Mit Umsetzung der NIS2-Richtlinie im Dezember 2025 ins deutsche Recht wird das Thema der persönlichen Haftung des Managements für Compliance-Verstöße im Bereich der IT-Sicherheit (endgültig) virulent.
Bei Verletzung der Sorgfaltspflichten (§ 38 BSIG) droht Mitgliedern der Geschäftsleitung (Vorstand/Geschäftsführung) eine persönliche Haftung, u.a. die mögliche Suspendierung von Leitungsfunktionen und weitere Konsequenzen bei schweren Pflichtverletzungen. Zudem können Unternehmen bei Non-Compliance ihrer Geschäftsführung zusätzlich erheblich sanktioniert werden.
Die Pflichten aus der NIS2 können aber, wie andere Compliance-Pflichten, delegiert werden – zumindest teilweise. Damit wird zum einen sichergestellt, dass die Verantwortlichkeiten aus der NIS2-Richtlinie effektiver im Unternehmen wahrgenommen werden. Zum anderen können Unternehmensleitung und Unternehmen durch ein durchdacht eingerichtetes Compliance-Konzept „Delegation“ auch deutlich Erleichterung in ihrer Haftungsexposition erlangen.
I. Ausgangslage und Geltungsbereich
Das "Gesetz zur Umsetzung der NIS-2-Richtlinie" (BGBl. 2025 I Nr. 301) reformiert den Rechtsrahmen für die IT-Sicherheit für sog. "besonders wichtige" und "wichtige" Einrichtungen. Wer als Geschäftsleitung in der operativen Verantwortung steht, unterliegt weitreichenden Organisations-, Überwachungs- und Schulungspflichten.
Praxis-Tipp: Die Einordnung als "besonders wichtige/wichtige Einrichtung" sowie mögliche sektorale Sonderregelungen (z. B. Finanzen/DORA, Energie, Telekommunikation) beeinflussen Pflichten und Haftungsumfang. Dies lässt sich im Vorfeld klären, um gezielt auf Regime und Ausnahmen zu reagieren.
II. Haftungsmechanismen und aufsichtsrechtliche Instrumente
1. Pflichten
§ 38 BSIG sieht weitreichende Organisations- und Überwachungspflichten im Bereich der IT-Sicherheits-Compliance für das Management vor. Die NIS-2-Vorgaben erfordern die Umsetzung eines Katalogs an technischen und organisatorischen IT-Sicherheitsmaßnahmen, u.a. Risikoanalyse und Erarbeitung einer Sicherheitsstrategie, Incident-Management, Business-Continuity-Planung (BCM), Sicherheitsmaßnahmen in der Lieferkette, Schwachstellen- und Patch-Management, Zugriffskontrollen und Verschlüsselung, Meldeprozesse für Sicherheitsvorfälle (u.a. Meldung signifikanter Cybervorfälle melden innerhalb von 24 h) sowie Bereitstellung ausreichender Ressourcen.
Die erforderlichen Cybersicherheits-Risikomanagementmaßnahmen müssen formell durch das Management beschlossen werden. Die Geschäftsleitung muss die Umsetzung der Maßnahmen kontinuierlich kontrollieren.
Das Management muss selbst regelmäßig auf die Vorgaben geschult werden (Kompetenzpflicht / Training).
2. Binnenhaftung – die zentrale Leitplanke
Verstöße gegen die zuvor genannten Pflichten führen zur direkten Verantwortlichkeit des Managements gegenüber dem eigenen Unternehmen (u.a. Schadensersatzpflicht). Maßstab ist das jeweils einschlägige Gesellschaftsrecht (in Deutschland u.a. § 93 AktG, § 43 GmbHG). Für die Bestimmung des Umfangs und der Ausführung entsprechender Pflichten gelten neben den materiell rechtlichen Vorgaben des BSiG die bewährte Business-Judgement-Rule für unternehmerische Entscheidungen.
3. Persönlich individuelle Maßnahmen
Bei nachhaltiger Missachtung behördlicher Anordnungen kann die Aufsicht einzelnen Geschäftsleitern als Ultima Ratio vorübergehend die Ausübung der Tätigkeit untersagen (§ 61 Abs. 9 BSIG). Damit besteht ein direkter persönlicher Zugriffsmechanismus jenseits "bloßer" Geldbußen und Papierhaftung.
4. Bußgeldregime und Strafrecht
Bußgelder können auch gegen die Mitglieder der Geschäftsleitungen persönlich verhängt werden, wobei die Behörden in der Praxis regelmäßig über Zurechnungsnormen das Unternehmen versuchen zu sanktionieren. Die Schwelle zur Organhaftung bzw. zur strafrechtlichen Verantwortung hängt von der nachweisbaren Erfüllung von Organisations- und Überwachungspflichten ab.
III. Delegation: Möglich, aber Restverantwortlichkeit bleibt
Die NIS2-Umsetzungspflichten sind an die Unternehmensleitung selbst adressiert (sog. Unternehmerpflichten).
Neben der Sicherstellung einer engmaschigen und wirksamen Compliance ist für die persönliche „Enthaftung“ der Unternehmensleitung unerlässlich, dass die Unternehmerpflichten aus der NIS2-Richtlinie horizontal im Leitungsressort und sodann nachfolgend vertikal entlang der Hierarchieebenen wirksam delegiert werden. Sofern nachgewiesen werden kann, dass
- die jeweils wahrzunehmenden Pflichten ausdrücklich und bestimmt delegiert wurden (Delegationsvereinbarung);
- der Delegationsempfänger über ausreichend Ressourcen und Befähigung verfügt (Schulungen etc.) und
- die Unternehmensleitung durch einen Revisionsprozess die Einhaltung der übertragenen Pflichten beaufsichtigt und kontrolliert,
wird die Sanktion nicht gegenüber der Unternehmensleitung, sondern gegenüber dem Delegationsempfänger verhängt. Durch die Übertragung der Pflichten über mehrere Hierachieebenen hinweg, wird sichergestellt, dass die Verantwortlichkeiten aus der NIS2-Richtlinie effizient allokiert sind. Wichtig ist dabei aber, dass die Schnittstellen in der Pflichtenwahrnehmung sehr genau definiert wurden, um Verantwortlichkeitsdiffusionen zu vermeiden. Eine solches Delegationskonzept hat sich in anderen Bereichen der Compliance bereits seit vielen Jahren etabliert und bewährt.
Durch gezielte Delegation der jeweiligen Pflichten kann die Haftung des Managements so zwar nicht „auf null“, jedoch im Umfang nach durchaus erheblich reduziert werden.
V. Fazit
Die persönliche Inanspruchnahme von Management und Geschäftsleitungen wird durch das neue BSIG ein Stück weit wahrscheinlicher – aber auch steuerbar. Wer Governance, Reporting, Nachweis und Schulungen strategisch als Teil der Unternehmenssteuerung versteht und dies ordnungsgemäß dokumentiert, mindert nicht nur Haftungsrisiken, sondern stärkt die Resilienz der eigenen Organisation. Dabei gehört auch eine angemessene Delegation der Verantwortlichkeiten.
