Persönliche Haftung der Geschäftsführung unter NIS2

Erfahre, wie du als Geschäftsführer unter NIS2 die persönliche Haftung minimierst und deine Pflichten nach Paragraph 38 BSIG rechtssicher erfüllst.

Ein Geschäftsführer im modernen Büro blickt konzentriert auf ein Tablet mit IT-Sicherheits-Dashboards, während im Hintergrund ein dezentes Schloss-Symbol die NIS2-Compliance signalisiert.

Die neue Rechtslage: Warum NIS2 Geschäftsführer direkt in die Pflicht nimmt

Mit dem neuen NIS2-Umsetzungsgesetz wird Cybersicherheit im deutschen Mittelstand endgültig zur unübertragbaren Chef-Sache. Herzstück dieser gesetzlichen Neuregelung ist der Paragraph 38 des BSI-Gesetzes (BSIG), der die Verantwortung für die Umsetzung und Überwachung von Sicherheitsmaßnahmen direkt auf die Geschäftsführung überträgt^[1]. Wenn Du als Geschäftsführer ein Unternehmen mit mehr als 50 Mitarbeitern leitest, solltest Du jetzt genau hinsehen, denn die Zeiten, in denen IT-Sicherheit rein operativ an die IT-Abteilung wegdelegiert werden konnte, sind damit vorbei. Das Gesetz fordert von der Geschäftsleitung eine aktive Steuerung und ein persönliches Einstehen für Versäumnisse.

Schwellenwerte und die Einteilung der Einrichtungen

Ob Dein Unternehmen direkt betroffen ist, entscheidet sich primär an klaren Schwellenwerten bezüglich Mitarbeiterzahl und Jahresumsatz. Die Richtlinie unterscheidet hierbei zwischen wichtigen und besonders wichtigen Einrichtungen. Grundsätzlich fallen Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro in den Anwendungsbereich, sofern sie in einem der definierten Sektoren tätig sind. Diese Einteilung bestimmt nicht nur die Tiefe der regulatorischen Vorgaben, sondern auch das Ausmaß der behördlichen Aufsicht und die Höhe potenzieller Bußgelder bei Verstößen.

Einrichtungskategorie	Schwellenwerte	Aufsicht und Bußgelder
Besonders wichtige Einrichtungen	Mindestens 250 Mitarbeiter oder über 50 Millionen Euro Umsatz in kritischen Sektoren	Strengere Aufsicht im Vorfeld und im Nachgang, Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Wichtige Einrichtungen	Mindestens 50 Mitarbeiter oder über 10 Millionen Euro Umsatz in vordefinierten Sektoren	Überwiegend reaktive Aufsicht bei Sicherheitsvorfällen, Bußgelder bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

Die persönliche Pflichten-Trias nach Paragraph 38 BSIG

Paragraph 38 BSIG normiert eine klare Pflichten-Trias für die Geschäftsleitung, die nicht auf externe Berater oder interne IT-Leiter abgewälzt werden kann^[2]. Die Gesamtverantwortung bleibt rechtlich immer bei den geschäftsführenden Personen hängen. Wer diese Pflichten schuldhaft verletzt, haftet dem eigenen Unternehmen gegenüber persönlich mit dem Privatvermögen für entstandene Schäden. Das Gesetz unterscheidet dabei drei wesentliche Säulen, die von der Geschäftsleitung zwingend erfüllt und nachweisbar dokumentiert werden müssen.

Umsetzungsverpflichtung: Die Geschäftsleitung muss die nach Paragraph 30 BSIG geforderten Risikomanagementmaßnahmen im Bereich der Cybersicherheit aktiv im Unternehmen einführen und etablieren.
Überwachungspflicht: Es reicht nicht aus, Sicherheitskonzepte einmalig freizugeben. Die Geschäftsleitung muss die tatsächliche Umsetzung und die Wirksamkeit der Maßnahmen fortlaufend kontrollieren und überwachen.
Schulungspflicht: Geschäftsleiter sind gesetzlich verpflichtet, sich selbst regelmäßig fortzubilden, um die notwendigen Kenntnisse zur Bewertung von Cyber-Risiken und zur Beurteilung von Sicherheitsmaßnahmen zu erlangen.

