Auf den Punkt: Unter NIS 2 haften Vorstandsmitglieder persönlich für unzureichende Cybersecurity-Maßnahmen und deren Überwachung.
Die EU-Richtlinie NIS 2 macht Vorstandsmitglieder persönlich verantwortlich für die Cybersecurity-Governance ihrer Unternehmen. Dies markiert einen grundlegenden Wandel in der Haftungslandschaft für Führungskräfte kritischer Infrastrukturen und großer Unternehmen.
Die Nationale Implementierungsschutzrichtlinie (NIS 2) der EU schafft eine neue Verantwortungsebene für Vorstände und Geschäftsführer. Künftig können Vorstandsmitglieder nicht länger Cybersecurity-Fragen an nachgelagerte Ebenen delegieren, ohne selbst für die Einhaltung von Sicherheitsstandards zu haften.
Konkret verlangt NIS 2, dass Vorstände die Implementierung und Überwachung angemessener Cybersecurity-Maßnahmen aktiv beaufsichtigen. Versäumnisse in dieser Aufsichtspflicht können zu persönlichen Haftungsansprüchen, Geldbußgeldern oder strafrechtlichen Konsequenzen führen. Die Richtlinie gilt für Betreiber kritischer Infrastrukturen (etwa Energie, Wasser, Verkehr) sowie für große Unternehmen mit mehr als 250 Mitarbeitern oder Jahresumsatz über 50 Millionen Euro.
Für CEOs bedeutet dies, dass Cybersecurity nicht länger ein reines IT-Thema ist, sondern ein integraler Bestandteil der Unternehmensgovernance. Vorstände müssen regelmäßig über Cybersecurity-Risiken berichtet werden, die Angemessenheit der Maßnahmen prüfen und dokumentieren, dass diese überwacht werden. Dies erfordert eine enge Zusammenarbeit zwischen Vorstand, CISOs und Risikomanagement-Funktionen sowie eine entsprechende Ressourcenausstattung der Cybersecurity-Bereiche.
Quelle: news.google.com · Erschienen 4. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.2.