NIS-2 Vorstandshaftung: Was Geschäftsführer ab 2026 persönlich tragen

Die NIS-2 Richtlinie 2022/2555 verschiebt die Verantwortung für Cybersicherheit von der IT-Abteilung in die Geschäftsführung. Wer 2026 unterschreibt, haftet 2027 persönlich. Dieser Text richtet sich an Vorstände, Geschäftsführer und Aufsichtsräte, die wissen müssen, was sie unterschreiben.

Was NIS-2 für die Geschäftsführung wirklich verändert

Die Schutzpflicht ist keine IT-Pflicht mehr. Sie ist Geschäftsführer-Pflicht. Das ist der Bruch mit der bisherigen Praxis, in der CISOs und IT-Leiter die operative Verantwortung trugen und der Vorstand das Budget freigab.

Article 20 der NIS-2 Richtlinie 2022/2555 verlangt, dass die Leitungsorgane betroffener Einrichtungen die Cybersicherheitsmaßnahmen genehmigen, ihre Umsetzung überwachen und für Verstöße haften. Dazu kommt eine Schulungspflicht für die Geschäftsführung selbst. Nicht für die IT-Abteilung. Für den Vorstand.

Article 32 ergänzt die persönliche Haftungsdimension. Wenn eine wesentliche Einrichtung die Pflichten verletzt, können die zuständigen Behörden natürliche Personen in Leitungspositionen vorübergehend von ihrer Funktion ausschließen. Das deutsche NIS-2 Umsetzungsgesetz NIS2UmsuCG übernimmt diese Logik und konkretisiert die persönliche Geschäftsführerhaftung.

Die Beweislast liegt umgekehrt. Es reicht nicht, dass die Geschäftsführung behauptet, Pflichten erfüllt zu haben. Sie muss aktiv belegen, dass Risikomanagement, Schulungen und Meldewege funktionieren. Wer keine Dokumentation hat, hat im Streitfall keine Verteidigung.

Bußgeldrahmen und Eskalationsstufen

Die Sanktionen unterscheiden zwischen zwei Kategorien betroffener Einrichtungen. Für wesentliche Einrichtungen gilt ein Bußgeldrahmen bis 10 Mio Euro oder 2 Prozent des weltweiten Konzernumsatzes, je nachdem, welcher Betrag höher ist. Quelle: EUR-Lex CELEX 32022L2555.

Für wichtige Einrichtungen liegt der Rahmen bei 7 Mio Euro oder 1,4 Prozent des weltweiten Umsatzes. Auch hier gilt der höhere Wert. Bei einem Konzern mit 800 Mio Euro Umsatz bedeutet das eine Exposition von bis zu 16 Mio Euro für wesentliche und 11,2 Mio Euro für wichtige Einrichtungen.

Die Eskalation endet nicht beim Geld. Als ultima ratio kennt NIS-2 zwei weitere Sanktionen:

1. Tätigkeitsverbot für Geschäftsführungsmitglieder bei Wiederholungsfällen.
2. Aussetzung der Zertifizierung oder Genehmigung, die das Unternehmen für den Betrieb benötigt.

Ein Tätigkeitsverbot bedeutet in der Praxis das Ende der Karriere. Eine ausgesetzte Zertifizierung bedeutet das Ende des Geschäftsbetriebs. Beides sind keine theoretischen Szenarien. Die Aufsichtsbehörden haben den Auftrag, sie anzuwenden.

Welche Unternehmen jetzt prüfen müssen

NIS-2 erfasst zehn Sektoren als wesentlich (Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstemanagement, öffentliche Verwaltung, Weltraum) und acht weitere als wichtig (Post und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Dienste, Forschung).

Der Schwellenwert greift ab 50 Mitarbeitern oder 10 Mio Euro Jahresumsatz. Wer darunter liegt, ist nicht automatisch raus. Bestimmte Anbieter (DNS, TLD-Register, Vertrauensdienste) fallen unabhängig von der Größe in den Anwendungsbereich.

