NIS2 und persönliche Vorstandshaftung: Was jeder Geschäftsführer wissen muss
Die meisten Cybersicherheitsvorschriften richten sich an die Organisation. NIS2 geht einen Schritt weiter: Sie richtet sich an Sie persönlich als Vorstandsmitglied.
Artikel 20 der NIS2-Richtlinie legt die Verantwortung für Cybersicherheit ausdrücklich beim Leitungsorgan fest. Wenn Ihre Organisation unzureichende Cybersicherheitsmaßnahmen umsetzt, können Sie — als einzelnes Vorstandsmitglied — persönlich zur Rechenschaft gezogen werden.
Was sagt Artikel 20 genau?
Gilt NIS2 für Ihre Organisation?
1Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja▼Nein▼2Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
✗NIS2 gilt nicht unmittelbar für Ihre Organisation.
Ja▼Nein▼✓NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
3Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja▼!NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
1Ist Ihre Organisation in einem wesentlichen oder wichtigen Sektor tätig (Energie, Verkehr, Gesundheit, digitale Infrastruktur usw.)?
Ja ↓Nein →2Beschäftigt Ihre Organisation 50 oder mehr Mitarbeiter oder erzielt einen Jahresumsatz von mehr als 10 Millionen Euro?
Ja ↓Nein →3Ist Ihre Organisation ein Anbieter kritischer Infrastruktur oder ein qualifizierter Vertrauensdiensteanbieter?
Ja ↓Nein →✗NIS2 gilt nicht unmittelbar für Ihre Organisation.
✓NIS2 gilt für Ihre Organisation als wesentliche oder wichtige Einrichtung.
!NIS2 könnte für Ihre Organisation gelten — holen Sie rechtlichen Rat ein, um Ihren Status zu bestätigen.
GiltGilt möglicherweiseGilt nicht
1. Risikomanagementmaßnahmen genehmigen
Der Vorstand muss die Cybersicherheits-Risikomanagementmaßnahmen nach Artikel 21 formell genehmigen — Sicherheits-\nrichtlinien, Risikobewertungen, Incident-Response-Pläne und die Ressourcenzuweisung.
2. Umsetzung überwachen
Genehmigung allein reicht nicht. Der Vorstand muss aktiv überwachen, dass die genehmigten Maßnahmen tatsächlich umgesetzt werden — durch regelmäßige Berichte des CISO und Überprüfung des Fortschritts.
3. Persönlich haftbar sein
Wenn die Organisation den NIS2-Cybersicherheitspflichten nicht nachkommt, können einzelne Vorstands-\nmitglieder persönlich haftbar gemacht werden. Mögliche Konsequenzen:
- Persönliche Bußgelder für Geschäftsführer
- Zeitweises Verbot der Ausübung von Leitungsfunktionen
- Öffentliche Bekanntmachung von Compliance-Versäumnissen
4. Cybersicherheitsschulung absolvieren
Vorstands-\nmitglieder müssen Schulungen absolvieren, um Cyberrisiken identifizieren und die Angemessenheit der Maßnahmen beurteilen zu können.
Warum ist das anders als andere Vorschriften?
| DSGVO | NIS2 | |
|---|---|---|
| Wer haftet? | Die Organisation | Die Organisation und einzelne Vorstands-\nmitglieder |
| Persönliche Konsequenzen? | Selten | Ausdrücklich in der Richtlinie festgelegt |
| Vorstandsschulung erforderlich? | Nein | Ja — verpflichtend |
| Aktive Aufsicht erforderlich? | Impliziert | Ausdrücklich gefordert |
Sanktionen
Für die Organisation
- Wesentliche Einrichtungen: bis zu 10 Mio. € oder 2% des weltweiten Jahresumsatzes
- Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4% des weltweiten Jahresumsatzes
Für einzelne Vorstands-\nmitglieder
- Persönliche Bußgelder — unabhängig von Unternehmensstrafen
- Zeitweises Tätigkeitsverbot in der Geschäftsführung
- Reputationsschaden — öffentliche Bekanntmachung
- Zivilrechtliche Haftung — mögliche Klagen von Anteilseignern
Die "Ich wusste es nicht"-Verteidigung funktioniert nicht
Da NIS2 ausdrücklich Schulungen und aktive Aufsicht verlangt, ist Unwissenheit kein tragfähiges Argument.
Was Vorstands-\nmitglieder jetzt tun sollten
- Verstehen Sie Ihre Pflichten — Artikel 20 und 21 der NIS2-Richtlinie kennen
- Bewerten Sie den aktuellen Stand — welche Artikel-21-Maßnahmen bestehen bereits?
- Absolvieren Sie Cybersicherheitsschulungen — unter NIS2 nicht optional
- Formalisieren Sie die Aufsicht — regelmäßige Cybersicherheitsberichte an den Vorstand
- Prüfen und genehmigen Sie Sicherheits-\nrichtlinien — festes Tagesordnungsthema
- Weisen Sie ausreichende Mittel zu — unzureichendes Budget = geteilte Verantwortung
- Dokumentieren Sie alles — Vorstandsbeschlüsse, Schulungen, umgesetzte Maßnahmen
- Überwachen Sie Lieferkettenrisiken — Schlüsselabhängigkeiten verstehen
Starten Sie mit einem kostenlosen NIS2-Quickscan
Unser kostenloser NIS2-Quickscan bewertet Ihre Bereitschaft über alle 10 Artikel-21-Maßnahmenkategorien. Teilen Sie die Ergebnisse mit Ihrem Vorstand.