TroutTrout
Back to Blog
NIS2ComplianceGovernance

NIS2-Managementhaftung: Warum Führungskräfte persönlich haftbar sind

Trout Team6 min read

Die Haftungsverschiebung, die niemand erwartet hatte

Die meisten Cybersicherheitsvorschriften bestrafen das Unternehmen. Bußgelder richten sich gegen die juristische Person. Durchsetzungsmaßnahmen zielen auf die Rechtsperson ab. NIS2 durchbricht dieses Muster. Artikel 20 und Artikel 32 führen eine direkte, persönliche Haftung für Mitglieder von Leitungsorganen in wesentlichen und wichtigen Einrichtungen ein.

Das bedeutet: CEO, CTO, Vorstandsmitglieder und Geschäftsführer von Unternehmen im Anwendungsbereich können persönlich für Cybersicherheitsversäumnisse verantwortlich gemacht werden. Nicht das Unternehmen. Sie selbst.

Die nationalen Umsetzungsgesetze der EU-Mitgliedstaaten sind nun in Kraft. Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG), das belgische NIS2-Gesetz und andere haben diese Bestimmungen in vollstreckbares nationales Recht überführt. Wie wir in unserem Überblick über NIS2-Durchsetzungsfristen und erste Schritte zur Compliance dargelegt haben, ist dies keine Richtlinie mehr auf dem Papier.

Was die Rechtsvorschriften tatsächlich besagen

Artikel 20(1) verpflichtet die Leitungsorgane wesentlicher und wichtiger Einrichtungen, die von ihrer Organisation ergriffenen Cybersicherheits-Risikomanagementmaßnahmen zu genehmigen und deren Umsetzung zu überwachen. Bei Verstößen können Leitungsorgane haftbar gemacht werden.

Artikel 20(2) schreibt vor, dass Mitglieder von Leitungsorganen Schulungen absolvieren müssen, um ausreichende Kenntnisse und Fähigkeiten zu erwerben, um Risiken zu erkennen und Cybersicherheits-Risikomanagementpraktiken zu bewerten.

Artikel 32(5) gibt den zuständigen Behörden die Befugnis, von wesentlichen Einrichtungen die vorübergehende Aussetzung von Zertifizierungen oder Genehmigungen zu verlangen – sowie ein vorübergehendes Verbot für natürliche Personen, die Leitungsfunktionen auf CEO- oder gesetzlicher Vertreterebene ausüben.

Das Wort „vorübergehend" trägt hier viel Gewicht. Ein vorübergehendes Verbot von Leitungsfunktionen ist eine karriereverändernde Durchsetzungsmaßnahme.

Wie die Haftung vom Unternehmen auf die Person übergeht

Die Kette ist klar:

  1. Die Einrichtung muss Cybersicherheits-Risikomanagementmaßnahmen umsetzen (Artikel 21)
  2. Leitungsorgane müssen diese Maßnahmen genehmigen und überwachen (Artikel 20)
  3. Versagt die Einrichtung, ermitteln die zuständigen Behörden
  4. Geht das Versagen auf Managementfahrlässigkeit zurück, können die Behörden persönliche Haftung geltend machen
  5. Wird grobe Fahrlässigkeit festgestellt, sind vorübergehende Verbote von Leitungspositionen möglich

Das entscheidende Bindeglied liegt zwischen „Genehmigung und Überwachung" und „Versagen". Hat das Management ein Cybersicherheitsprogramm abgenickt, ohne es zu verstehen, ohne Ressourcen bereitzustellen oder ohne bekannte Lücken nachzuverfolgen – das ist der Haftungsauslöser.

