Seite wählen

NIS-2 in Sachsen: Geschäftsführerhaftung im Fokus

von | März 5, 2026 | Allgemein | 0 Kommentare

Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) im Dezember 2025 hat sich die Landschaft der Cybersicherheit in Deutschland fundamental gewandelt. Besonders in Sachsen, einem Land mit einer starken industriellen Basis und einer tiefen Verzahnung von Forschung und Verwaltung, sind die Auswirkungen massiv. Cybersicherheit ist keine Aufgabe mehr, die man „mal eben“ an den IT-Dienstleister delegiert – sie ist nun eine gesetzlich verankerte Managementaufgabe mit weitreichenden persönlichen Konsequenzen für Geschäftsführer und Vorstände.

Was bedeutet persönliche Haftung nach NIS-2?

Das NIS-2-Umsetzungsgesetz führt erstmals eine explizite persönliche Haftung der Geschäftsführung für Cybersicherheit ein. Das bedeutet: Geschäftsführer, Vorstände und vergleichbare Leitungsorgane haften nicht nur mit dem Unternehmensvermögen, sondern potenziell auch mit ihrem Privatvermögen, wenn sie ihre Pflichten zur Cybersicherheit verletzen.

Die persönliche Haftung greift insbesondere dann, wenn die Geschäftsführung nachweislich ihre Aufsichts- und Überwachungspflichten vernachlässigt hat. Es reicht also nicht mehr aus, ein IT-Security-Budget freizugeben und sich nicht weiter zu kümmern. Die Geschäftsleitung muss aktiv sicherstellen, dass angemessene Maßnahmen zur Cybersicherheit implementiert, regelmäßig überprüft und kontinuierlich verbessert werden.

Besonders brisant: Das NIS-2-Gesetz schließt eine Übertragung der Haftung auf Dritte — etwa auf den IT-Dienstleister oder den Informationssicherheitsbeauftragten — ausdrücklich aus. Die Letztverantwortung verbleibt immer bei der Geschäftsführung. Diese Regelung unterscheidet sich grundlegend von der bisherigen Praxis, in der Unternehmen die Verantwortung häufig an externe Dienstleister delegiert haben.

Welche Pflichten haben Geschäftsführer nach NIS-2?

Das NIS-2-Umsetzungsgesetz definiert konkrete Pflichten für die Geschäftsführung betroffener Unternehmen. Diese lassen sich in vier Kernbereiche gliedern:

1. Billigung und Überwachung von Risikomanagementmaßnahmen

Die Geschäftsführung muss die Risikomanagementmaßnahmen im Bereich der Cybersicherheit nicht nur genehmigen, sondern deren Umsetzung aktiv überwachen. Dazu gehört die regelmäßige Prüfung, ob die implementierten Maßnahmen dem aktuellen Stand der Technik entsprechen und ob identifizierte Risiken angemessen behandelt werden. Konkret bedeutet das: Regelmäßige Management-Reviews, Freigabe von Risikoanalysen und Kenntnisnahme von Audit-Ergebnissen.

2. Teilnahme an Cybersecurity-Schulungen

Das NIS-2-Gesetz verpflichtet Geschäftsführer zur regelmäßigen Teilnahme an Schulungen im Bereich der Cybersicherheit. Es reicht nicht mehr, ein Budget freizugeben. Die Leitung muss die Risiken verstehen, um fundierte Entscheidungen treffen zu können. Dies gilt für den Mittelständler in Bautzen genauso wie für den Konzern in Leipzig. Die Schulungspflicht umfasst mindestens die Grundlagen der Cybersicherheit, aktuelle Bedrohungslagen, branchenspezifische Risiken und die rechtlichen Rahmenbedingungen. Empfohlen werden mindestens zwei Schulungstage pro Jahr.

