Persönliche Haftung im digitalen Zeitalter

Warum NIS2 die Spielregeln für Führungskräfte neu definiert

NIS2
LinkedInRedditWhatsApp

Die Zeiten, in denen Cybersicherheit als rein technisches Thema in die IT-Abteilung delegiert werden konnte, sind endgültig vorbei.

Mit der NIS2-Richtlinie vollzieht sich ein Paradigmenwechsel, der Geschäftsführer und Vorstände unmittelbar in die Verantwortung nimmt – und zwar nicht nur moralisch oder unternehmerisch, sondern mit handfesten rechtlichen Konsequenzen. Was auf den ersten Blick wie regulatorischer Aktionismus wirken mag, offenbart bei genauerer Betrachtung eine längst überfällige Anpassung an die Realitäten einer durchdigitalisierten Wirtschaft.

Anzeige

Der schmale Grat zwischen unternehmerischer Freiheit und persönlicher Verantwortung

Die NIS2-Richtlinie (EU 2022/2555) markiert einen Wendepunkt in der europäischen Cybersicherheitspolitik. Während die Vorgängerrichtlinie noch etwa 5.000 Unternehmen in Deutschland betraf, erweitert NIS2 den Anwendungsbereich auf geschätzte 30.000 Organisationen. Diese Ausweitung folgt einer simplen, aber schmerzhaften Erkenntnis: Die digitale Verwundbarkeit macht vor Branchengrenzen nicht halt, und die Kollateralschäden eines erfolgreichen Cyberangriffs betreffen längst nicht mehr nur das unmittelbar betroffene Unternehmen.

Artikel 20 der Richtlinie formuliert unmissverständlich: Leitungsorgane müssen Risikomanagementmaßnahmen nicht nur billigen, sondern deren Umsetzung aktiv überwachen. Diese Formulierung mag harmlos klingen, doch sie transformiert die rechtliche Landschaft fundamental. Geschäftsführer können sich künftig nicht mehr darauf berufen, von technischen Details keine Kenntnis gehabt zu haben. Die Pflicht zur Teilnahme an Cybersicherheitsschulungen – mindestens alle drei Jahre – unterstreicht diese neue Realität.

Der deutsche Gesetzgeber geht im Referentenentwurf zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz noch einen Schritt weiter. Paragraph 38 des novellierten BSI-Gesetzes schafft einen Auffangtatbestand für Organisationsformen ohne klare gesellschaftsrechtliche Haftungsregelungen. Stiftungen, eingetragene Vereine oder Genossenschaften – sie alle werden in das Haftungsregime einbezogen. Besonders brisant: Ein vertraglicher Haftungsverzicht, etwa durch Klauseln in Gesellschaftervereinbarungen, soll explizit unwirksam sein.

Anzeige

Zwischen Business Judgement Rule und fahrlässiger Pflichtverletzung

Die juristische Crux liegt in der Abgrenzung zwischen unternehmerischen Ermessensentscheidungen und pflichtwidrigem Verhalten. Die Business Judgment Rule, verankert in § 93 Abs. 1 Satz 2 AktG, schützt Geschäftsführer grundsätzlich vor Haftung, wenn sie auf Grundlage angemessener Information zum Wohle der Gesellschaft handeln. Doch genau hier setzt NIS2 den Hebel an: Was gilt als “angemessene Information” in Bezug auf Cybersicherheit?

Ein Geschäftsführer, der die regelmäßigen Warnmeldungen des BSI ignoriert oder trotz bekannter Schwachstellen keine Patches einspielt, bewegt sich auf dünnem Eis. Die Rechtsprechung des BGH zur Compliance-Verantwortung (siehe etwa Urteil vom 14.3.2023, II ZR 162/21) lässt wenig Interpretationsspielraum: Die Einrichtung und Überwachung eines funktionierenden Compliance-Systems gehört zu den nicht delegierbaren Kernaufgaben der Geschäftsleitung.

Diese Rechtsprechung erhält durch NIS2 eine neue Dimension. Während bisher oft argumentiert werden konnte, Cybersicherheit sei primär ein operatives Thema, etabliert die Richtlinie einen klaren Governance-Anspruch. Die verpflichtenden Schulungen für Führungskräfte eliminieren zudem das Argument der Unkenntnis. Ein Geschäftsführer, der nach absolvierten Trainings weiterhin inadäquate Sicherheitsmaßnahmen toleriert, handelt nicht mehr nur fahrlässig, sondern möglicherweise grob fahrlässig oder gar vorsätzlich.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Die ökonomische Realität der Cybersicherheit neu denken

Die finanziellen Dimensionen der NIS2-Haftung sprengen traditionelle Vorstellungen von Unternehmensrisiken. Mit Bußgeldern von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist – orientiert sich die Richtlinie am Sanktionsregime der DSGVO. Doch während Datenschutzverstöße oft erst nach Beschwerden oder Audits auffallen, manifestieren sich Cybersicherheitslücken häufig in spektakulären Vorfällen mit unmittelbaren operativen Konsequenzen.

