NIS-2 Geschäftsführer-Haftung: Was das NIS2UmsuCG für die Unternehmensleitung bedeutet

Am 5. Dezember 2025 tritt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in Kraft. Damit setzt Deutschland die europäische NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) in nationales Recht um. Für rund 29.500 Einrichtungen in Deutschland ändert sich damit die Rechtsgrundlage der Cybersicherheit grundlegend. Die Besonderheit liegt darin, dass das Gesetz sich nicht nur an Unternehmen als Organisationen richtet. Es nimmt die Geschäftsführung persönlich in die Pflicht. Das ist die Kernfrage der NIS-2-Geschäftsführerhaftung.

Das ist, gemessen an der bisherigen Regulierungspraxis, ein Bruch. Informationssicherheit war in deutschen Unternehmen lange eine Aufgabe, die an IT-Abteilungen oder externe Dienstleister delegiert wurde. Das NIS2UmsuCG macht diese Delegation künftig rechtlich problematisch. Wer als Geschäftsführerin oder Geschäftsführer die Umsetzung von Risikomanagementmaßnahmen versäumt, haftet persönlich. Das dürfte für viele Leitungsorgane eine neue Erfahrung werden.

Was das NIS2UmsuCG regelt

Das NIS2UmsuCG ändert im Kern das BSI-Gesetz (BSIG) und ergänzt es um umfangreiche Pflichten für Betreiber wesentlicher und wichtiger Einrichtungen. Die wichtigsten Neuerungen lassen sich auf drei Säulen reduzieren. Risikomanagement (§ 30 BSIG), Meldepflichten (§ 32 BSIG) und Geschäftsleitungspflichten (§ 38 BSIG).

Die Kategorisierung als „wesentliche" oder „wichtige" Einrichtung hängt von Branche und Unternehmensgröße ab. Betroffen sind unter anderem Unternehmen aus den Sektoren Energie, Transport, Gesundheit, digitale Infrastruktur, verarbeitendes Gewerbe, Abfallwirtschaft und Lebensmittel. Bereits ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz könnte eine Einrichtung unter die Regulierung fallen. Das BSI schätzt die Zahl der betroffenen Organisationen auf rund 29.500.

Die persönliche Haftung nach § 38 BSIG

§ 38 BSIG formuliert die Pflicht der Geschäftsleitung in zwei Richtungen. Erstens müssen die Leitungsorgane die Risikomanagementmaßnahmen nach § 30 BSIG billigen. Das bedeutet nicht lediglich, ein Dokument zu unterschreiben. Billigung setzt voraus, dass die Geschäftsführung die Maßnahmen inhaltlich kennt, deren Angemessenheit bewertet und die Umsetzung aktiv überwacht.

Zweitens müssen Leitungsorgane an Schulungen zur Cybersicherheit teilnehmen. Auch das ist keine Kann-Bestimmung. Der Gesetzgeber will sicherstellen, dass Geschäftsführerinnen und Geschäftsführer über ausreichend Fachkenntnis verfügen, um die Risiken für ihr Unternehmen einschätzen zu können. Wer ohnehin keine Zeit für IT-Sicherheit hat, wird diesen Punkt freilich als zusätzliche Belastung empfinden. Gleichwohl lässt das Gesetz hier keinen Spielraum.

Die Haftung nach § 38 BSIG folgt den gesellschaftsrechtlichen Grundsätzen. Bei einer GmbH haftet der Geschäftsführer gegenüber der Gesellschaft nach § 43 Abs. 2 GmbHG, wenn er seine Sorgfaltspflichten verletzt. Das NIS2UmsuCG konkretisiert diese Sorgfaltspflichten für den Bereich der Cybersicherheit. Ein Verzicht auf Regressansprüche der Gesellschaft gegen die Geschäftsführung ist nach dem Gesetzentwurf ausdrücklich unzulässig.

Bußgelder: Der finanzielle Rahmen

Die Bußgeldvorschriften des NIS2UmsuCG orientieren sich an der europäischen Vorgabe. Für wesentliche Einrichtungen drohen Geldbußen von bis zu 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Mio. EUR oder 1,4 Prozent des Umsatzes.

Diese Beträge liegen in einer Größenordnung, die für mittelständische Unternehmen existenzbedrohend sein kann. Ein Industrieunternehmen mit 200 Mio. EUR Jahresumsatz würde bei 2 Prozent Umsatzbezug mit bis zu 4 Mio. EUR rechnen müssen. Die Bußgelder treffen dabei primär die Organisation. Die persönliche Haftung der Geschäftsführung kommt über den gesellschaftsrechtlichen Regress hinzu.

Was § 30 BSIG konkret verlangt

§ 30 BSIG listet zehn Kategorien von Risikomanagementmaßnahmen auf, die betroffene Einrichtungen umsetzen müssen.

