Auf den Punkt: Ab Dezember 2026 tragen Geschäftsführer persönliche Verantwortung für die Einhaltung der NIS2-Compliance-Anforderungen ihrer Unternehmen.
Mit der Umsetzung der NIS2-Richtlinie in deutsches Recht wird ab Dezember 2026 die persönliche Haftung von Geschäftsführern für Cybersecurity-Versäumnisse Realität. Dies hat erhebliche Konsequenzen für die Governance kritischer und wichtiger Infrastrukturen.
Die Europäische Richtlinie NIS2 zur Netzwerk- und Informationssicherheit verpflichtet Betreiber kritischer und wichtiger Infrastrukturen zu erweiterten Cybersecurity-Standards. Mit der Umsetzung ins deutsche Recht wird diese Verantwortung ab Dezember 2026 auch auf der Geschäftsführungsebene konkretisiert: Geschäftsleiter werden persönlich haftbar für die Erfüllung dieser Anforderungen.
Das bedeutet für Vorständinnen und Geschäftsführer, dass fehlende oder unzureichende Cybersecurity-Maßnahmen nicht mehr nur das Unternehmen betreffen, sondern auch zu persönlichen strafrechtlichen oder zivilrechtlichen Konsequenzen führen können. Die Haftung erstreckt sich auf Bereiche wie Incident Response, Risikomanagement, Mitarbeiterschulung und die Dokumentation von Sicherheitsmaßnahmen.
Für CEOs und Geschäftsführer ist damit eine grundsätzliche Neuausrichtung der Cybersecurity-Governance erforderlich: Die Implementierung von NIS2-Anforderungen muss aus dem IT-Bereich in die Geschäftsführung und den Aufsichtsrat wandern. Das umfasst nicht nur technische Implementierung, sondern auch regelmäßige Compliance-Audits, die Etablierung von Sicherheitskultur und eine nachweisbare Kontrolle über Sicherheitsprozesse.
Quelle: news.google.com · Erschienen 1. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.2.