Grafik zur NIS-2-Haftung: Silhouette eines Geschäftsführers vor einem digitalen Warnsymbol, Gesetzbuch und Gerichtssymbol. Visualisierung von Verantwortung, Governance und Cybersicherheitsrisiken.
von

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes hat sich das Spielfeld für die Leitungsebene in KRITIS-Unternehmen und wichtigen Einrichtungen drastisch verändert. War IT-Sicherheit früher oft eine „Delegationsaufgabe“ an den CISO oder die IT-Leitung, wird sie 2026 zur unumgänglichen Chef-Sache mit persönlichem Risiko.

1. Die neue Qualität der Verantwortung

Die NIS-2-Richtlinie macht Schluss mit der Ausrede „Davon habe ich nichts gewusst“. Die Geschäftsführung ist nun gesetzlich verpflichtet, die Risikomanagementmaßnahmen im Bereich Cybersicherheit nicht nur zu billigen, sondern deren Umsetzung persönlich zu überwachen.

  • Fortbildungspflicht: Führungskräfte müssen regelmäßig an Schulungen teilnehmen, um die Risiken der Cybersicherheit beurteilen zu können.
  • Direkte Haftung: Bei schuldhaften Verstößen gegen die Sorgfaltspflichten können Geschäftsführer persönlich zur Kasse gebeten werden – und das in einer Höhe, die über herkömmliche D&O-Versicherungen (Directors and Officers) hinausgehen kann.

2. Die größten Haftungsfallen im Alltag

In meiner Praxis als Coach und Berater sehe ich drei kritische Bereiche, die oft unterschätzt werden:

  1. Mangelnde Ressourcenbereitstellung: Wenn die IT-Abteilung nachweislich Budget für kritische Sicherheitsupdates gefordert hat und die Geschäftsführung dies ohne triftigen Grund ablehnte, wird es im Schadensfall eng.
  2. Unzureichendes Reporting: Ein CISO-Bericht, der nur einmal im Jahr ungelesen abgeheftet wird, reicht nicht aus. Es muss ein aktiver Informationsfluss etabliert sein.
  3. Fehlendes Lieferketten-Management: NIS-2 fordert die Absicherung der gesamten Lieferkette. Wer seine Dienstleister nicht auditiert, haftet für deren Schwachstellen mit.

3. Strategien zur Absicherung der Management-Ebene

Um die Haftungsrisiken zu minimieren, empfehle ich ein dreistufiges Vorgehen:

  • Dokumentierte Governance: Führen Sie ein klares System von Verantwortlichkeiten ein. Dokumentieren Sie jede Entscheidung, die IT-Sicherheit betrifft.
  • Regelmäßige Audits: Verlassen Sie sich nicht auf interne Aussagen. Externe Audits (z. B. nach ISO 27001) bieten eine objektive Grundlage und dienen im Ernstfall als Entlastungsbeweis.
  • Krisenmanagement-Training: Die Geschäftsführung muss wissen, wie sie im Falle eines Vorfalls kommuniziert und entscheidet. Ein trainierter Krisenstab ist die beste Versicherung.

Fazit

Governance ist 2026 kein „Papiertiger“ mehr. Es ist das Schutzschild für das Unternehmen und dessen Führungspersönlichkeiten. Wer NIS-2 als strategische Chance begreift, verbessert nicht nur seine Sicherheit, sondern schützt auch sein Privatvermögen und seinen Ruf.