CWS
CyberWerkSuite
← Zurück zum Blog
NIS2BSIGPersönliche HaftungGeschäftsleitungJoe SullivanUberMeldepflichtDACH

Ein CISO wäre fast ins Gefängnis gekommen, weil er einen Sicherheitsvorfall vertuschte

Der Joe-Sullivan-Fall von Uber zeigt, was die NIS2-Richtlinie und § 38 BSIG für die persönliche Haftung der Geschäftsleitung tatsächlich bedeuten — und warum diese amerikanische Geschichte nun Europas Vorlage ist.

DS
Dr. Sait Yalazay, PhD / LLM / MBA
CISO — DPO — Author | CISM — CIPP — AAISM — LA 27001, 27701, 22301, 42001
Architekt automatisierter Compliance-Systeme für NIS2, DSGVO, ISMS, BCM, DORA, Tisax, AI Act & NATO Cyber Security Framework

Veröffentlicht am 11. Mai 2026

Ein CISO wäre fast ins Gefängnis gekommen, weil er einen Sicherheitsvorfall vertuschte.

Unter NIS2 ist sein Fall jetzt Europas Vorlage.

Die meisten europäischen Führungskräfte halten dies immer noch für eine amerikanische Geschichte.

Am 5. Oktober 2022 verurteilte eine Bundesjury in San Francisco den ehemaligen Chief Security Officer der Uber Technologies wegen zweier Verbrechensdelikte.1 Er war der erste CISO in der Geschichte, der wegen Straftaten im Zusammenhang mit einem Cybersicherheitsvorfall verurteilt wurde. Der Sicherheitsvorfall selbst war nicht das Verbrechen. Die Vertuschung war es.

Unter NIS2 ist dieser Komfort nicht mehr gegeben. Die Richtlinie — und das deutsche BSIG, das sie umsetzt — enthält nun jeden Bestandteil, der einen eingedämmten Uber-Sicherheitsvorfall in eine strafrechtliche Verurteilung verwandelt hat: eine persönliche Pflicht der Geschäftsleitung, eine harte Meldepflicht und die ausdrückliche gesetzliche Befugnis, Einzelpersonen für Pflichtverletzungen haftbar zu machen.2 Die Umstände unterscheiden sich. Die rechtliche Architektur ist funktional vergleichbar.

Dieser Artikel geht beides durch: was der verurteilte CSO tatsächlich tat und was eine EU-Führungskraft, die heute dasselbe tut, nach Artikel 20, Artikel 23, Artikel 32 und § 38 BSIG zu erwarten haben könnte.

Was in San Francisco geschah

Am 14. November 2016 — zehn Tage, nachdem er unter Eid vor der Federal Trade Commission über das Cybersicherheitsprogramm von Uber ausgesagt hatte — erhielt er eine E-Mail von Hackern, die in die Systeme des Unternehmens zum zweiten Mal eingedrungen waren.3 Der Sicherheitsvorfall war massiv: 57 Millionen Nutzerdatensätze und 600.000 Führerscheinnummern, die genau dieselbe Kategorie von Schwachstelle ausnutzten, die er der FTC wenige Tage zuvor beschrieben hatte.

Er meldete den Vorfall nicht. Er sorgte dafür, dass Uber den Angreifern 100.000 US-Dollar in Bitcoin zahlte, geleitet über das Bug-Bounty-Programm des Unternehmens, und ließ sie Geheimhaltungsvereinbarungen unterzeichnen, in denen ihr Vorgehen fälschlich als autorisierte Sicherheitsforschung dargestellt wurde.4 Einem Untergebenen sagte er über den Vorfall: „Das darf nicht nach außen dringen.” Er arbeitete weiter an der FTC-Antwort — nun auf Grundlage materiell unvollständiger Informationen — und Uber verhandelte einen vorläufigen FTC-Vergleich, während die Aufsichtsbehörde sich auf ein falsches Bild der Sicherheitslage des Unternehmens stützte.

Nach einem vierwöchigen Strafprozess im Jahr 2022 sprach die Jury Schuldsprüche wegen Behinderung von FTC-Verfahren und Nichtanzeige einer Straftat aus.5 Im Mai 2023 wurde der CSO zu drei Jahren Bewährung, 200 Stunden gemeinnütziger Arbeit und einer Geldstrafe von 50.000 US-Dollar verurteilt.6

Das Urteil blieb hinter einer Freiheitsstrafe zurück. Die mit ihm verbundene Warnung tat es nicht. Bei der Urteilsverkündung erklärte der Bundesrichter, dass künftige Angeklagte in vergleichbaren Fällen mit Freiheitsstrafen rechnen sollten — unabhängig von mildernden Umständen — eine Bemerkung, die sich jede europäische Führungskraft mit Sicherheitsverantwortung einprägen sollte.7 Am 13. März 2025 bestätigte ein einstimmig entscheidender Senat des Ninth Circuit das Urteil. Das Gericht war ausdrücklich: rechtswidriges Verhalten kann nicht durch eine Geheimhaltungsvereinbarung „reingewaschen” werden.8

Der CSO wurde nicht wegen des Sicherheitsvorfalls verurteilt. Sein Sicherheitsteam hatte ihn entdeckt. Er wurde wegen der Entscheidung verurteilt, die auf Geschäftsleitungsebene darüber getroffen wurde, was mit der Entdeckung zu tun sei.