• Risikoanalyse und Sicherheitskonzepte für Informationssysteme
• Bewältigung von Sicherheitsvorfällen (Incident Response)
• Aufrechterhaltung des Betriebs (Business Continuity, Krisenmanagement)
• Sicherheit der Lieferkette einschließlich der Beziehungen zu Dienstleistern
• Sicherheit bei Erwerb, Entwicklung und Wartung von IT-Systemen
• Konzepte für Kryptografie und Verschlüsselung
• Zugangskontrollen und Management von Anlagewerten
• Multi-Faktor-Authentifizierung und gesicherte Kommunikation
• Schulungen zur Cybersicherheit und grundlegende Cyberhygiene
• Verfahren zur Bewertung der Wirksamkeit der Maßnahmen

Die Maßnahmen müssen dem Stand der Technik entsprechen und verhältnismäßig sein. Gleichwohl lässt der Gesetzgeber wenig Raum für Minimalismus. Wer nur die offensichtlichen Lücken schließt und den Rest ignoriert, wird im Prüfungsfall Schwierigkeiten haben, die Angemessenheit seiner Maßnahmen zu belegen.

Für Unternehmen, die bereits ein ISMS nach ISO 27001 betreiben, ist die Ausgangslage deutlich besser. Viele der geforderten Maßnahmen decken sich mit den Controls aus Annex A der ISO 27001:2022. Wer die GAP-Analyse sauber durchführt, wird feststellen, dass ein ISO-27001-konformes ISMS einen Großteil der NIS-2-Anforderungen ohnehin erfüllt. Die verbleibenden Lücken betreffen erfahrungsgemäß vor allem die Meldepflichten, die Lieferkettensicherheit und die formale Billigung durch die Geschäftsführung.

Meldepflichten: 24 Stunden, 72 Stunden, ein Monat

§ 32 BSIG sieht ein dreistufiges Meldesystem für erhebliche Sicherheitsvorfälle vor. Innerhalb von 24 Stunden nach Kenntnis eines Vorfalls muss eine Frühwarnung an das BSI erfolgen. Diese muss angeben, ob der Vorfall vermutlich auf rechtswidrige oder böswillige Handlungen zurückzuführen ist und ob grenzüberschreitende Auswirkungen zu erwarten sind.

Innerhalb von 72 Stunden folgt die vollständige Meldung. Sie enthält eine erste Bewertung des Vorfalls, den Schweregrad, die Auswirkungen und gegebenenfalls die Kompromittierungsindikatoren. Spätestens nach einem Monat ist ein Abschlussbericht vorzulegen, der den Vorfall, die Art der Bedrohung, die Ursachen und die ergriffenen Gegenmaßnahmen dokumentiert.

Diese Fristen setzen voraus, dass Unternehmen Sicherheitsvorfälle überhaupt erkennen können. Wer keine Erkennungsfähigkeit aufgebaut hat, wird die 24-Stunden-Frist schlicht nicht einhalten können. Incident-Detection und definierte Meldewege gehören deshalb zu den Mindestvoraussetzungen für NIS-2-Konformität.

Die Registrierungslücke

Ein bemerkenswertes Detail: Betroffene Einrichtungen müssen sich beim BSI registrieren. Bis dato haben das allerdings nur rund 11.000 der geschätzt 29.500 betroffenen Organisationen getan. Das bedeutet, dass etwa 18.500 Unternehmen entweder nicht wissen, dass sie betroffen sind, oder die Registrierung bewusst aufschieben.

Beide Varianten sind problematisch. Die fehlende Registrierung schützt nicht vor den Pflichten des Gesetzes. Wer die Kriterien erfüllt, ist betroffen, unabhängig davon, ob die Registrierung erfolgt ist. Die Geschäftsführung trägt die Verantwortung, die eigene Betroffenheit zu prüfen. Ein „Wir wussten nicht, dass wir betroffen sind" dürfte als Entlastungsargument etwa so belastbar sein wie die Behauptung, den Steuerbescheid nicht erhalten zu haben.

Was Geschäftsführer jetzt tun sollten

Die Handlungsfelder lassen sich in vier Schritte gliedern, die sich auch ohne großen Vorlauf umsetzen lassen.

1. Betroffenheit prüfen

Der erste Schritt ist die Feststellung, ob das eigene Unternehmen als wesentliche oder wichtige Einrichtung unter das NIS2UmsuCG fällt. Die Kriterien finden sich in §§ 28 ff. BSIG. Das BSI stellt ein Online-Tool zur Betroffenheitsprüfung bereit. Für Unternehmen an der Schwelle empfiehlt sich eine juristische Einschätzung, denn die Branchenzuordnung ist nicht immer eindeutig.

