NIS2 — Persönliche Haftung der Geschäftsführung: Was Sie als CEO jetzt wissen müssen

April 2026

Mit dem NISG 2026 ändert sich etwas Grundlegendes: Cybersicherheit ist nicht mehr nur ein IT-Thema. Es ist ein Haftungsthema für die Geschäftsführung — persönlich.

Artikel 20 der NIS2-Richtlinie stellt klar: Die Leitungsorgane müssen die Cybersicherheitsmaßnahmen genehmigen, ihre Umsetzung überwachen — und selbst an Schulungen teilnehmen. Bei Pflichtverletzung drohen nicht nur Bußgelder für das Unternehmen, sondern auch persönliche Konsequenzen für Geschäftsführer.

Was Artikel 20 NIS2 zur Leitungsverantwortung sagt

Die NIS2-Richtlinie nimmt die Geschäftsleitung dreifach in die Pflicht.

Erstens die Genehmigungspflicht: Die Geschäftsführung muss die Risikomanagementmaßnahmen im Bereich der Cybersicherheit formell genehmigen. Das bedeutet: Es reicht nicht, die IT-Abteilung „machen zu lassen". Die Geschäftsführung muss die Maßnahmen kennen, verstehen und freigeben.

Zweitens die Überwachungspflicht: Die Umsetzung der Maßnahmen muss von der Geschäftsleitung überwacht werden. Das setzt voraus, dass es regelmäßige Reports gibt — und dass die Geschäftsführung diese auch zur Kenntnis nimmt und darauf reagiert.

Drittens die persönliche Schulungspflicht: Die Mitglieder der Leitungsorgane müssen selbst an Schulungen teilnehmen. Nicht delegiert, nicht per E-Mail-Zusammenfassung — persönlich.

Bußgelder und Sanktionen

Die Sanktionen im NISG 2026 sind erheblich. Für wesentliche Einrichtungen können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden — je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 Prozent des Umsatzes.

Darüber hinaus kann die zuständige Behörde Leitungspersonen die Ausübung von Leitungsfunktionen vorübergehend untersagen. Das ist die persönliche Dimension: Nicht das Unternehmen wird bestraft, sondern die verantwortliche Person.

Drei Schritte zur Absicherung als Geschäftsführer

Der erste Schritt ist die eigene Schulung. Geschäftsführer sollten ein dokumentiertes Security-Awareness-Training absolvieren — mit Zertifikat und Datum. Das muss keine ganztägige Veranstaltung sein. Ein strukturiertes Online-Training, das die relevanten Bedrohungsszenarien abdeckt, erfüllt die Anforderung. Wichtig ist die Dokumentation.

Der zweite Schritt ist die Anordnung und der Nachweis von Mitarbeiterschulungen. Die Geschäftsführung sollte einen formellen Beschluss fassen, dass alle Mitarbeitenden regelmäßig Security-Awareness-Schulungen absolvieren müssen. Dieser Beschluss, kombiniert mit den Schulungsnachweisen, dokumentiert die Sorgfaltspflicht.

Der dritte Schritt ist die Regelmäßigkeit. Eine einmalige Schulung reicht nicht. Die Geschäftsführung muss sicherstellen, dass Schulungen wiederholt werden — mindestens jährlich — und dass neue Mitarbeitende zeitnah geschult werden.

Wie ein Schulungsprogramm die Haftung reduziert

Ein dokumentiertes, regelmäßiges Schulungsprogramm ist der direkteste Weg, die persönliche Haftung zu reduzieren. Im Falle eines Sicherheitsvorfalls wird die Frage lauten: „Haben Sie geeignete Maßnahmen ergriffen?" Wer nachweisen kann, dass Mitarbeitende geschult, Phishing-Simulationen durchgeführt und Ergebnisse dokumentiert wurden, steht deutlich besser da als ein Unternehmen ohne jegliche Awareness-Maßnahmen.

Der Nachweis der „geeigneten Maßnahmen" ist keine Garantie gegen Haftung — aber er ist die stärkste Verteidigung, die ein Geschäftsführer haben kann.

Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung.