Seit Anfang 2026 nimmt das neue Gesetz die Geschäftsführung bei Versäumnissen in der Cybersicherheit persönlich in die Pflicht.

Lange Zeit wurde Cybersicherheit in deutschen Unternehmen als rein technisches Problem betrachtet, das in den Serverräumen der IT-Abteilung gelöst werden muss. Mit dem Inkrafttreten des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) hat sich dieses Bild radikal gewandelt. Cybersicherheit ist im Jahr 2026 endgültig auf der Ebene der Organhaftung angekommen.

Die persönliche Haftung nach § 38 BSIG

Das schärfste Schwert des Gesetzgebers ist die persönliche Haftung der Geschäftsleitung nach dem neuen § 38 BSIG. Verstößt die Geschäftsführung schuldhaft gegen ihre Pflichten zur Umsetzung oder Überwachung der Sicherheitsmaßnahmen, haftet sie der Gesellschaft gegenüber für den entstandenen Schaden. Das bedeutet konkret:

• Das Unternehmen ist im Schadensfall grundsätzlich verpflichtet, die verantwortlichen Leitungsorgane in Regress zu nehmen. Das Unternehmen kann nicht nur, es muss!
   
• Ein im Vorfeld vereinbarter Verzicht der Gesellschaft auf Haftungsansprüche oder ein pauschaler Vergleich über diese Ansprüche ist rechtlich unwirksam, wenn dadurch die gesetzlichen Mindestvorgaben unterlaufen werden.
   
• Neben der zivilrechtlichen Innenhaftung drohen drakonische Bußgelder für das Unternehmen (bis zu 10 Mio. Euro oder 2 % des weltweiten Vorjahresumsatzes), die wiederum die Grundlage für Schadensersatzforderungen gegen die Geschäftsführung bilden können.

Die Kernpflichten der Geschäftsleitung

Das Herzstück der Neuregelung für Geschäftsführer und Vorstände findet sich in der Verschärfung der Sorgfaltspflichten. Während früher die allgemeine Business Judgment Rule und vage Compliance-Vorgaben den Rahmen bildeten, konkretisiert das neue Recht (insbesondere über die Änderungen im BSIG) die Anforderungen massiv:

• Umsetzungspflicht: Die Geschäftsführung ist unmittelbar dafür verantwortlich, dass die technischen und organisatorischen Maßnahmen (TOM) nach dem Stand der Technik umgesetzt werden.
   
• Billigungs- und Überwachungspflicht: Sicherheitsmaßnahmen können nicht mehr einfach „abgenickt“ werden. Die Geschäftsführung muss diese aktiv billigen und ihre Umsetzung kontinuierlich überwachen.
   
• Schulungspflicht: Wer steuern will, muss verstehen. Das Gesetz sieht nun explizit vor, dass Leitungsorgane über die notwendigen Fachkenntnisse verfügen müssen, um Risiken bewerten und Maßnahmen beurteilen zu können.

Delegation allein schützt nicht mehr

Natürlich kann (und muss) die operative Umsetzung an IT-Sicherheitsbeauftragte oder externe Dienstleister delegiert werden. Aber: Die Verantwortung für die Auswahl, Anleitung und Überwachung bleibt unübertragbar bei der Geschäftsführung. Wer sich darauf zurückzieht, von der Materie nichts zu verstehen, dokumentiert im Zweifel lediglich die eigene Pflichtverletzung in Bezug auf die Schulungspflicht. In einem gerichtlichen Verfahren wird die Frage nicht mehr lauten: „Hat die IT versagt?“, sondern: „Hat die Geschäftsführung ein System etabliert, das dieses Versagen hätte verhindern oder zumindest rechtzeitig erkennen müssen?“

Nicht nur die „Großen“ betroffen

Bisher galt für viele Mittelständler: „Wir sind kein KRITIS-Betreiber, also betrifft uns das IT-Sicherheitsrecht nicht direkt.“ Diese Logik ist seit Anfang 2026 Geschichte. Das Gesetz unterscheidet nun primär nach Unternehmensgröße und Sektor-Zugehörigkeit.

Auch ein mittleres Unternehmen ist grundsätzlich reguliert, wenn es mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz von über 10 Mio. Euro erzielt und in einen der folgenden Sektoren fällt: Abfallwirtschaft, Lebensmittel (Produktion/Handel), Chemie, Verarbeitendes Gewerbe (z. B. Maschinenbau, Automotive), digitale Dienste.

Indirekte Betroffenheit: Die Lieferketten-Falle

Selbst wenn das Unternehmen unter den Schwellenwerten bleibt (z. B. 30 Mitarbeiter), könnte es durch die Hintertür zur Einhaltung von NIS2-Standards gezwungen werden. Das Gesetz verpflichtet regulierte Unternehmen (die Kunden!), die Sicherheit in ihrer Lieferkette zu prüfen. Große Konzerne fordern daher im Jahr 2026 von ihren Zulieferern proaktiv den Nachweis über IT-Sicherheitsmaßnahmen nach NIS2-Standard. Wer hier nicht liefern kann, riskiert, als „Sicherheitsrisiko“ aus der Lieferantenliste gestrichen zu werden.

Was jetzt zu tun ist

Für Unternehmen, die unter den Anwendungsbereich von NIS2 fallen (besonders in den Sektoren „Besonders wichtig“ und „Wichtig“) oder indirekt von Ihren Kunden verpflichtet werden, ist schnelles Handeln entscheidend:

• Klären Sie Ihre Betroffenheit.
• Führen Sie eine Bestandaufnahme der vorhandenen Systeme und Prozesse durch.
• Bewerten Sie das Risiko für alle Teile Ihrer IT-Infrastruktur und -Anwendungen.
• Schließen Sie etwaige Lücken in der Sicherheit Ihrer Systeme und Prozesse.
• Richten Sie klare Berichtswege zwischen IT-Sicherheit und Geschäftsführung ein.
• Erstellen Sie Notfallpläne für Cybersicherheits-Vorfälle.
• Nehmen Sie an spezifischen Cybersicherheits-Schulungen teil.
• Prüfen Sie den Deckungsumfang Ihrer D&O-Versicherung.

Das Schwierigste: Die Übersicht behalten durch strukturierte Dokumentation

Die faktische Umsetzung der erforderlichen Maßnahmen ist allerdings „nur die halbe Miete“. Genauso wichtig ist es, dies auch nachweisen zu können und längerfristig die Übersicht zu behalten. Dafür gibt es nur eine Maßnahme: Strukturierte Dokumentation.

Sie sind sich unsicher, ob Ihr Unternehmen NIS2-konform aufgestellt ist oder wie Sie Ihr Informationssicherheits-Managementsystem rechtssicher dokumentieren? Als Experten für IT-Recht unterstützen wir Sie dabei, die neuen gesetzlichen Anforderungen in haftungsvermeidende Prozesse zu übersetzen.