10.02.2026
NIS2 in Deutschland – Umsetzung und Haftung der Geschäftsleitung
Mit der Umsetzung der NIS2-Richtlinie in deutsches Recht rückt die Geschäftsleitung stärker als bisher in den Mittelpunkt der Cybersicherheitsanforderungen. Während frühere Regelungen Informationssicherheit häufig als operative oder technische Aufgabe verstanden haben, macht NIS2 deutlich: Cybersicherheit ist Führungsaufgabe. Für Geschäftsleiter bedeutet das jedoch nicht automatisch eine persönliche Haftungsfalle, sondern vor allem eine klarere Erwartungshaltung an Steuerung, Kontrolle und Entscheidungsfindung. Der folgende Beitrag ordnet ein, welche Verantwortung die Geschäftsleitung im Rahmen von NIS2 trägt, wie Haftung realistisch zu bewerten ist und welche praktischen Konsequenzen sich daraus für Entscheider ergeben.
Die Rolle der Geschäftsleitung unter NIS2
NIS2 verpflichtet die Geschäftsleitung ausdrücklich, die Umsetzung von Maßnahmen zur Cybersicherheit zu steuern und zu überwachen. Anders als bisher reicht es nicht mehr aus, das Thema vollständig an IT oder Fachabteilungen zu delegieren. Die Leitungsorgane müssen sicherstellen, dass geeignete organisatorische und technische Maßnahmen existieren, regelmäßig überprüft werden und zur Risikolage des Unternehmens passen.
Dabei geht es nicht um operative Detailarbeit, sondern um Governance: Zieldefinitionen, Prioritäten, Ressourcenfreigabe und Kontrolle. Die Geschäftsleitung muss nachvollziehbar entscheiden, welches Sicherheitsniveau angemessen ist und wie mit identifizierten Risiken umgegangen wird.
NIS2 verlangt zudem, dass sich Geschäftsleiter mit den grundlegenden Cyberrisiken ihres Unternehmens auseinandersetzen. Schulungen sind vorgesehen, jedoch ausdrücklich nicht im Sinne technischer Tiefenkenntnisse, sondern zur Befähigung, Risiken einzuordnen und fundierte Managemententscheidungen zu treffen. Damit wird Cybersicherheit vergleichbar mit Themen wie Compliance, Arbeitsschutz oder Finanzrisiken.
Haftung – was realistisch zu erwarten ist
Die häufig diskutierte persönliche Haftung der Geschäftsleitung sollte differenziert betrachtet werden. NIS2 begründet keine automatische Haftung bei Sicherheitsvorfällen. Maßgeblich ist vielmehr, ob die Geschäftsleitung ihren Organisations- und Überwachungspflichten nachgekommen ist.
Haftungsrelevant wird Cybersicherheit insbesondere dann, wenn Risiken bekannt sind, aber systematisch ignoriert werden, notwendige Maßnahmen trotz offensichtlicher Defizite unterlassen bleiben oder keinerlei strukturierte Steuerung existiert. Fehlt es an Dokumentation, klaren Verantwortlichkeiten oder nachvollziehbaren Entscheidungen, kann dies als Organisationsverschulden gewertet werden.
Umgekehrt bietet ein strukturiertes Vorgehen Schutz: Wer Risiken identifiziert, bewertet, priorisiert und Entscheidungen dokumentiert – auch wenn nicht jedes Risiko sofort vollständig beseitigt wird – handelt im Rahmen eines ordnungsgemäßen Managements. NIS2 fordert keine absolute Sicherheit, sondern ein angemessenes, risikobasiertes Vorgehen. Haftung entsteht nicht durch das Eintreten eines Vorfalls, sondern durch fehlende oder mangelhafte Führung.
Was folgt daraus für Entscheider?
Für Geschäftsleitungen bedeutet NIS2 vor allem eine stärkere formale Verantwortung, aber auch mehr Klarheit. Cybersicherheit wird als regulärer Bestandteil der Unternehmenssteuerung verankert – nicht als technisches Spezialthema. Entscheider sollten daher frühzeitig Transparenz schaffen: Bin ich betroffen? Wo stehen wir heute? Wer berichtet mir regelmäßig und in welcher Form?
Empfehlenswert ist, Cybersicherheit fest in bestehende Management- und Berichtslinien zu integrieren. Regelmäßige Statusberichte, dokumentierte Risikoentscheidungen und klare Verantwortlichkeiten sind dabei zentrale Instrumente – nicht nur zur Umsetzung von NIS2, sondern auch zur eigenen Absicherung.
Richtig verstanden stärkt NIS2 die Handlungsfähigkeit der Geschäftsleitung. Sie schafft einen Rahmen, in dem Entscheidungen begründet, priorisiert und nachvollziehbar getroffen werden können – und genau darin liegt der eigentliche Schutz vor persönlicher Haftung.
Jetzt ist ein guter Zeitpunkt, Cybersicherheit als festen Bestandteil der Unternehmenssteuerung zu überprüfen und Verantwortlichkeiten, Risiken und Entscheidungswege strukturiert zu dokumentieren.
