Stille Deindustrialisierung: das fehlende Nachfolge-Ökosystem
Bernhard Liebl
7 Min. Lesezeit Deutschland verliert jedes Jahr wirtschaftliche Substanz, ohne dass es jemand bilanziert. ...
Zum Beitrag
4 Min. Lesezeit
NIS2 und DORA machen Geschäftsleiter und Vorstände persönlich haftbar, wenn die Cybersecurity im Unternehmen grob fahrlässig vernachlässigt wird. Für CIOs und CISOs verändert das die Spielregeln grundlegend: Es reicht nicht mehr, technische Maßnahmen umzusetzen. Die Dokumentation der eigenen Sorgfaltspflicht wird zum persönlichen Schutzschild.
Das Wichtigste in Kürze
- ⚖️ Persönliche Haftung verankert: NIS2 Paragraf 38 und DORA Artikel 5 verpflichten die Geschäftsleitung zur Überwachung der Cybersecurity. Grobe Fahrlässigkeit kann persönliche Haftung auslösen.
- 💰 Bußgelder bis 10 Millionen Euro: NIS2 sieht Strafen bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Der EU AI Act geht bis 35 Millionen Euro.
- 📋 Dokumentation ist Pflicht: Nur nachweisbare Compliance-Maßnahmen schützen vor persönlicher Haftung. Board-Beschlüsse, Audit-Protokolle und Risikoassessments sind die rechtliche Absicherung.
- 🎓 Schulungspflicht für Vorstände: NIS2 fordert explizit, dass die Geschäftsleitung an Cybersecurity-Schulungen teilnimmt und ausreichende Kenntnis nachweisen kann.
- 🛡️ Fünf Schutzmaßnahmen: Governance-Framework, regelmäßige Board-Schulungen, dokumentierte Risikoentscheidungen, D&O-Versicherungsprüfung und externes Audit.
Das Ende der delegierten Verantwortung
Jahrzehntelang konnten Vorstände und Geschäftsführer Cybersecurity-Verantwortung an den CISO oder die IT-Abteilung delegieren. Solange keine größeren Vorfälle passierten, blieb das Thema auf der operativen Ebene. NIS2 beendet dieses Modell. Paragraf 38 des neuen BSI-Gesetzes stellt unmissverständlich klar: Die Geschäftsleitung muss die Umsetzung der Risikomanagementmaßnahmen überwachen und haftet für Verstöße.
Das bedeutet konkret: Wenn ein Unternehmen unter NIS2 fällt und die Geschäftsleitung nachweislich unzureichende Maßnahmen verantwortet hat, können die handelnden Personen persönlich in die Haftung genommen werden. Das gilt unabhängig davon, ob ein tatsächlicher Schaden eingetreten ist. Die Pflicht besteht bereits in der Prävention, nicht erst nach dem Vorfall.
DORA verschärft diesen Ansatz für den Finanzsektor. Artikel 5 fordert, dass das Leitungsorgan des Finanzunternehmens die endgültige Verantwortung für das Management von IKT-Risiken trägt. Die Delegation an operative Einheiten ist zwar möglich, entbindet das Leitungsorgan aber nicht von der Gesamtverantwortung. Die BaFin hat signalisiert, dass sie diese Pflicht ernst nimmt.
„Wir müssen die Cybernation Deutschland weiterbauen. Die Bedrohungslage ist so hoch wie nie, und Cybersicherheit muss Chefsache sein.“
BSI-Präsidentin Claudia Plattner, Lagebericht zur IT-Sicherheit 2025
Was die Gesetze konkret fordern
NIS2 (Paragraf 38 BSI-Gesetz): Die Geschäftsleitung muss die Umsetzung der Risikomanagementmaßnahmen nach Paragraf 30 überwachen. Sie muss an Cybersecurity-Schulungen teilnehmen und ausreichende Kenntnisse nachweisen können. Bei grober Fahrlässigkeit haftet sie persönlich. Die Haftung kann nicht durch Satzung oder Gesellschaftsvertrag ausgeschlossen werden.