3. Meldepflichten bei Sicherheitsvorfällen

Erhebliche Sicherheitsvorfälle müssen innerhalb strenger Fristen an das BSI gemeldet werden:

  • 24 Stunden: Erstmeldung mit den wichtigsten Fakten (Was ist passiert? Welche Systeme sind betroffen?)
  • 72 Stunden: Detaillierte Folgemeldung mit Einschätzung der Auswirkungen und ergriffenen Gegenmaßnahmen
  • 1 Monat: Abschlussbericht mit vollständiger Analyse, Ursachenermittlung und Maßnahmen zur Vermeidung künftiger Vorfälle

Die Geschäftsführung ist dafür verantwortlich, dass diese Meldeprozesse etabliert sind und im Ernstfall funktionieren. Ein fehlender oder verspäteter Meldeprozess ist ein häufiger Grund für Bußgelder.

4. Sicherstellung der Lieferkettensicherheit

Die Geschäftsführung muss sicherstellen, dass auch Zulieferer und Dienstleister angemessene Sicherheitsstandards einhalten. In der sächsischen Automobilindustrie — mit Zuliefererketten, die hunderte von Unternehmen umfassen — ist dies eine besonders anspruchsvolle Aufgabe. Dazu gehört die vertragliche Verankerung von Sicherheitsanforderungen, regelmäßige Überprüfungen und ein Prozess zur Bewertung der Sicherheitsreife kritischer Lieferanten.

Bußgelder und Sanktionen bei NIS-2-Verstößen

Die Sanktionen bei Verstößen gegen das NIS-2-Umsetzungsgesetz sind drastisch und sollen eine abschreckende Wirkung entfalten. Das Gesetz unterscheidet zwischen „wesentlichen“ und „wichtigen“ Einrichtungen:

Bußgelder für wesentliche Einrichtungen

  • Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist
  • Bei einem sächsischen Unternehmen mit 500 Millionen Euro Umsatz wären das bis zu 10 Millionen Euro
  • Wiederholte Verstöße können zu einer Verdopplung der Bußgelder führen

Bußgelder für wichtige Einrichtungen

  • Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes
  • Auch für mittelständische Unternehmen in Sachsen können diese Summen existenzbedrohend sein

Weitere Sanktionsmöglichkeiten

  • Persönliche Bußgelder gegen Geschäftsführer bei nachgewiesenen Pflichtverletzungen
  • Vorübergehendes Verbot der Wahrnehmung von Leitungsfunktionen für bis zu zwei Jahre
  • Öffentliche Bekanntmachung von Verstößen (Naming and Shaming) — mit erheblichem Reputationsschaden
  • Zivilrechtliche Schadensersatzansprüche von betroffenen Kunden, Partnern und Aktionären
  • Aufsichtliche Anordnungen bis hin zur Untersagung des Geschäftsbetriebs in besonders schweren Fällen

Haftungsrisiken minimieren: 5 Maßnahmen für Geschäftsführer

Die gute Nachricht: Geschäftsführer können ihre persönlichen Haftungsrisiken durch proaktives Handeln erheblich reduzieren. Die folgenden fünf Maßnahmen bilden das Fundament einer haftungssicheren Cybersecurity-Strategie:

1. ISMS nach ISO 27001 einführen

Die Einführung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 ist der effektivste Weg, um NIS-2-Compliance nachzuweisen. Ein zertifiziertes ISMS dokumentiert systematisch, dass die Geschäftsführung ihre Sorgfaltspflichten erfüllt hat. Es umfasst Risikoanalysen, Maßnahmenplanung, regelmäßige Audits und kontinuierliche Verbesserung — alles Elemente, die im Haftungsfall als Entlastungsbeweis dienen.

2. Externen ISB bestellen

Die Bestellung eines qualifizierten Informationssicherheitsbeauftragten entlastet die Geschäftsführung operativ und stellt sicher, dass ein Experte die Umsetzung der Sicherheitsmaßnahmen koordiniert. Ein externer ISB bringt zudem Unabhängigkeit und branchenübergreifende Erfahrung mit. Bei der DATUREX GmbH erhalten Sie einen TÜV-zertifizierten ISB, der sowohl die NIS-2-Anforderungen als auch die ISMS-Beratung aus einer Hand abdeckt.

