Was du als Geschäftsführer wissen musst
Geschäftsführer haften persönlich mit ihrem Privatvermögen
Bei Pflichtverletzungen können Geschäftsführer mit ihrem gesamten Privatvermögen zur Verantwortung gezogen werden – unabhängig von der Unternehmensform.
Die Haftung kann NICHT an den IT-Leiter delegiert werden
§38 NIS2UmsuCG ist eindeutig: Die Verantwortung liegt bei der Geschäftsleitung. Eine Delegation an IT-Verantwortliche oder externe Dienstleister ist rechtlich unwirksam.
Pflicht zur persönlichen Schulung in IT-Sicherheit
Geschäftsführer müssen sich regelmäßig persönlich weiterbilden, um Risikobewertungen kompetent beurteilen zu können.
Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
Je nach Schwere des Verstoßes und Unternehmensgröße drohen empfindliche Strafen – zusätzlich zur persönlichen Haftung.
Bußgeldrahmen
Das NIS2-Umsetzungsgesetz sieht gestaffelte Sanktionen vor – von Ordnungsgeldern bis zur persönlichen Haftung.
100.000 EUR
Fehlende erreichbare Kontaktstelle beim BSI
500.000 EUR
Fehlendes Informationssicherheitsmanagementsystem (ISMS)
Bis 10 Mio. EUR / 2 % Umsatz
Schwere Verstöße gegen Sicherheitsanforderungen oder Nichtmeldung erheblicher Vorfälle
Persönliches Vermögen
Geschäftsführer haftet mit Privatvermögen bei Pflichtverletzung – ohne betragliche Obergrenze.
§38 NIS2UmsuCG
Das Gesetz verpflichtet Geschäftsführer zu konkreten Maßnahmen – nicht nur zur Kenntnis, sondern zum Handeln.
Die Geschäftsleitung muss die Ergebnisse der Risikoanalyse persönlich freigeben und deren Umsetzung aktiv überwachen.
Geschäftsführer müssen sich persönlich in IT-Sicherheit weiterbilden. Diese Pflicht ist nicht delegierbar.
Sicherheitsvorfälle müssen innerhalb von 24 Stunden erstgemeldet und innerhalb von 72 Stunden detailliert gemeldet werden.
Die Geschäftsleitung muss ausreichende finanzielle und personelle Ressourcen für IT-Sicherheitsmaßnahmen gewährleisten.
Die Sicherheitsanforderungen erstrecken sich auf die gesamte Lieferkette. Dienstleister und Zulieferer müssen einbezogen werden.
Alle Maßnahmen müssen lückenlos dokumentiert sein, um im Prüfungsfall die Einhaltung der Pflichten belegen zu können.
Rechtliche Realität
Viele Geschäftsführer gehen davon aus, dass IT-Sicherheit Sache der IT-Abteilung ist. Mit NIS2 ändert sich das grundlegend: §38 NIS2UmsuCG verpflichtet die Geschäftsleitung persönlich, die Umsetzung von Risikomanagementmaßnahmen zu billigen, deren Umsetzung zu überwachen und an Schulungen teilzunehmen.
Das bedeutet: Wer als Geschäftsführer nicht nachweisen kann, dass er sich aktiv mit der IT-Sicherheit seines Unternehmens befasst hat, riskiert die persönliche Haftung – selbst wenn ein externer Dienstleister oder eine interne IT-Abteilung beauftragt war. Die bloße Berufung auf fehlende technische Kenntnisse ist kein Haftungsausschluss, sondern wird im Gegenteil als Pflichtverletzung gewertet.
Entscheidend ist: Du musst nicht selbst IT-Experte sein. Aber du musst nachweislich die richtigen Maßnahmen initiiert, überwacht und dokumentiert haben. Ein professionelles IT-Audit ist der erste Schritt, um diese Nachweispflicht zu erfüllen.
Aktuellen Sicherheitsstatus deines Unternehmens systematisch ermitteln und Schwachstellen identifizieren.
Identifizierte Lücken schließen, technische und organisatorische Prozesse etablieren und dokumentieren.
Persönliche Weiterbildung in IT-Sicherheit – nachweisbar und regelmäßig, wie es das Gesetz verlangt.
Lückenlose, nachweisbare Compliance-Dokumentation für den Prüfungs- und Ernstfall erstellen.
Nein. §38 NIS2UmsuCG stellt unmissverständlich klar, dass die Geschäftsleitung die Umsetzung der Risikomanagementmaßnahmen billigen, deren Umsetzung überwachen und sich regelmäßig schulen lassen muss. Du kannst operative Aufgaben delegieren, aber die Überwachungs- und Genehmigungspflicht bleibt bei dir. Mehr zur gesetzlichen Grundlage erfährst du in unserem NIS2 Betroffenheitscheck.
Das Gesetz schreibt keine spezifische Zertifizierung vor, verlangt aber, dass Geschäftsführer „ausreichende Kenntnisse und Fähigkeiten“ erwerben, um Risiken einschätzen und Maßnahmen bewerten zu können. In der Praxis bedeutet das: regelmäßige, dokumentierte Schulungen zu IT-Sicherheitsgrundlagen, aktuellen Bedrohungslagen und Risikomanagement. Wir beraten dich gern zur passenden Schulungsstrategie – kontaktiere uns.
Ja, grundsätzlich schon. Als Geschäftsführer bist du für die Auswahl, Beauftragung und Überwachung deiner Dienstleister verantwortlich. Wenn du nachweisen kannst, dass du sorgfältig ausgewählt, vertraglich abgesichert und regelmäßig kontrolliert hast, kann das deine Haftung mindern. Ein IT-Audit hilft dir, diesen Nachweis zu führen.
Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft. Die BSI-Registrierungsfrist lief am 6. März 2026 ab. Unternehmen, die jetzt noch keine Maßnahmen umgesetzt haben, sollten umgehend handeln — Bußgelder von bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes drohen. Prüfe mit unserem Betroffenheitscheck, ob dein Unternehmen betroffen ist.
Drei Schritte sind entscheidend: Erstens, lass den aktuellen Sicherheitsstatus durch ein IT-Audit professionell bewerten. Zweitens, setze die empfohlenen Maßnahmen nachweisbar um – unsere IT-Sicherheitslösungen unterstützen dich dabei. Drittens, dokumentiere alles lückenlos. Die NIS2 Checkliste gibt dir einen konkreten Fahrplan.
Lass uns gemeinsam prüfen, wie du deine persönliche Haftung als Geschäftsführer minimierst. Kostenlose Erstberatung – unverbindlich und vertraulich.
