Auf den Punkt: NIS2 verpflichtet Geschäftsführer zu direkter Verantwortung für Cybersecurity-Governance und Incident-Reporting, wobei Pflichtverletzungen zu persönlicher Haftung führen können.
Die NIS2-Richtlinie schafft neue Compliance-Anforderungen für kritische Infrastrukturen und wichtige Sektoren – mit erheblichen persönlichen Haftungsfolgen für Geschäftsführer, wenn Anforderungen nicht erfüllt werden.
Die NIS2-Richtlinie (Netz- und Informationssicherheits-Richtlinie 2) der EU verpflichtet Betreiber kritischer Infrastrukturen und Unternehmen in wichtigen Sektoren zu verbesserten Cybersecurity-Standards. Im Gegensatz zu früheren Regelwerken richtet NIS2 das Augenmerk explizit auf die Geschäftsleitung und schreibt vor, dass Vorstands- und Geschäftsführungsmitglieder persönlich für die Implementierung von Sicherheitsmaßnahmen und das Management von IT-Risiken verantwortlich sind.
Die direkten Haftungsrisiken entstehen durch mehrere Anforderungen: Geschäftsführer müssen aktiv an der Sicherheitsstrategie des Unternehmens beteiligt sein, Cybersecurity-Governance aufbauen und die Einhaltung durch regelmäßige Überprüfungen nachweisen. Parallel dazu verlangt NIS2 ein strukturiertes Incident-Reporting an nationale Behörden innerhalb definierter Fristen – bei Verzögerungen oder unvollständigen Meldungen drohen nicht nur Bußgelder für das Unternehmen, sondern auch persönliche Strafen für Geschäftsführer.
Besonders kritisch ist die Unterschätung dieser Verpflichtungen in der Praxis: Viele Geschäftsführer delegieren Cybersecurity vollständig an die IT-Abteilung oder externe Dienstleister, was die persönliche Sorgfaltspflicht nicht erfüllt. NIS2 erfordert hingegen, dass die Geschäftsleitung Cybersecurity-Risiken regelmäßig und aktiv überwacht, dokumentiert und auf Vorstandsebene debattiert. Fehlende oder unzureichende Dokumentation dieser Governance-Prozesse kann im Schadensfall als Beweis mangelnder Sorgfalt herangezogen werden.
Für Geschäftsführer in betroffenen Sektoren (Energie, Transport, Wasser, Gesundheit, digitale Infrastruktur und andere) ist es daher notwendig, die persönlichen Compliance-Anforderungen zu verstehen und aktiv in unternehmensweite Cybersecurity-Governance zu investieren – nicht nur zur Risikominderung, sondern auch zur persönlichen Schadensersatzhaftung-Prävention.
Quelle: news.google.com · Erschienen 12. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.