Um diese anspruchsvollen rechtlichen Vorgaben ohne eigenen personellen Mehraufwand zu erfüllen, setzen immer mehr mittelständische Unternehmen auf professionelle Unterstützung. Ein ganzheitlicher Ansatz, wie ihn CAVRIX als KI-native Plattform für Managed IT, Cybersecurity und Compliance bietet, ermöglicht es, die geforderten Sicherheitsvorgaben ab dem ersten Tag rechtssicher umzusetzen. Betrieben von der Hamburger CITO GmbH, vereint diese Lösung die operative IT-Verwaltung mit kontinuierlicher Überwachung und automatisierten Audit-Berichten im integrierten Command Center. Auf diese Weise können Geschäftsführer ihrer gesetzlichen Überwachungspflicht lückenlos nachkommen und das Haftungsrisiko effektiv minimieren.

Die drei unteilbaren Kernpflichten der Geschäftsleitung

Mit der nationalen Umsetzung der NIS2-Richtlinie wird die Cybersicherheit endgültig zur obersten Chefsache erklärt. Das Gesetz sieht in Paragraph 38 BSIG eine klare, persönliche Verantwortung für das Leitungsorgan vor, die du nicht einfach an deine IT-Abteilung oder an externe Berater delegieren kannst^[3]. Für Geschäftsführer im deutschen Mittelstand bedeutet dies eine erhebliche Verschärfung: Es reicht nicht mehr aus, ein Budget freizugeben und sich wieder anderen Themen zu widmen. Du musst aktiv nachweisen können, dass du dich persönlich engagierst und die gesetzlichen Vorgaben im eigenen Betrieb umsetzt. Das Gesetz unterscheidet dabei drei unteilbare Kernpflichten, die jedes Mitglied der Geschäftsleitung zwingend erfüllen muss.

Billigung, Überwachung und Fortbildung im Detail

Die erste Pflicht ist die förmliche Billigung der Risikomanagementmaßnahmen nach Paragraph 30 BSIG. In der Praxis bedeutet dies, dass du Cybersicherheitskonzepte, Richtlinien zur Informationssicherheit und Risikobewertungen nicht einfach formlos durchwinken darfst^[3]. Erforderlich ist eine nachvollziehbare, dokumentierte Beschlussfassung der Geschäftsführung, die im Ernstfall als Beweis dient. Zweitens fordert das Gesetz die proaktive Überwachung dieser Maßnahmen. Du bist verpflichtet, die tatsächliche Umsetzung im Alltag laufend zu kontrollieren. Das bedeutet, dass ein regelmäßiger Berichtszyklus mit klaren KPIs etabliert werden muss. Ein quartalsweises Management-Review ist das absolute Minimum, um die Überwachungspflicht glaubhaft zu dokumentieren und dich vor Haftungsrisiken zu schützen.

Die dritte Pflicht betrifft dich persönlich: die Fortbildungspflicht nach Paragraph 38 Absatz 3 BSIG. Du musst regelmäßig an anerkannten Cybersicherheitsschulungen teilnehmen, um die Risiken für dein Unternehmen fachgerecht einschätzen zu können^[3]. Hierbei geht es nicht um die allgemeine Sensibilisierung deiner Angestellten, sondern um eine spezielle Management-Fortbildung, die dich in die Lage versetzt, Restrisiken und technische Maßnahmen sachlich zu beurteilen. Ohne diesen Schulungsnachweis ist deine gesamte Argumentation im Haftungsfall hinfällig, da das BSI dies am einfachsten überprüfen kann.

Kernpflicht	Gesetzliche Grundlage (§ 38 BSIG)	Praktische Umsetzung im Mittelstand
Billigung von Sicherheitsmaßnahmen	Förmliche Prüfung und Freigabe aller IT-Sicherheitskonzepte und Risikobewertungen nach § 38 Abs. 1.	Dokumentierte Beschlussfassung mit Zeitstempel und Unterschrift statt einer formlosen mündlichen Freigabe.
Proaktive Überwachung	Fortlaufende Kontrolle der tatsächlichen Umsetzung aller beschlossenen Schutzmaßnahmen im Betrieb.	Etablierung eines regelmäßigen Berichtszyklus mit klaren IT-Sicherheits-KPIs und quartalsweisen Reviews.
Regelmäßige Schulung	Verpflichtende, persönliche Teilnahme der Geschäftsleitung an Cybersicherheits-Schulungen nach § 38 Abs. 3.	Teilnahme an BSI-konformen Schulungen zum Verständnis des betrieblichen Risikoprofils und der Abwehrmethoden.

Um diese anspruchsvollen Kernpflichten im turbulenten Mittelstandsalltag pragmatisch zu erfüllen, unterstützen moderne Lösungen wie die von CAVRIX. Über das intuitive Command Center hast du jederzeit den vollen Überblick über deine Compliance und deine Cybersecurity. Das System sammelt im Hintergrund automatisch alle notwendigen Nachweise und liefert dir strukturierte Berichte, die du für deine gesetzliche Überwachungspflicht nutzen kannst. So verbindest du erstklassiges Managed IT mit lückenloser NIS2-Konformität ab dem ersten Tag und stellst sicher, dass deine dokumentierte Beschlussfassung und Überwachung jederzeit revisionssicher dokumentiert sind.

Haftung mit dem Privatvermögen: Die juristischen Konsequenzen bei Missachtung

Wer als Geschäftsführer im deutschen Mittelstand die Anforderungen von NIS2 ignoriert, geht ein unkalkulierbares persönliches Risiko ein. Der Gesetzgeber stellt mit dem neuen § 38 BSIG (BSI-Gesetz) unmissverständlich klar, dass die Verantwortung für die Cybersicherheit nicht mehr im stillen Kämmerlein der IT-Abteilung verbleibt, sondern zur unübertragbaren Pflicht der Geschäftsleitung wird^[4]. Sollte es aufgrund von Versäumnissen bei den Cyber-Sicherheitsmaßnahmen zu einem erfolgreichen Angriff kommen, droht dir eine direkte persönliche Haftung mit deinem Privatvermögen^[5]. Diese sogenannte Innenhaftung bedeutet, dass die eigene Gesellschaft dazu verpflichtet sein kann, Schadensersatzansprüche direkt gegen dich als Geschäftsführer geltend zu machen.

Besonders brisant ist, dass diese Haftung im Vorfeld nicht vertraglich ausgeschlossen werden kann. Viele Geschäftsführer im Mittelstand vertrauen fälschlicherweise darauf, dass Haftungsbeschränkungen im Anstellungsvertrag oder Entlastungsbeschlüsse der Gesellschafter sie im Ernstfall schützen. Doch das NIS2-Umsetzungsgesetz schließt solche Haftungsausschlüsse oder Verzichtserklärungen im Voraus explizit aus^[5]. Wenn ein Schaden durch fahrlässige Nichtbeachtung der gesetzlichen Sorgfaltspflichten entsteht, greift die gesetzliche Zwingendheit der Geschäftsführerhaftung ohne Wenn und Aber.

Die Grenzen der D&O-Versicherung und das Regressrisiko

Eine weitverbreitete Beruhigungspille im Mittelstand ist der Verweis auf die bestehende Directors-and-Officers-Versicherung (D&O-Versicherung). Hier ist jedoch extreme Vorsicht geboten. Eine D&O-Versicherung deckt grundsätzlich keine vorsätzlichen Pflichtverletzungen und stößt bei grober Fahrlässigkeit schnell an ihre Grenzen^[6]. Wenn du als Geschäftsführer nachweislich keine Cybersicherheits-Schulung absolviert oder die vorgeschriebenen Risikoanalysen nicht freigegeben hast, kann der Versicherer die Leistung wegen bewusster Pflichtverletzung verweigern. Hinzu kommt das Thema Bußgeldregress: Bußgelder, die gegen das Unternehmen verhängt werden, können nach herrschender Rechtsprechung oft nicht einfach auf den Geschäftsführer abgewälzt oder von einer D&O-Versicherung übernommen werden, da dies dem Strafcharakter des Bußgeldes widersprechen würde^[7].

Haftungsaspekt	Gesetzliche Regelung unter NIS2	Konsequenz für Geschäftsführer
Ausschluss der Haftung	Ein Verzicht oder ein Vergleich der Gesellschaft im Voraus ist gesetzlich unzulässig.	Haftungsbegrenzungen im Geschäftsführervertrag sind in Bezug auf NIS2-Pflichten unwirksam.
D&O-Versicherungsschutz	Keine Deckung bei vorsätzlichen Pflichtverletzungen oder gravierenden Versäumnissen.	Der Versicherer verweigert die Regulierung; du haftest direkt mit dem privaten Vermögen.
Regress bei Bußgeldern	Unternehmen drohen Millionenstrafen; Regressansprüche gegen das Management sind rechtlich hochgradig riskant.	Bußgelder können meist nicht über die D&O-Police abgesichert oder erstattet werden.

Um dieses existenzbedrohende Risiko für dich und dein Unternehmen zu minimieren, ist ein proaktives Handeln ab Tag 1 unerlässlich. Die IT-Infrastruktur muss so aufgestellt sein, dass alle gesetzlichen Schutzziele lückenlos nachgewiesen werden können. Mit einem starken Partner an der Seite wie der CITO GmbH in Hamburg und den passenden Services für Managed IT, Cybersecurity und integrierte Compliance lässt sich dieser Nachweis prozessual sauber führen. Durch automatisierte Berichte und kontinuierliche Überwachung bist du im Ernstfall in der Lage, die Erfüllung deiner gesetzlichen Überwachungspflichten zweifelsfrei zu belegen und somit eine persönliche Haftung wirksam abzuwenden.

Enthaftung im Mittelstand: 5 konkrete Schritte zur Absicherung

Als Geschäftsführer im deutschen Mittelstand trägst Du die Verantwortung für die Cybersicherheit Deines Unternehmens im Ernstfall ganz persönlich. Unter der NIS2-Regulierung und der nationalen Umsetzung nach Paragraph 38 BSIG kannst Du diese Verantwortung nicht einfach delegieren. Es droht eine empfindliche persönliche Innenhaftung, falls nachweisbare Versäumnisse bei der Risikoüberwachung zu Schäden führen^[5]. Doch es gibt einen klaren Pfad zur Enthaftung: Wer nachweisbar und sorgfältig handelt, minimiert sein persönliches Haftungsrisiko drastisch. Entscheidend ist eine strukturierte Herangehensweise, mit der Du die gesetzlichen Sorgfaltspflichten Schritt für Schritt in Deinen Unternehmensalltag integrierst.

Die 5 Schritte zur Absicherung Deiner Geschäftsführung

Um das persönliche Haftungsrisiko wirksam zu reduzieren, müssen Geschäftsführer ein systematisches Vorgehen wählen, das im Schadensfall als Nachweis der Erfüllung aller Sorgfaltspflichten dient. Die folgenden fünf Maßnahmen bilden das Fundament für Deine rechtliche Absicherung.

GAP-Analyse durchführen: Ermittle den aktuellen Ist-Zustand Deiner IT-Infrastruktur und gleiche ihn systematisch mit den konkreten NIS2-Anforderungen ab, um Schwachstellen aufzudecken.
Risikomanagement etablieren: Führe ein strukturiertes Risikomanagement ein, das Cyber-Risiken identifiziert, bewertet und kontinuierlich steuert, statt nur auf akute Vorfälle zu reagieren.
Dokumentation sicherstellen: Halte alle Sicherheitsentscheidungen, Freigaben und die Umsetzung der Maßnahmen lückenlos schriftlich oder digital fest, um Deine persönliche Sorgfalt im Ernstfall nachzuweisen.
Schulungspflicht erfüllen: Nimm regelmäßig an zertifizierten Cybersicherheitsschulungen teil, um die notwendige Fachkompetenz zur Bewertung von IT-Risiken zu besitzen, wie es das Gesetz verlangt.
Sicherheitsmaßnahmen überwachen: Lass Dir regelmäßig Berichte zur aktuellen Sicherheitslage vorlegen und passe Deine Abwehrstrategie fortlaufend an neue Bedrohungslagen an.

Automatisierte Absicherung und Dokumentation mit CAVRIX

Für mittelständische Unternehmen mit weniger als 500 Mitarbeitern ist der Aufbau eines eigenen, komplexen Managementsystems für Informationssicherheit oft eine unüberwindbare Hürde. Hier setzt das integrierte Angebot von CAVRIX an, das von der CITO GmbH in Hamburg betrieben wird. Durch die Bündelung von Managed IT und Cybersecurity in einer einzigen Plattform wird Compliance ab dem ersten Tag Realität. Über das zentrale Command Center behältst Du den aktuellen Sicherheitsstatus jederzeit im Blick und kannst Abweichungen proaktiv steuern. Die Plattform sammelt über die integrierten Module für Compliance automatisch die notwendigen Nachweise und Audit-Reports. Damit schaffst Du ohne zusätzlichen administrativen Aufwand die lückenlose Dokumentation, die für Deine persönliche Enthaftung im Ernstfall entscheidend ist.

Integrierte NIS2-Compliance: Wie moderne Managed-Services die Geschäftsleitung entlasten

Die Umsetzung der NIS2-Vorgaben stellt Geschäftsführer im deutschen Mittelstand vor eine enorme Herausforderung. Nach Paragraph 38 BSIG haftest du als Geschäftsleiter im Ernstfall persönlich mit deinem Privatvermögen, wenn Cybersicherheitsmaßnahmen schuldhaft verletzt wurden^[8]. Ein Delegieren der Aufgaben enthebt dich nicht deiner persönlichen Überwachungspflicht. Da im Mittelstand jedoch meist die personellen und fachlichen Ressourcen fehlen, um ein lückenloses System aufzubauen, wird die gesetzliche Vorgabe schnell zum unkalkulierbaren Risiko. Integrierte Managed-Services bieten hier einen praxisnahen Ausweg, indem sie IT-Betrieb, Cybersecurity und regulatorische Nachweise in einer einzigen Lösung bündeln.

Integrierte Sicherheit statt fragmentierter Einzellösungen

Ein klassischer IT-Dienstleister kümmert sich oft nur um die Funktionsfähigkeit der Systeme, während Cybersecurity-Fragen separat gelöst werden müssen. Unter den strengen Anforderungen von NIS2 führt diese Zerstückelung zu riskanten Sicherheitslücken und einem massiven Dokumentationsaufwand. CAVRIX bündelt die essenziellen Disziplinen Managed IT, Cybersecurity und Compliance zu einem harmonisierten Gesamtkonzept. Das bedeutet für dein Unternehmen, dass Sicherheitsmechanismen direkt in den täglichen IT-Betrieb integriert sind und die Einhaltung gesetzlicher Standards ab dem ersten Tag im Hintergrund lückenlos mitläuft.

Anforderung	Klassischer IT-Support	Integrierte Services (CAVRIX)
Sicherheitsüberwachung	Reaktiv bei Störungen oder Updates	Kontinuierliches 24/7 Monitoring durch Cybersecurity-Experten
Compliance-Dokumentation	Manuelle Erstellung auf Anfrage	Automatisch generierte Berichte und Nachweise über Compliance
Transparenz für die Leitung	Unregelmäßige Berichte oder Meetings	Echtzeit-Einblick über das Command Center per Chat-Schnittstelle

Ein zentraler Aspekt der gesetzlichen Sorgfaltspflicht ist die kontinuierliche Überwachung der getroffenen Schutzmaßnahmen. Mit dem Command Center von CAVRIX erhält die Geschäftsführung ein intuitives Werkzeug, das diese Aufsichtspflicht massiv erleichtert. Über etablierte Kommunikationskanäle wie Microsoft Teams oder Slack kannst du den aktuellen Sicherheitsstatus deines Unternehmens jederzeit in natürlicher Sprache abfragen. Du musst kein IT-Experte sein, um zu verstehen, ob deine Systeme geschützt sind, da das System komplexe Sicherheitsdaten verständlich aufbereitet und als lückenlosen Bericht ausgibt.