Was „grobe Fahrlässigkeit" in der Praxis bedeutet

NIS2 definiert grobe Fahrlässigkeit nicht im Detail. Nationales Recht legt eigene Maßstäbe an. In EU-Rechtsordnungen bedeutet grobe Fahrlässigkeit im Kontext der Unternehmensführung jedoch im Allgemeinen:

  • Bekannte Risiken ignorieren – Sie wurden auf eine Schwachstelle oder Lücke hingewiesen und haben nichts unternommen
  • Keine Ressourcen bereitstellen – Das Cybersicherheitsbudget wurde trotz identifizierter Risiken auf null oder nahezu null gekürzt
  • Keine Überwachungsstruktur – Das Management hat Cybersicherheitsberichte nie geprüft, hinterfragt oder herausgefordert
  • Keine Schulung – Leitungsorgane haben keine Cybersicherheitsschulungen gemäß Artikel 20(2) absolviert
  • Delegation ohne Kontrolle – Cybersicherheit wurde an einen Untergebenen übertragen, ohne dass Ergebnisse je überprüft wurden

Der Maßstab ist nicht Perfektion. Kein Regulierer erwartet null Vorfälle. Der Maßstab lautet: Hat das Management angemessene, dem Risiko proportionale Schritte unternommen und das Ergebnis aktiv überwacht?

NIS2 vs. DSGVO: Vergleich der persönlichen Haftung

Führungskräfte, die mit der DSGVO vertraut sind, gehen häufig davon aus, dass NIS2 genauso funktioniert. Das ist nicht der Fall.

DimensionDSGVONIS2
Primäres HaftungssubjektDer Verantwortliche/Auftragsverarbeiter (die Einrichtung)Die Einrichtung UND Leitungsorgane persönlich
Persönliche Haftung für FührungskräfteIndirekt – nur über nationales GesellschaftsrechtDirekt – Artikel 20 und Artikel 32(5) benennen Leitungsorgane ausdrücklich
Vorübergehendes LeitungsverbotNicht als Durchsetzungsinstrument verfügbarFür wesentliche Einrichtungen nach Artikel 32(5) verfügbar
Höchstbußgelder (Einrichtung)Bis zu 20 Mio. EUR oder 4 % des weltweiten UmsatzesBis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes (wesentliche Einrichtungen)
Schulungspflicht für das ManagementKeine spezifische AnforderungVerpflichtend nach Artikel 20(2)
ÜberwachungspflichtImplizit durch den RechenschaftspflichtgrundsatzExplizit – Management muss Maßnahmen genehmigen und überwachen
Nationale VariationHoch (Auslegung variiert)Hoch (Umsetzung variiert, aber persönliche Haftung steht im Richtlinientext)

Der wesentliche Unterschied: DSGVO-Bußgelder belasten die Bilanz des Unternehmens. NIS2-Durchsetzung kann die Karriere der Führungskraft direkt treffen.

Was das Management tun muss, um Sorgfalt nachzuweisen

Sorgfalt im Sinne von NIS2 ist keine einmalige Pflichterfüllung. Es handelt sich um eine fortlaufende Verpflichtung. Leitungsorgane sollten:

  1. Cybersicherheitsschulungen absolvieren – Dokumentiert, wiederkehrend und branchenrelevant. Generische „Awareness"-Module reichen nicht aus.
  2. Den Risikomanagementrahmen formal genehmigen – Vorstandsprotokolle sollten die Genehmigung der Cybersicherheitsmaßnahmen, die Begründung und etwaige abweichende Meinungen festhalten.
  3. Die Cybersicherheitslage regelmäßig überprüfen – Mindestens vierteljährlich. Kein jährliches Foliendeck.
  4. Proportionale Ressourcen bereitstellen – Budgetentscheidungen müssen dokumentiert werden. Wird ein CISO-Finanzierungsantrag abgelehnt, ist diese Ablehnung auffindbar.
  5. Klare Berichtslinien etablieren – Wer berichtet dem Vorstand den Cybersicherheitsstatus? Wie oft? Was löst eine Eskalation aus?
  6. Incident Response testen – Das Management sollte mindestens einmal jährlich an Tabletop-Übungen teilnehmen oder diese beobachten.
  7. Drittanbieter- und Lieferkettenrisiken prüfen – Artikel 21 umfasst die Sicherheit der Lieferkette. Das Management muss Lieferantenrisikobewertungen überwachen.