Es gibt keine Behördenliste, die einem mitteilt, ob man betroffen ist. Die Selbsteinstufung ist Pflicht. Wer sich falsch einstuft und es nicht meldet, riskiert die volle Sanktion plus den Vorwurf der vorsätzlichen Umgehung.

Der Lieferketten-Effekt erweitert den Kreis erheblich. KMU ohne eigene NIS-2-Pflicht werden durch Zulieferung an wesentliche Einrichtungen indirekt erfasst. Der Auftraggeber muss seine Lieferkette nach Article 21 absichern. Das überträgt vertragliche Pflichten nach unten. Wer dem Krankenhaus die Reinigung stellt, dem Energieversorger die Wartung oder dem Rechenzentrum den Wachdienst, wird vertraglich auf NIS-2-konforme Prozesse verpflichtet, ohne selbst direkt betroffen zu sein.

Praxis-Empfehlung: Wer die KRITIS-Dachgesetz Checkliste parallel zur NIS-2-Prüfung durchgeht, erkennt Doppel-Betroffenheit früh. Etwa 60 Prozent der KRITIS-Pflichtigen sind auch NIS-2-Pflichtige.

Die Nachweis-Architektur

Article 21 verlangt ein dokumentiertes Risikomanagement. Das ist kein Dokument, das einmal geschrieben und abgelegt wird. Es ist ein lebender Prozess mit zehn Mindestbestandteilen: Risikoanalyse, Vorfallbewältigung, Geschäftskontinuität, Lieferkettensicherheit, Sicherheit beim Erwerb und Betrieb von IT-Systemen, Bewertung der Wirksamkeit, Kryptographie, Zugriffskontrolle, Asset-Management, Notfallkommunikation.

Die Meldepflicht erheblicher Vorfälle läuft in drei Stufen. Erste Frühwarnung binnen 24 Stunden. Bewertungsmeldung binnen 72 Stunden. Abschlussbericht binnen eines Monats. Wer die 24-Stunden-Frist verpasst, kann den Verstoß nicht durch späteres Melden heilen.

Die Schulungspflicht für die Geschäftsführung selbst ist der am häufigsten unterschätzte Hebel. Article 20 NIS-2 verlangt, dass die Mitglieder der Leitungsorgane regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse zur Bewertung von Cybersicherheitsrisiken zu erwerben. Jährlich. Nachweisbar. Mit Teilnahmebestätigung, Datum, Inhalt.

Der audit-feste Beweis-Strom betrifft drei Adressaten: die Aufsichtsbehörde im Prüffall, den D&O-Versicherer im Schadenfall, den Aufsichtsrat im Berichtsfall. Wer drei separate Dokumentationssysteme führt, scheitert. Wer eine konsolidierte Beweis-Architektur aufbaut, bedient alle drei aus einer Quelle.

Für Mehrfach-Betroffene gilt die Doppel-Compliance mit dem KRITIS-Dachgesetz. Die Pflichten überlappen sich zu etwa 70 Prozent. Eine getrennte Erfüllung verdoppelt den Aufwand ohne Sicherheitsgewinn.

Wo physische Sicherheit ins NIS-2 Bild gehört

Article 21 verlangt risikobasierte Sicherheitsmaßnahmen ausdrücklich für die physische und digitale Schicht. Das wird häufig übersehen, weil NIS-2 als reines Cyber-Gesetz wahrgenommen wird. Der Wortlaut der Richtlinie verlangt aber Schutz der Netz- und Informationssysteme „und ihrer physischen Umgebung".

In der Praxis bedeutet das: Wer ein Rechenzentrum betreibt, dessen Perimeter nicht dokumentiert kontrolliert wird, erfüllt Article 21 nicht. Wer einen Verteilnetzknoten ohne kontinuierliche physische Überwachung betreibt, erfüllt Article 21 nicht. Die Behörde fragt nicht nach Firewalls. Sie fragt nach dem Gesamtbild.