DORA (Artikel 5): Das Leitungsorgan trägt die endgültige Verantwortung für das IKT-Risikomanagement. Es muss den IKT-Risikorahmen genehmigen, die Cyber-Resilienz-Strategie festlegen und die Umsetzung überwachen. Mindestens einmal jährlich muss das Leitungsorgan die Angemessenheit der Maßnahmen bewerten. Bei Verstößen drohen Sanktionen, die von der nationalen Finanzaufsicht festgelegt werden.
EU AI Act: Für Hochrisiko-KI-Systeme trägt der Anbieter oder Betreiber die Verantwortung für Konformität. Bei Verstößen gegen die Hochrisiko-Pflichten drohen Bußgelder bis 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Obwohl der AI Act keine explizite persönliche Haftung der Geschäftsleitung vorsieht, kann die allgemeine gesellschaftsrechtliche Organhaftung greifen, wenn die Geschäftsleitung die Compliance-Pflichten nicht überwacht hat.
10 Mio. €
NIS2-Bußgeld (max.)
35 Mio. €
EU AI Act (max.)
§ 38
BSI-Gesetz: Haftung GL
Quellen: NIS2UmsuCG, EU AI Act (2024/1689), DORA (2022/2554)
D&O-Versicherung: Kein automatischer Schutz
Viele Geschäftsführer verlassen sich auf ihre Directors-and-Officers-Versicherung (D&O). Doch der Schutz hat Grenzen. D&O-Policen decken typischerweise keine vorsätzlichen Pflichtverletzungen ab. Bei grober Fahrlässigkeit ist die Deckung abhängig von den konkreten Versicherungsbedingungen. Es ist davon auszugehen, dass Versicherer nach Inkrafttreten der NIS2-Pflichten die Anforderungen an den Nachweis der Sorgfaltspflicht verschärfen werden.
CIOs und CISOs sollten gemeinsam mit der Rechtsabteilung prüfen: Deckt die bestehende D&O-Versicherung Cybersecurity-Haftungsrisiken unter NIS2 und DORA ab? Gibt es Ausschlussklauseln für regulatorische Verstöße? Ist die Deckungssumme angesichts der neuen Bußgeldrahmen ausreichend? Diese Prüfung sollte umgehend abgeschlossen werden.
Fünf Schutzmaßnahmen für CIOs und Vorstände
1. Governance-Framework dokumentieren. Ein schriftlich fixiertes Cybersecurity-Governance-Framework, das Verantwortlichkeiten, Prozesse und Eskalationswege klar definiert. Das Framework muss vom Vorstand beschlossen und regelmäßig aktualisiert werden. Es ist der zentrale Nachweis, dass die Geschäftsleitung ihrer Überwachungspflicht nachkommt.
2. Regelmäßige Board-Schulungen. NIS2 fordert explizit, dass die Geschäftsleitung an Cybersecurity-Schulungen teilnimmt. Dokumentierte Teilnahme an mindestens zwei Schulungen pro Jahr ist der Mindeststandard. Die Schulungen sollten aktuelle Bedrohungslagen, regulatorische Änderungen und branchenspezifische Risiken abdecken.
3. Dokumentierte Risikoentscheidungen. Jede Entscheidung des Vorstands zu Cybersecurity-Maßnahmen muss protokolliert werden. Auch die bewusste Akzeptanz von Restrisiken muss dokumentiert und begründet sein. Im Haftungsfall ist die Dokumentation der Entscheidungsprozesse der stärkste Schutz gegen den Vorwurf der groben Fahrlässigkeit.
4. D&O-Versicherung prüfen und anpassen. Bestehende Policen auf Cybersecurity-Haftungsrisiken und regulatorische Verstöße prüfen. Bei Bedarf Deckung erweitern oder separate Cyber-D&O-Policen abschließen. Die Versicherungsprüfung sollte umgehend abgeschlossen werden.
5. Externes Audit als Nachweis. Ein unabhängiges Audit durch einen qualifizierten Prüfer dokumentiert den Stand der Cybersecurity-Maßnahmen objektiv. ISO-27001-Zertifizierung oder vergleichbare Nachweise stärken die Position der Geschäftsleitung im Haftungsfall erheblich. Das Audit sollte mindestens jährlich wiederholt werden.
