHG verlangen persönliche Verantwortung
  2. Technik allein reicht nicht – NIS-2 verlangt Prozesse + Dokumentation (Art. 21–24)
  3. Jetzt handeln – erste Prüfungen sind mit Inkrafttreten des NIS2UmsuCG (voraussichtlich Ende 2025) zu erwarten.

Die Botschaft ist klar: Verantwortung beginnt an der Spitze – und die Zeit drängt. Mit Inkrafttreten des NIS2UmsuCG in Deutschland (voraussichtlich Ende 2025) starten die ersten behördlichen Prüfungen durch das BSI. Unternehmen, die dann keine Nachweise für Risikoanalysen, Notfallpläne oder Schulungen vorlegen können, riskieren sofortige Bußgelder und persönliche Haftung. Wer jetzt handelt, schützt nicht nur sein Unternehmen, sondern auch sein privates Vermögen.

Handeln Sie jetzt – bevor es zu spät ist.

───────────────────────────────────────────────────────

Quellenangaben:
1. NIS 2.0-Richtlinie (EU 2022/2555) – Offizieller Rechtstext
2. Die Lage der IT-Sicherheit in Deutschland 2024 (BSI)
3. Bitkom-Studie „Wirtschaftsschutz 2024