Perimeterschutz mit autonomer Patrouille liefert genau den audit-festen Streifen-Nachweis, den die physische Schicht braucht. Ein autonomer Roboter wie QR-3 mit LiDAR für KRITIS-Standorte protokolliert jeden Streifengang mit Zeitstempel, GPS-Track, Sensorik-Log und Anomalie-Erkennung. Das ist Nachweis, kein Bericht.

Versicherbarkeit wird zum zweiten Hebel. D&O- und Cyber-Policen verweigern zunehmend Deckung ohne dokumentierte physische Resilienz. Wir sehen in 2025 erste Policen, die explizit „documented physical access control with continuous monitoring" als Ausschlusskriterium führen. Wer das nicht hat, zahlt im Schadenfall selbst.

Die Kostenfrage entscheidet sich nicht zwischen Wachdienst und Robotik. Sie entscheidet sich zwischen dokumentierter und undokumentierter Streife. Klassische Wachdienste produzieren selten den Detail-Nachweis, den NIS-2 verlangt. Die Vergleichszahlen liegen in unserer Analyse Wachschutz Kosten 2026 TCO.

Was Vorstände in den kommenden 60 Tagen tun müssen

Diese fünf Schritte sind die Mindest-Roadmap. Ohne sie ist die Compliance-Erklärung 2026 angreifbar.

Schritt 1: Schwellenwert-Prüfung dokumentieren. Sektor, Mitarbeiterzahl, Umsatz, Lieferketten-Bezug. Schriftlich. Datiert. Mit Quellen. Das Dokument muss erklären, warum man wesentlich, wichtig oder nicht betroffen ist. Eine mündliche Einschätzung des Justiziars reicht nicht.

Schritt 2: Risk Assessment nach Article 21 vorlegen lassen. Die zehn Pflichtbestandteile als Kapitel-Struktur. Wo das Unternehmen heute steht, wo Lücken sind, welche Maßnahmen mit welcher Frist greifen. Wer das vom CISO bekommt, lässt es vom Aufsichtsrat gegenzeichnen.

Schritt 3: Eigene Schulung absolvieren und nachweisen. Nicht delegieren. Nicht „der CISO erklärt es uns im nächsten Meeting". Eine formale Schulung mit Teilnahmebestätigung, mindestens vier Stunden, jährlich wiederholt. Article 20 ist explizit.

Schritt 4: Versicherungsmakler über NIS-2-Status informieren. Die D&O-Police muss den NIS-2-Status reflektieren. Wer den Status verschweigt und später einen Schaden meldet, verliert die Deckung wegen vorvertraglicher Anzeigepflichtverletzung.

Schritt 5: Aufsichtsrat über Haftungsexposition aufklären. Ein schriftliches Briefing, das Bußgeldrahmen, persönliche Haftung und Tätigkeitsverbot konkret beziffert. Der Aufsichtsrat haftet mit. Wer ihn nicht informiert, schafft eine zweite Haftungsspur gegen sich selbst.

Wer diese fünf Schritte in 60 Tagen abarbeiten will, braucht eine externe Sicht auf die physische Schicht. Das Robotics-as-a-Service Modell hält die Investitionsentscheidung aus dem CapEx-Zyklus heraus und liefert den Streifen-Nachweis ab Tag eins. Für Vorstände, die zwischen Schwellenwert-Prüfung und Schulung keine Zeit für Beschaffungsverfahren haben, ist das der schnellste Weg zur physischen Compliance-Schicht.

Wenn Sie die NIS-2-Architektur Ihres Hauses mit einem Co-Autor des KRITIS-Operator-Handbuchs durchsprechen wollen, melden Sie sich direkt bei Marcus Köhnlein, Sales Lead Schweiz oder über das Kontaktformular. Die ersten 60 Tage entscheiden, was 2027 unterschrieben werden kann.