Was CIOs dem Vorstand jetzt sagen müssen
Die Botschaft an den Vorstand ist unbequem, aber notwendig: Cybersecurity ist seit Inkrafttreten des NIS2-Gesetzes eine persönliche Haftungsfrage für jedes einzelne Vorstandsmitglied. Die Delegation an den CISO oder die IT-Abteilung schützt nicht mehr vor persönlicher Verantwortung. Der Vorstand muss aktiv überwachen, regelmäßig geschult werden und seine Entscheidungen dokumentieren.
CIOs, die diese Botschaft frühzeitig platzieren und gleichzeitig die nötigen Governance-Strukturen aufbauen, schaffen die Grundlage für eine rechtlich abgesicherte IT-Führung. Wer das Thema ignoriert, riskiert nicht nur Bußgelder für das Unternehmen, sondern die eigene Karriere und das Privatvermögen. Die Zeit zum Handeln ist jetzt.
Häufige Fragen
Haftet der CIO persönlich unter NIS2?
Wenn der CIO Teil der Geschäftsleitung ist oder die Cybersecurity-Verantwortung formal übertragen bekommen hat, kann er bei grober Fahrlässigkeit persönlich haften. Paragraf 38 des BSI-Gesetzes legt die Überwachungspflicht bei der Geschäftsleitung fest und schließt eine Haftungsfreistellung durch Satzung aus.
Was bedeutet grobe Fahrlässigkeit im Kontext von NIS2?
Grobe Fahrlässigkeit liegt vor, wenn die Geschäftsleitung grundlegende Sorgfaltspflichten missachtet, etwa das Fehlen eines Risikomanagements, keine Incident-Response-Prozesse oder die Nichtbeachtung bekannter Sicherheitslücken. Ein dokumentiertes Governance-Framework und regelmäßige Audits sind der beste Schutz gegen diesen Vorwurf.
Schützt eine D&O-Versicherung vor NIS2-Haftung?
Bedingt. D&O-Versicherungen decken typischerweise keine vorsätzlichen Pflichtverletzungen ab. Bei grober Fahrlässigkeit hängt die Deckung von den konkreten Versicherungsbedingungen ab. CIOs sollten ihre D&O-Police auf Cybersecurity-Haftungsrisiken prüfen und bei Bedarf anpassen.
Welche Schulungen müssen Vorstände nachweisen?
NIS2 fordert, dass die Geschäftsleitung ausreichende Kenntnisse in Cybersecurity nachweisen kann. Empfohlen werden mindestens zwei dokumentierte Schulungen pro Jahr, die aktuelle Bedrohungslagen, regulatorische Anforderungen und branchenspezifische Risiken abdecken.
Ab wann gelten die neuen Haftungsregeln?
Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft, die Registrierungspflicht beim BSI lief bis März 2026. DORA gilt bereits seit Januar 2025. Der EU AI Act wird ab August 2026 für Hochrisiko-Systeme anwendbar. Unternehmen haben also nur noch wenige Monate, um ihre Governance-Strukturen aufzubauen.
Lesetipps der Redaktion
- NIS2 in Deutschland: Was Unternehmen wissen und umsetzen müssen – SecurityToday mit dem vollständigen NIS2-Überblick.
- CSRD-Omnibus 2026: Was die EU-Reform für den Mittelstand bedeutet – MyBusinessFuture zur Entlastung bei Nachhaltigkeitsberichtspflichten.
- Sovereignty-Washing: Warum ein EU-Rechenzentrum keine Datensouveränität garantiert – cloudmagazin zur Compliance-Falle bei Cloud-Diensten.
Mehr aus dem MBF Media Netzwerk
- DORA und NIS2 gleichzeitig: Der Compliance-Doppeldruck – SecurityToday
- Regulierungs-Kollision: Wenn NIS2, DORA und EU AI Act gleichzeitig greifen – Digital Chiefs
Quelle Titelbild: Vlada Karpovich / Pexels