Auf den Punkt: Vorstände werden unter NIS-2 persönlich haftbar für Cybersecurity-Governance und müssen nachweislich Kontrollmechanismen etablieren.
Die NIS-2-Richtlinie der EU verpflichtet Vorstandsmitglieder künftig zu persönlicher Verantwortung für die Cybersecurity-Strategie ihrer Unternehmen. Diese Haftungsregel gilt für kritische Infrastrukturen und große Unternehmen und verändert die Governance-Anforderungen erheblich.
Die Neufassung der Netzwerk- und Informationssicherheitsrichtlinie (NIS-2) der Europäischen Union bringt eine grundlegende Verschiebung der Verantwortlichkeiten mit sich. Vorstandsmitglieder und Geschäftsführer werden künftig persönlich haftbar gemacht für die Cybersecurity-Governance ihrer Organisationen – nicht mehr nur die Unternehmen selbst.
Diese Regelung betrifft unmittelbar Betreiber kritischer Infrastrukturen sowie große Unternehmen mit mehr als 250 Mitarbeitern oder einem Jahresumsatz über 50 Millionen Euro. Die persönliche Vorstandshaftung schafft einen direkten Anreiz, Cybersecurity nicht länger als IT-Nebenthema zu behandeln, sondern als strategische Leitungsaufgabe zu verankern. Vorstände müssen dokumentieren, dass sie Risikobewertungen durchführt, Sicherheitsmaßnahmen kontrolliert und Notfallpläne überwacht haben.
Für CEOs bedeutet dies konkret: Cybersecurity-Maßnahmen werden zum Bestandteil der Geschäftsführungsvergütung, versicherungsrechtliche und Haftungsaspekte gewinnen an Gewicht, und die Kommunikation mit Aufsichtsräten oder Vorständen muss nachweislich dokumentiert werden. Unternehmen sollten ihre Governance-Strukturen überprüfen und sicherstellen, dass Cybersecurity-Entscheidungen auf Board-Ebene fallen und protokolliert sind.
Quelle: news.google.com · Erschienen 4. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.2.