Die Studie des Branchenverbands Bitkom beziffert den jährlichen Schaden durch Cyberangriffe auf deutsche Unternehmen auf 267 Milliarden Euro. Diese Zahl verdeutlicht die volkswirtschaftliche Dimension, erklärt aber nur teilweise die individuelle Haftungsproblematik. Entscheidend für Geschäftsführer ist die Frage der Kausalität: Hätte ein angemessenes Sicherheitsniveau den Schaden verhindert oder zumindest reduziert?

Die Beweislastumkehr im Rahmen der Organhaftung nach § 93 Abs. 2 Satz 2 AktG verschärft die Situation zusätzlich. Nicht das geschädigte Unternehmen muss die Pflichtverletzung beweisen, sondern der Geschäftsführer muss darlegen, dass er mit der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters gehandelt hat. In der Praxis bedeutet dies: Dokumentation wird zur Lebensversicherung. Jede Risikoanalyse, jede Investitionsentscheidung in Sicherheitstechnologie, jede Ablehnung von Sicherheitsempfehlungen muss nachvollziehbar begründet und dokumentiert werden.

Praktische Implikationen jenseits der Compliance-Rhetorik

Die Umsetzung der NIS2-Anforderungen in die Unternehmenspraxis offenbart ein Dilemma. Einerseits verlangt die Richtlinie ein hohes Maß an technischer Expertise und kontinuierlicher Anpassung, andererseits sind viele Führungskräfte weder ausgebildet noch geneigt, sich in die Tiefen der Cybersicherheit einzuarbeiten. Die vorgeschriebenen Schulungen alle drei Jahre erscheinen angesichts der Entwicklungsgeschwindigkeit von Bedrohungen fast schon anachronistisch.

Erfolgreiche Unternehmen werden daher Governance-Strukturen entwickeln müssen, die über traditionelle Reporting-Lines hinausgehen. Ein Chief Information Security Officer (CISO) mit direktem Berichtsweg an die Geschäftsführung wird vom Nice-to-have zur Notwendigkeit. Die Einrichtung spezialisierter Risikoausschüsse auf Geschäftsleitungsebene, wie sie in der Finanzbranche bereits üblich sind, könnte zum Standard werden.

Besonders herausfordernd gestaltet sich die Situation für mittelständische Unternehmen, die erstmals in den Anwendungsbereich fallen. Während Konzerne über dedizierte Sicherheitsabteilungen und millionenschwere Budgets verfügen, müssen KMUs mit begrenzten Ressourcen ähnliche Standards erreichen. Die Orientierungshilfe des BSI zur Umsetzung von NIS2 bietet zwar Anhaltspunkte, ersetzt aber nicht die individuelle Risikoanalyse und Maßnahmenplanung.

Ein oft übersehener Aspekt ist die Lieferkettendimension. NIS2 verlangt explizit die Berücksichtigung von Risiken durch Zulieferer und Dienstleister. Für Geschäftsführer bedeutet dies, dass sie auch für die Sicherheitspraktiken ihrer Partner in die Verantwortung genommen werden können. Die Due-Diligence-Prozesse bei der Auswahl von IT-Dienstleistern oder Cloud-Anbietern erhalten dadurch eine neue rechtliche Relevanz.

Die Versicherungswirtschaft reagiert bereits auf die veränderte Risikolage. D&O-Versicherungen (Directors & Officers Liability Insurance) schließen zunehmend Schäden durch Cyberangriffe aus oder verlangen substanzielle Risikoaufschläge. Einige Versicherer konditionieren den Versicherungsschutz an die nachweisliche Umsetzung von ISO 27001 oder vergleichbaren Standards. Geschäftsführer, die auf den Versicherungsschutz vertrauen, könnten eine böse Überraschung erleben.

Vom Compliance-Zwang zum strategischen Imperativ – Sicherheit als Wettbewerbsvorteil

Die NIS2-Richtlinie markiert mehr als nur eine weitere regulatorische Hürde – sie reflektiert die fundamentale Transformation unserer Wirtschaft. Da digitale Prozesse heute das Rückgrat jedes Unternehmens bilden, kann Cybersicherheit nicht länger als technisches Randthema behandelt werden. Die persönliche Haftung der Geschäftsführung mag drastisch erscheinen, doch sie entspricht der Logik etablierter Governance-Prinzipien: Wer die Macht hat, trägt die Verantwortung.

Unternehmen, die NIS2 als Chance zur systematischen Verbesserung ihrer Resilienz begreifen, werden nicht nur rechtliche Risiken minimieren, sondern auch Wettbewerbsvorteile generieren. Die zunehmende Vernetzung der Wirtschaft macht Vertrauen zur härtesten Währung – und dieses Vertrauen basiert auf nachweisbarer Sicherheit. Geschäftsführer, die diese Transformation aktiv gestalten statt nur zu verwalten, positionieren ihre Unternehmen optimal für die kommenden Jahre der digitalen Durchdringung aller Geschäftsprozesse.


Ingelheim

Alexander

Ingelheim

CEO und Mitgründer

Proliance

Anzeige

Artikel zu diesem Thema

NIS2-Strategien für KMU mit begrenzten IT-Ressourcen

Weitere Artikel

Wenn KI-Agenten zu Sicherheitspartnern werden
Das CIS Framework und die 18 Sicherheitskontrollen
Memory Tagging und der Kampf um sichere Arbeitsspeicher
Der Quantum-Countdown: Warum TLS jetzt ein Upgrade braucht
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.