2. GAP-Analyse durchführen

Wer betroffen ist, muss den aktuellen Stand der eigenen Sicherheitsmaßnahmen gegen die Anforderungen des § 30 BSIG abgleichen. Eine strukturierte GAP-Analyse identifiziert die Abweichungen und priorisiert die Maßnahmen nach Dringlichkeit und Aufwand. Unternehmen mit bestehendem ISMS starten hier mit einem Vorsprung. Unternehmen ohne formales Sicherheitsmanagement müssen durchaus mit einem Aufbauprojekt von sechs bis zwölf Monaten rechnen.

3. Meldeprozesse etablieren

Die Meldepflichten nach § 32 BSIG erfordern definierte interne Abläufe. Wer erkennt Vorfälle? Wer entscheidet über die Meldung? Wer kommuniziert mit dem BSI? Diese Fragen müssen vor dem Ernstfall beantwortet sein. Ein Incident-Response-Plan, der die Meldewege, Eskalationsstufen und Verantwortlichkeiten festlegt, ist keine optionale Ergänzung, sondern Pflichtbestandteil der NIS-2-Konformität.

4. Geschäftsleitungspflichten formalisieren

Die Anforderungen des § 38 BSIG müssen dokumentiert und nachweisbar umgesetzt werden. Das umfasst die formale Billigung der Risikomanagementmaßnahmen durch die Geschäftsführung, die Teilnahme an Schulungen und die regelmäßige Befassung mit dem Sicherheitsstatus des Unternehmens. Ein quartalsweiser Sicherheitsbericht an die Geschäftsführung, der Risikostatus, offene Maßnahmen und Vorfälle zusammenfasst, schafft die notwendige Dokumentationslage.

Delegation ja, Haftungsverlagerung nein

Ein verbreitetes Missverständnis lautet, die Geschäftsführung könne die operative Umsetzung der Cybersicherheit an Fachpersonal delegieren. Einen Informationssicherheitsbeauftragten zu benennen, einen CISO einzustellen oder einen externen Dienstleister zu beauftragen, ist nicht nur zulässig, sondern sinnvoll. Was sich nicht delegieren lässt, ist die Verantwortung. Die Billigung der Maßnahmen, die Überwachung ihrer Umsetzung und die Teilnahme an Schulungen bleiben bei der Geschäftsführung.

Diese Konstruktion ist kein Sonderfall des Cybersicherheitsrechts. Im Kartellrecht, im Datenschutz und in der Arbeitssicherheit gelten vergleichbare Grundsätze. Die Geschäftsführung muss nicht jedes Detail selbst umsetzen. Aber sie muss sicherstellen, dass die Umsetzung funktioniert. Und sie muss nachweisen können, dass sie sich hinreichend informiert und angemessen gehandelt hat.

ISMS als Fundament der NIS-2-Konformität

Wer die Anforderungen des § 30 BSIG mit den Controls der ISO 27001:2022 abgleicht, stellt fest, dass ein ISMS den Großteil der geforderten Maßnahmen abdeckt. Risikoanalyse, Vorfallmanagement, Zugangskontrollen, Lieferkettensicherheit, Schulungen. All das gehört zum Standardrepertoire eines ISO-27001-konformen Managementsystems. Der Aufbau eines ISMS nach ISO 27001 ist deshalb der strukturell sauberste Weg zur NIS-2-Konformität.

Das heißt nicht, dass ISO-27001-Zertifizierung und NIS-2-Konformität identisch sind. Die Meldepflichten, die Registrierung beim BSI und die spezifischen Geschäftsleitungspflichten gehen über den Norm-Scope hinaus. Aber das Fundament ist dasselbe. Unternehmen, die sich jetzt für den ISMS-Aufbau entscheiden, investieren nicht doppelt.

Persönliche Haftung: Was bleibt, wenn alles delegiert ist

Das NIS2UmsuCG verändert die Verantwortungsarchitektur der Cybersicherheit in Deutschland. Die persönliche Haftung der Geschäftsführung nach § 38 BSIG, die Bußgeldrahmen von bis zu 10 Mio. EUR und die dreistufigen Meldepflichten machen deutlich, dass der Gesetzgeber Cybersicherheit nicht länger als operative IT-Aufgabe betrachtet, sondern als Governance-Thema.

Für Geschäftsführerinnen und Geschäftsführer bedeutet das, sich zu informieren, die Betroffenheit zu prüfen, Maßnahmen zu billigen und die Umsetzung zu überwachen. Nicht alles muss sofort perfekt sein. Aber alles muss begonnen werden. Wer bis zum Inkrafttreten des Gesetzes am 5. Dezember 2025 noch keinen Plan hat, wird Schwierigkeiten haben, bei einer Prüfung die eigene Sorgfalt nachzuweisen.