3. Regelmäßige Risikoanalysen durchführen

Mindestens einmal jährlich sollte eine umfassende Risikoanalyse durchgeführt werden, die alle relevanten Bedrohungen, Schwachstellen und Schutzmaßnahmen erfasst. Die Ergebnisse müssen dokumentiert und der Geschäftsführung vorgelegt werden. Zusätzlich empfehlen sich anlassbezogene Risikoanalysen nach wesentlichen Änderungen der IT-Infrastruktur oder nach Sicherheitsvorfällen.

4. Incident-Response-Plan erstellen und testen

Ein dokumentierter und regelmäßig getesteter Notfallplan ist nicht nur gesetzlich gefordert, sondern schützt im Ernstfall auch vor persönlicher Haftung. Der Plan sollte klare Verantwortlichkeiten, Eskalationswege, Kommunikationsabläufe und Wiederherstellungsprozeduren definieren. Mindestens einmal jährlich sollte eine Notfallübung durchgeführt werden, idealerweise als Tabletop-Übung unter Beteiligung der Geschäftsführung.

5. Nachweise und Dokumentation sichern

Dokumentieren Sie alle Maßnahmen, Entscheidungen und Investitionen in die Cybersicherheit lückenlos. Im Haftungsfall ist die Beweislast entscheidend: Wer nachweisen kann, dass er seinen Pflichten nachgekommen ist, reduziert sein persönliches Risiko erheblich. Bewahren Sie Protokolle von Management-Reviews, Schulungsnachweise, Audit-Berichte und Risikoanalysen mindestens fünf Jahre lang auf.

D&O-Versicherung und NIS-2

Eine Directors-and-Officers-Versicherung (D&O-Versicherung) schützt Geschäftsführer grundsätzlich vor den finanziellen Folgen von Pflichtverletzungen. Allerdings haben viele Versicherer ihre Bedingungen im Zuge von NIS-2 verschärft:

  • Erhöhte Prämien: Unternehmen ohne nachweisbare Cybersecurity-Maßnahmen zahlen deutlich höhere D&O-Prämien — teilweise 30-50 % Aufschlag
  • Ausschlussklauseln: Manche Policen schließen Schäden durch vorsätzliche oder grob fahrlässige Vernachlässigung der Cybersicherheit aus
  • Compliance-Nachweise: Versicherer verlangen zunehmend den Nachweis eines ISMS, regelmäßiger Penetrationstests oder einer ISB-Bestellung
  • Sublimits: Für Cyber-bezogene Haftungsfälle gelten häufig gesonderte, niedrigere Deckungsgrenzen

Unser Rat: Prüfen Sie Ihre D&O-Police gemeinsam mit Ihrem Versicherungsmakler und stellen Sie sicher, dass NIS-2-bezogene Haftungsrisiken abgedeckt sind. Ein nachweisbares ISMS und die Bestellung eines ISB verbessern Ihre Verhandlungsposition gegenüber dem Versicherer erheblich und können zu spürbaren Prämienreduzierungen führen.

Praxisbeispiele: NIS-2-Haftung in Sachsen

Beispiel 1: Maschinenbauunternehmen in Chemnitz

Ein mittelständischer Maschinenbauer mit 300 Mitarbeitern wird Opfer eines Ransomware-Angriffs. Die Produktion steht drei Wochen still, der Schaden beläuft sich auf 2,5 Millionen Euro. Die Untersuchung ergibt, dass seit zwei Jahren kein Backup-Test durchgeführt wurde und die Geschäftsführung trotz Empfehlung des IT-Leiters kein Budget für eine EDR-Lösung freigegeben hatte. Ergebnis: Die Geschäftsführung haftet persönlich für den Schaden, da sie nachweislich ihre Überwachungspflichten vernachlässigt hat.

Beispiel 2: Energieversorger in Leipzig

Ein regionaler Energieversorger (KRITIS-Betreiber) meldet einen Sicherheitsvorfall 48 Stunden zu spät an das BSI. Grund: Es gab keinen dokumentierten Meldeprozess. Das BSI verhängt ein Bußgeld von 500.000 Euro. Die Geschäftsführung muss sich zudem gegenüber dem Aufsichtsrat verantworten, da die Einhaltung der Meldepflicht in der Geschäftsordnung verankert war.

