NIS2 und Haftungsrisiken – Klarheit schaffen

Mit der NIS2-Richtlinie rückt ein Aspekt besonders in den Fokus, der in vielen Unternehmen bisher unterschätzt wurde: die persönliche Haftung von Führungskräften.
Während Cybersicherheit in der Vergangenheit oft als „Thema der IT“ betrachtet wurde, macht NIS2 deutlich: Die Verantwortung liegt an der Spitze – und sie lässt sich nicht delegieren.

Das bedeutet: Geschäftsführungen, Vorstände und andere Leitungsorgane sind künftig nicht nur für die Einhaltung der Anforderungen verantwortlich, sondern können bei Verstößen persönlich haftbar gemacht werden. Diese Änderung ist mehr als eine juristische Randnotiz – sie verändert die Dynamik in Unternehmen grundlegend.

In diesem Artikel klären wir, welche Haftungsrisiken NIS2 mit sich bringt, wo die größten Fallstricke liegen und wie sich Verantwortliche bestmöglich absichern können.

Rechtlicher Rahmen – Was NIS2 festlegt

Die NIS2-Richtlinie ist nicht nur eine technische Vorschrift, sondern auch ein Instrument, um Governance-Verantwortung verbindlich festzuschreiben. Sie verpflichtet die Unternehmensleitung, geeignete Risikomanagement- und Sicherheitsmaßnahmen umzusetzen, deren Wirksamkeit zu überwachen und für ausreichende Ressourcen zu sorgen.

Diese Verantwortung umfasst:

• Strategische Steuerung der Cybersicherheitsmaßnahmen
• Genehmigung und Überwachung der Sicherheitsstrategie
• Regelmäßige Berichterstattung über Sicherheitslage und Vorfälle
• Verantwortung für Meldepflichten

Unterlässt eine Führungskraft diese Pflichten, kann sie zivilrechtlich, verwaltungsrechtlich und in einigen Fällen auch strafrechtlich zur Verantwortung gezogen werden.

Haftungsrisiken in der Praxis

Das Haftungsrisiko ist nicht nur theoretisch – es kann sich in unterschiedlichen Szenarien realisieren:

1. Unterlassene Umsetzung der Richtlinie
Ein Unternehmen erkennt zwar seine Betroffenheit, setzt aber die geforderten Maßnahmen nicht fristgerecht um. Kommt es zu einem Sicherheitsvorfall, wird der Mangel an Vorbereitung als Pflichtverletzung gewertet.

2. Unzureichendes Risikomanagement
Die Unternehmensleitung verlässt sich auf veraltete Risikoanalysen oder unvollständige Sicherheitskonzepte. Ein Angriff über eine ungeprüfte Lieferantenverbindung führt zu Datenverlust – die Leitung haftet für unzureichende Kontrollen.

3. Versäumnisse bei Meldepflichten
Ein Vorfall wird intern erkannt, aber zu spät oder fehlerhaft gemeldet. Selbst wenn der Schaden begrenzt ist, drohen Bußgelder, da die Fristen verbindlich sind.

4. Mangelnde Überwachung von Delegationen
Auch wenn operative Aufgaben an Fachabteilungen übertragen werden, muss die Leitung regelmäßig prüfen, ob diese Aufgaben ordnungsgemäß erfüllt werden.

Die Rolle der Geschäftsführung

NIS2 macht klar: Die Geschäftsführung muss aktiv in die Steuerung der Cybersicherheit eingebunden sein. Dazu gehören:

• Teilnahme an regelmäßigen Lage- und Statusberichten
• Festlegung von Budgets und Prioritäten
• Sicherstellung, dass Awareness-Trainings auch das Management einschließen
• Genehmigung und Überwachung der Incident-Response-Strategien

Die Richtlinie schreibt außerdem vor, dass Führungskräfte regelmäßig geschult werden müssen, um ihre Pflichten im Bereich Cybersicherheit zu verstehen.

Bußgelder und persönliche Konsequenzen

Die Sanktionsmechanismen von NIS2 sind hart:

• Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen
• Bis zu 7 Millionen Euro oder 1,4 % für wichtige Einrichtungen

Darüber hinaus können persönliche Haftungsansprüche entstehen – etwa Schadensersatzforderungen von Gesellschaftern, Kunden oder Partnern.
In Extremfällen kann auch Strafverfolgung drohen, etwa bei grober Fahrlässigkeit oder Vorsatz.

Absicherungsmöglichkeiten für Führungskräfte

Unternehmensleitungen können das Risiko nicht vollständig ausschließen, aber deutlich reduzieren:

1. Sorgfältige Dokumentation
   Jede Entscheidung zu Sicherheitsmaßnahmen sollte nachvollziehbar dokumentiert sein. So lässt sich im Ernstfall belegen, dass man seinen Pflichten nachgekommen ist.
2. Regelmäßige Schulungen
   Auch das Management sollte über aktuelle Bedrohungen und Pflichten informiert sein.
3. D&O-Versicherung prüfen
   Eine Directors-and-Officers-Versicherung kann helfen, persönliche Haftungsrisiken abzufedern – allerdings nur, wenn keine grobe Fahrlässigkeit vorliegt.
4. Kontinuierliche Überwachung
   Delegation ist erlaubt, aber keine Entbindung von Verantwortung. Führungskräfte müssen sich regelmäßig berichten lassen.

Typische Fehler, die zu Haftung führen

• Unklare Zuständigkeiten – wenn nicht klar ist, wer für Cybersicherheit verantwortlich zeichnet
• Fehlende Einbindung – die Geschäftsführung erfährt erst im Krisenfall von Sicherheitsproblemen
• Budgetverweigerung – notwendige Maßnahmen werden aus Kostengründen nicht umgesetzt
• Mangelnde Lieferantenkontrolle – kritische Partner werden nicht auf Sicherheitsstandards geprüft
• Ignorieren von Prüfberichten – externe Audit-Ergebnisse bleiben ohne Konsequenzen

Best-Practice-Beispiel

Ein europäischer Energieversorger führte im Rahmen der NIS2-Umsetzung ein vierteljährliches Cybersecurity-Briefing für den Vorstand ein. Neben technischen Berichten enthält es auch Risikoeinschätzungen, rechtliche Updates und eine Bewertung der Lieferkettensicherheit. Dadurch sind die Verantwortlichen jederzeit in der Lage, fundierte Entscheidungen zu treffen – und können im Ernstfall belegen, dass sie ihre Pflichten ernst genommen haben.

Fazit – Klarheit schützt

Die NIS2-Richtlinie macht Cybersicherheit verbindlich – und Haftungsfragen unmissverständlich. Für Führungskräfte bedeutet das: Abwarten ist keine Option. Wer seine Pflichten kennt, Prozesse etabliert und Entscheidungen dokumentiert, kann Haftungsrisiken erheblich reduzieren. Gleichzeitig stärkt ein proaktiver Umgang mit Cybersicherheit nicht nur die eigene Position, sondern auch das Vertrauen von Kunden, Partnern und Investoren.