Auf den Punkt: NIS2 macht Geschäftsführer persönlich haftbar für unzureichende Cybersicherheit ihrer Organisation.
Die NIS2-Richtlinie der EU begründet erstmals eine direkte persönliche Haftung von Geschäftsführern für Cybersicherheitsverstöße ihrer Unternehmen. Dies schafft erhebliche rechtliche Risiken für die Geschäftsleitung und erfordert eine Anpassung von Governance-Strukturen.
Die Netzwerk- und Informationssicherheitsrichtlinie NIS2 der Europäischen Union etabliert eine direkte persönliche Verantwortung von Geschäftsführern und Vorständen für die Cybersicherheitsvorkehrungen ihrer Unternehmen. Anders als frühere Regulierungen, die primär organisatorische Pflichten definierten, richtet sich die persönliche Haftung nun unmittelbar gegen Entscheidungsträger der Geschäftsleitung.
Für CEOs und Geschäftsführer bedeutet dies ein materielles Haftungsrisiko, das über reine Compliance-Anforderungen hinausgeht. Verstöße gegen NIS2-Verpflichtungen oder Fahrlässigkeit bei der Umsetzung von Sicherheitsmaßnahmen können zu persönlichen Schadensersatzansprüchen, administrativen Geldstrafen oder in schweren Fällen zu strafrechtlichen Konsequenzen führen. Die Verantwortung lässt sich nicht vollständig auf technische Teams oder externe Dienstleister delegieren.
In der Praxis erfordert dies eine deutliche Neuausrichtung der IT-Governance: Geschäftsführer müssen nachweisbare Entscheidungsprozesse zu Cybersicherheit etablieren, regelmäßig in entsprechende Ressourcen investieren, den Aufsichtsrat oder Beirat informieren und dokumentieren, dass angemessene Sicherheitsstandards implementiert sind. Die persönliche Haftung schafft einen Anreiz, Cybersicherheit von einer technischen zur strategischen Geschäftsleitung-Frage zu erheben.
Quelle: news.google.com · Erschienen 4. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.4.