Welche Dokumentation Führungskräfte schützt

Kommt es zu einer Durchsetzungsmaßnahme, lautet die Frage: Können Sie nachweisen, dass das Management seiner Überwachungspflicht ernsthaft nachgekommen ist? Die folgende Dokumentation schafft eine verteidigungsfähige Grundlage:

  • Vorstandsprotokolle, die belegen, dass Cybersicherheit ein wiederkehrender Tagesordnungspunkt mit substanzieller Diskussion war
  • Schulungsnachweise für alle Mitglieder des Leitungsorgans, einschließlich Datum, Themen und Anbieter
  • Risikobeurteilungsberichte, die dem Management vorgelegt und von ihm zur Kenntnis genommen wurden
  • Budgetzuweisungsunterlagen, die eine dem Risiko proportionale Cybersicherheitsinvestition belegen
  • Ergebnisse von Incident-Response-Tests, die vom Management geprüft wurden
  • Prüfungsergebnisse und Nachverfolgung der Behebung, die zeigen, dass identifizierte Lücken innerhalb eines definierten Zeitrahmens geschlossen wurden
  • Dokumentation zur Lieferantenrisikobewertung für kritische Lieferkettenpartner

Das setzt nicht voraus, dass das Management zu Sicherheitsingenieuren wird. Es setzt voraus, dass es seine Governance-Funktion wahrnimmt – Fragen stellt, Ressourcen bereitstellt und nachfasst.

Das Fazit für C-Suite und Vorstände

NIS2 behandelt Cybersicherheits-Governance so, wie Finanzvorschriften die Treuepflicht behandeln. Unwissenheit kann nicht als Entschuldigung geltend gemacht werden. Eine vollständige Delegation ohne Überwachung ist nicht möglich. Und wenn etwas schiefgeht, weil die Governance versagt hat, treffen die Konsequenzen die betreffende Person persönlich.

Geschützt sind nicht die Führungskräfte mit den größten Sicherheitsbudgets. Geschützt sind diejenigen, die – mit Dokumentation – nachweisen können, dass sie die Risiken verstanden, informierte Entscheidungen getroffen, angemessene Ressourcen bereitgestellt und eine aktive Überwachung aufrechterhalten haben. Beginnen Sie jetzt damit, diesen Nachweis aufzubauen.

Weitere NIS2-Ressourcen, Optionen für souveräne Bereitstellung und Compliance-Leitfäden finden Sie im NIS2 Compliance for On-Premise OT hub.

Other Articles

Zero TrustOT Security

Agent-Free Zero Trust: Why OT Environments Can't Use Endpoint Software

IT Zero Trust relies on endpoint agents. OT devices cannot run them. Here is why, and how network-layer enforcement provides equivalent protection without touching the device.

Zero TrustCISA

What the New CISA Zero Trust OT Guide Means for On-Premise Deployments

CISA, the Department of War, DOE, FBI, and Department of State published joint Zero Trust OT guidance on April 29, 2026. Three findings matter most for on-premise deployments: agentless network-layer enforcement is endorsed for legacy OT, microsegmentation must operate without redesign, and air-gap alone is called out as a false sense of security.

CMMCManufacturing

CMMC Level 2 for Manufacturers: Why VLANs Are Not Enough for Shop Floor OT

VLANs segment traffic at the switch level. CMMC Level 2 requires identity-based access control, audit logging, and encryption. VLANs provide none of these. Here is what assessors actually look for on the shop floor.

News & Insights

Resources & Insights.

Securing Modbus whitepaper
WhitepaperWhitepaper

Securing Modbus in Modern Industrial Environments

Zero Trust OT webinar
WebinarWebinar

Zero Trust for OT Networks

OT network architecture diagram
ArchitectureGuide

Reference Architectures for OT Security

All articles