Beispiel 3: IT-Dienstleister in Dresden

Ein IT-Dienstleister mit 80 Mitarbeitern hat ein ISMS nach ISO 27001 implementiert und einen externen ISB bestellt. Bei einem Phishing-Angriff werden Kundendaten kompromittiert. Da das Unternehmen nachweislich alle zumutbaren Maßnahmen ergriffen hatte — dokumentierte Risikoanalyse, regelmäßige Schulungen, getesteter Incident-Response-Plan — bleibt die Geschäftsführung von persönlicher Haftung verschont. Die D&O-Versicherung übernimmt die Regulierung.

Was sächsische Unternehmen jetzt priorisieren müssen

Die Umsetzung von NIS-2 folgt dem „Stand der Technik“. Das bedeutet in der Praxis oft die Einführung eines ISMS nach ISO 27001 oder BSI IT-Grundschutz. Wichtige Fokusbereiche sind:

  • Lieferkettensicherheit: Sie müssen sicherstellen, dass auch Ihre Zulieferer angemessene Sicherheitsstandards einhalten
  • Meldewesen: Erhebliche Vorfälle müssen innerhalb von 24 Stunden gemeldet werden — haben Sie einen funktionierenden Prozess dafür?
  • Business Continuity: Wie schnell können Sie nach einem Totalausfall wieder operativ sein?
  • Schulungsprogramme: Regelmäßige Awareness-Schulungen für alle Mitarbeiter und die Geschäftsführung
  • Dokumentation: Lückenlose Nachweisführung aller Sicherheitsmaßnahmen und Managemententscheidungen

Wir von DATUREX stehen Ihnen als externer Informationssicherheitsbeauftragter (ISB) zur Seite. Wir nehmen der Geschäftsführung die operative Last ab, stellen aber gleichzeitig sicher, dass alle gesetzlichen Kontrollpflichten erfüllt werden. Durch unsere Kombination aus Datenschutz- und Sicherheitsexpertise in Dresden bieten wir Ihnen eine rechtssichere Rundum-Betreuung.

Häufig gestellte Fragen (FAQ)

Ab wann gilt die NIS-2-Geschäftsführerhaftung?

Die NIS-2-Geschäftsführerhaftung gilt seit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes im Dezember 2025. Betroffene Unternehmen müssen die Anforderungen bereits jetzt vollständig umsetzen. Wer noch nicht begonnen hat, sollte umgehend handeln — die Aufsichtsbehörden haben bereits mit Prüfungen begonnen und verhängen bei Verstößen Bußgelder.

Können Geschäftsführer die NIS-2-Haftung delegieren?

Nein, die persönliche Haftung der Geschäftsführung nach NIS-2 ist nicht delegierbar. Die Geschäftsleitung kann zwar operative Aufgaben an einen ISB oder IT-Sicherheitsbeauftragten übertragen, die Letztverantwortung und Überwachungspflicht verbleibt jedoch immer bei der Geschäftsführung. Genau deshalb ist die Bestellung eines qualifizierten ISB so wichtig: Er entlastet die Geschäftsführung operativ und sorgt dafür, dass die gesetzlichen Anforderungen fachgerecht umgesetzt werden.

Wie kann ich prüfen, ob mein Unternehmen von NIS-2 betroffen ist?

Ob Ihr Unternehmen unter die NIS-2-Anforderungen fällt, hängt von Ihrer Branche und Unternehmensgröße ab. Grundsätzlich sind Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in 18 definierten Sektoren betroffen. Nutzen Sie unseren kostenlosen NIS-2 Betroffenheits-Check, um in weniger als 5 Minuten Klarheit zu erhalten.

Sind Sie betroffen? Finden Sie es in weniger als 5 Minuten heraus mit unserem NIS-2 Betroffenheits-Check für Sachsen.

Informationssicherheit professionell umsetzen

Unterstützung für Ihr Unternehmen:

Jetzt Erstberatung anfragen

Neu: IT-Sicherheitskonzept | KRITIS-Beratung | Schwachstellenanalyse | IT-Notfallmanagement | IT-Sicherheitsaudit

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert