Wofür haftet die Geschäftsführung bei NIS-2?

Mit der europäischen NIS-2-Richtlinie wird sie ausdrücklich zur Managementaufgabe – mit direkten Konsequenzen für Geschäftsführer und Vorstände. Was früher häufig in der IT-Abteilung „mitlief“, ist heute Teil der unternehmerischen Sorgfaltspflicht. Wer Verantwortung trägt, haftet.

Die NIS-2-Richtlinie richtet sich an sogenannte wesentliche und wichtige Einrichtungen – darunter viele mittelständische Unternehmen ab etwa 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz (mehr zur Bedeutung für Unternehmen). Selbst Unternehmen, die formal nicht direkt betroffen sind, geraten über Lieferkettenanforderungen zunehmend unter Zugzwang. Kunden verlangen Nachweise zu Informationssicherheit, Risikomanagement und Resilienz.

Zentral ist dabei eine Neuerung: Die Leitungsebene kann Verantwortung nicht mehr vollständig delegieren. Artikel 20 der NIS-2 verpflichtet Geschäftsleitungen ausdrücklich dazu, Cybersicherheitsmaßnahmen zu genehmigen, ihre Umsetzung zu überwachen und sich regelmäßig über den Sicherheitsstatus informieren zu lassen. Operative Aufgaben können übertragen werden – die rechtliche Verantwortung bleibt.

Damit entstehen reale Haftungsrisiken. Zivilrechtlich drohen Schadenersatzforderungen, etwa wenn ein Cyberangriff zu Produktionsausfällen oder Datenverlust führt und nachweislich keine angemessenen Schutzmaßnahmen getroffen wurden. Zusätzlich sieht NIS-2 empfindliche Bußgelder vor: bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. In schweren Fällen sind sogar persönliche Sanktionen gegen Mitglieder der Geschäftsleitung möglich, einschließlich temporärer Tätigkeitsverbote. Strafrechtliche Konsequenzen ergeben sich zwar nicht unmittelbar aus NIS-2, können aber über allgemeine Sorgfaltspflichtverletzungen relevant werden.

In diesem Kontext gewinnt ISO/IEC 27001 eine neue Bedeutung. Zwar ist die Norm keine gesetzliche Pflicht, sie fungiert jedoch zunehmend als Haftungs- und Entlastungsinstrument. ISO 27001 verlangt ein strukturiertes Informationssicherheits-Managementsystem (ISMS), klar definierte Verantwortlichkeiten, dokumentierte Risikoanalysen und ein nachweisbares Management-Commitment. Für Geschäftsführer bedeutet das: Entscheidungen werden nachvollziehbar getroffen, Risiken bewusst akzeptiert oder behandelt und Maßnahmen regelmäßig überprüft.

Gerade im Haftungsfall ist diese Dokumentation entscheidend. Gerichte, Aufsichtsbehörden und Cyberversicherer bewerten nicht, ob absolute Sicherheit erreicht wurde, sondern ob systematisch, angemessen und verantwortungsvoll gehandelt wurde. Genau hier setzt ISO 27001 an.

In der Praxis zeigen sich immer wieder typische Schwachstellen: fehlende Risikoanalysen, keine klaren Zuständigkeiten, unzureichende Schulungen, fehlende Notfallpläne oder mangelnde Transparenz gegenüber der Geschäftsführung. Besonders problematisch ist die Annahme, mangelndes technisches Verständnis schütze vor Verantwortung. Das Gegenteil ist der Fall: Unwissen wird zunehmend als Organisationsverschulden gewertet.

Für IT-Fachkräfte ergibt sich daraus eine neue Rolle. Wer sich im Bereich Informationssicherheit weiterqualifiziert, arbeitet nicht mehr nur technisch, sondern an der Schnittstelle zwischen IT, Recht und Unternehmensführung. Kompetenzen in NIS-2-Compliance, ISO-27001-Implementierung, Risikomanagement und Management-Reporting werden zu strategischen Schlüsselqualifikationen (mehr zu zu Informationssicherheitsbeauftragter bzw. Datenschutzbeauftragter).

IT-Sicherheit ist damit nicht nur ein Schutzmechanismus gegen Angriffe – sie ist ein zentrales Element moderner Unternehmensführung. Und sie entscheidet zunehmend auch über persönliche Haftung.