WOODLANDS ADVISORY
Alle Artikel
NIS2· 6 min

NIS2: Was Geschäftsführer jetzt persönlich haften

Die NIS2-Richtlinie macht Cybersecurity zur Chefsache – mit persönlicher Haftung bis zu 10 Millionen Euro. Was das konkret bedeutet und wie Sie sich schützen.

Seit Oktober 2024 ist die NIS2-Richtlinie in deutsches Recht umgesetzt. Was viele Geschäftsführer noch nicht realisiert haben: Die Richtlinie schafft keine neue IT-Vorschrift. Sie schafft persönliche Haftung.

Was NIS2 wirklich bedeutet

NIS2 verpflichtet Unternehmen in kritischen und wichtigen Sektoren – darunter digitale Infrastruktur, Gesundheit, Energie, Logistik und viele B2B-SaaS-Kategorien – zu einem Mindeststandard in der Cybersicherheit. Die Anforderungen umfassen:

  • Risikoanalyse und Sicherheitskonzepte
  • Sicherheit in der Lieferkette
  • Incident-Response-Fähigkeiten und Meldepflichten
  • Business Continuity und Krisenmanagement
  • Regelmäßige Schulungen und Awareness-Programme

Das ist kein Novum. Was neu ist: Wer haftet, wenn das alles fehlt.

Die persönliche Haftung der Geschäftsführung

NIS2 sieht vor, dass die Unternehmensleitung Cybersicherheitsmaßnahmen billigen und überwachen muss. Verstöße können zu Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes führen – je nachdem, welcher Betrag höher ist.

Entscheidend: Diese Haftung kann nicht vollständig auf die IT-Abteilung oder externe Dienstleister delegiert werden. Als Geschäftsführer müssen Sie nachweisen können, dass Sie Sicherheitsrisiken kennen, steuern und kontrollieren.

Warum viele Unternehmen trotzdem unvorbereitet sind

Die häufigsten Antworten, die wir in Erstgesprächen hören:

„Wir haben ISO 27001 – das reicht doch." ISO 27001 ist ein gutes Fundament, aber keine Garantie für NIS2-Konformität. Die Richtlinie stellt eigene Anforderungen an Governance, Meldeprozesse und Supply-Chain-Sicherheit.

„Wir sind kein kritisches Unternehmen." Der Anwendungsbereich von NIS2 ist breiter als erwartet. B2B-SaaS-Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in bestimmten Kategorien fallen unter die Richtlinie.

„Das regelt unsere IT." IT kann die Technik implementieren. Aber die Haftung sitzt in der Geschäftsführung – nicht im Rechenzentrum.

Was Sie jetzt tun sollten

Drei konkrete Schritte:

  1. Betroffenheitsprüfung: Fällt Ihr Unternehmen unter NIS2? Welche Sektorkategorie trifft zu? Welche Anforderungen gelten konkret?

  2. Gap-Analyse: Was ist bereits vorhanden? Wo bestehen die kritischsten Lücken? Welche Maßnahmen schließen den größten Risikohebel?

  3. Dokumentation der Governance: Nachweisbar machen, dass die Geschäftsführung informiert ist, Entscheidungen trifft und Maßnahmen steuert – nicht nur delegiert.

Woodlands Advisory begleitet mittelständische Unternehmen und PE-Portfolio-Gesellschaften auf dem Weg zur NIS2-Compliance. Unser Compliance Sprint bringt Sie in vier Wochen in eine dokumentierte, auditierbare Sicherheitsposition.

Erstgespräch vereinbaren →

Woodlands Advisory

Sprechen wir über Ihr konkretes Thema.

30 Minuten. Vertraulich. Unverbindlich.

Erstgespräch vereinbaren →← Zurück zu allen Artikeln