Automatische Nachweisdokumentation: Alle vorgenommenen Sicherheitsupdates und Abwehrmaßnahmen werden revisionssicher erfasst, um deine gesetzliche Nachweispflicht jederzeit zu erfüllen.
Entlastung der internen IT: Deine IT-Verantwortlichen müssen sich nicht mühsam durch Compliance-Frameworks arbeiten, sondern können sich ganz auf wertschöpfende Projekte konzentrieren.
Echtzeit-Alarmierung: Bei kritischen Bedrohungen wirst du sofort informiert und erhältst klare, verständliche Handlungsempfehlungen statt technischem Kryptochinesisch.
Schulung und Sensibilisierung: Integrierte Cyber-Schulungen unterstützen dich dabei, die gesetzlich geforderten Weiterbildungen für dein Team und dich selbst unkompliziert umzusetzen.

Am Ende des Tages geht es bei NIS2 nicht nur darum, Bußgelder abzuwenden, sondern dein Unternehmen nachhaltig gegen existenzbedrohende Cyberangriffe zu wappnen. Indem du auf ein integriertes Modell setzt, das Managed IT, Cybersecurity und Compliance nahtlos miteinander verknüpft, erfüllst du deine persönliche Sorgfalts- und Überwachungspflicht nachweisbar und nimmst die Haftungsrisiken von deinen Schultern.

Häufig gestellte Fragen

Ab wann haften Geschäftsführer unter NIS2 persönlich?

Die persönliche Haftung greift mit dem Inkrafttreten des deutschen Umsetzungsgesetzes (NIS2UmsuCG). Sobald dein Unternehmen als wichtige oder besonders wichtige Einrichtung eingestuft ist, bist du gesetzlich verpflichtet, die Cybersicherheitsmaßnahmen aktiv zu billigen und zu überwachen. Versäumnisse können direkt zur persönlichen Innenhaftung führen.

Können Geschäftsführer die Verantwortung für NIS2 auf den IT-Leiter übertragen?

Nein, die Pflichten zur Billigung und Überwachung der Risikomanagementmaßnahmen nach Paragraph 38 BSIG sind nicht delegierbar. Du kannst zwar operative Aufgaben an deinen IT-Leiter oder externe Dienstleister übertragen, die Gesamtverantwortung und die Pflicht zur aktiven Überwachung verbleiben jedoch vollständig bei der Geschäftsleitung.

Wie hoch sind die Bußgelder bei Verstößen gegen NIS2?

Für besonders wichtige Einrichtungen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Für wichtige Einrichtungen liegt der Rahmen bei bis zu 7 Millionen Euro oder 1.4 Prozent des weltweiten Jahresumsatzes. Diese Bußgelder treffen primär das Unternehmen, das jedoch Regressansprüche gegen die verantwortlichen Geschäftsführer prüfen muss.

Ist ein vertraglicher Haftungsausschluss für Geschäftsführer möglich?

Nein, Paragraph 38 BSIG schließt Vereinbarungen, die die Haftung der Geschäftsleitung im Vorfeld einschränken oder ausschließen, explizit aus. Ein Verzicht der Gesellschaft auf Ersatzansprüche ist rechtlich unwirksam, wenn die Pflichtverletzung schuldhaft begangen wurde. Das Risiko für das Privatvermögen lässt sich nur durch konsequente Pflichterfüllung minimieren.

Was beinhaltet die gesetzliche Schulungspflicht für Geschäftsführer?

Geschäftsführer müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse zur Bewertung von Cyberrisiken und deren Auswirkungen zu erlangen. Das BSI definiert hierfür strukturierte Lehrinhalte. Die Teilnahme an diesen Fortbildungen dient zugleich als wichtiger Nachweis zur persönlichen Enthaftung im Schadensfall.