Ein EU-CISO, der einen erheblichen Sicherheitsvorfall entdeckt und sich — im Einvernehmen mit der Geschäftsleitung — gegen die Meldung an die zuständige Behörde entscheidet, dürfte keine reine Risikomanagement-Entscheidung mehr treffen.9 Nach dem deutschen NIS2UmsuCG und den parallelen Umsetzungen in Belgien, den Niederlanden, Frankreich und anderswo begeht er voraussichtlich mindestens eine Ordnungswidrigkeit. Je nach Art der Vertuschung kann er auch eine Straftat begehen.

Die drei Handlungen und ihre europäischen Entsprechungen

Der CSO wurde nicht wegen einer Handlung, sondern wegen dreier verurteilt. Jede dieser Handlungen lässt sich einem eigenständigen Teil des europäischen Rechtsrahmens zuordnen — und genau diese Zuordnung macht den Fall zu mehr als einer amerikanischen Anekdote.

Akt 1 — Das Versäumnis der Meldung. Er hatte zehn Tage vor dem Sicherheitsvorfall vor der Federal Trade Commission ausgesagt. Der Vorfall selbst löste eine aufsichtsrechtliche Offenlegungspflicht aus. Er verheimlichte ihn vor der Behörde. Nach NIS2 ist dies eine Verletzung von Artikel 23 Absatz 4 Buchstabe a, der 24-Stunden-Frühwarnpflicht, in deutsches Recht umgesetzt durch § 32 BSIG. Die Rechtsfolge ist hier vorrangig administrativ: § 65 BSIG überführt die Pflichtverletzung in eine Ordnungswidrigkeit mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen — je nachdem, welcher Betrag höher ist.

Akt 2 — Das Versagen der Unternehmensführung. Der Sicherheitsvorfall wurde auf der Ebene der Geschäftsleitung gehandhabt, ohne Offenlegung gegenüber Ubers eintreffendem CEO, den Unternehmensjuristen oder der FTC. Die Vertuschungsentscheidung wurde innerhalb der Leitungsfunktion selbst getroffen und umgesetzt. Nach NIS2 ist dies eine Verletzung von Artikel 20 Absatz 1 — der Verpflichtung der Geschäftsleitung, Cybersicherheitsmaßnahmen zu billigen, ihre Umsetzung zu überwachen und für Verstöße zur Verantwortung gezogen zu werden — in deutsches Recht umgesetzt durch § 38 Absatz 1 BSIG. Die Rechtsfolge kann hier zweischneidig sein: zivilrechtliche Schadensersatzhaftung nach § 38 Absatz 2 BSIG, wonach die Einrichtung selbst das Mitglied der Geschäftsleitung auf Ersatz des durch die Pflichtverletzung verursachten Schadens in Anspruch nehmen kann; sowie die Verwaltungsbefugnis nach Artikel 32 Absatz 5 Buchstabe b, wonach die Aufsichtsbehörde der Person die Ausübung von Leitungsfunktionen in besonders wichtigen Einrichtungen vorübergehend untersagen kann.

Akt 3 — Die aktive Vertuschung. Der CSO zahlte den Angreifern 100.000 US-Dollar in Bitcoin über Ubers Bug-Bounty-Programm, ließ sie Geheimhaltungsvereinbarungen unterzeichnen, die ihr Vorgehen fälschlich als autorisierte Sicherheitsforschung darstellten, und arbeitete weiter an der FTC-Antwort, während er den neuen Sicherheitsvorfall wissentlich verschwieg. Hier stößt die Richtlinie selbst an ihre Grenze: NIS2 schafft keine Straftatbestände. Das nationale Strafrecht schließt diese Lücke. In Deutschland könnte derselbe Sachverhalt § 263 StGB (Betrug, soweit ein Vermögensschaden entsteht), § 269 StGB (Fälschung beweiserheblicher Daten — insbesondere dort, wo gefälschte beweiserhebliche Aufzeichnungen erstellt werden) und in Szenarien der Urkundenunterdrückung § 274 StGB auslösen. Diese Tatbestände sehen Freiheitsstrafen vor — wobei Betrug in besonders schweren Fällen nach § 263 Absatz 3 StGB mit bis zu zehn Jahren Freiheitsstrafe geahndet werden kann.10 Eine Geschäftsleitung, die einen Vorfall entdeckt und beschließt, ihn zu vertuschen, befindet sich nicht in derselben Rechtslage wie eine Geschäftsleitung, die lediglich versäumt hat, sich rechtzeitig zu registrieren.

Die drei Handlungen sind jede für sich genommen schwerwiegend. Der CSO beging alle drei. Eine EU-Führungskraft in seiner Position könnte sich allen drei Kategorien von Konsequenzen stellen — zivilrechtlicher Schadensersatz, verwaltungsrechtliche Sanktion und strafrechtliche Ermittlung — möglicherweise auf parallelen Expositionspfaden, nicht nacheinander.

Der andere CISO: SolarWinds und eine andere Form der Haftung

Der Uber-CSO war nicht die letzte Führungskraft, deren Verhalten zu persönlicher Exposition unter Cybersicherheitsrecht führte. Am 30. Oktober 2023 erhob die U.S. Securities and Exchange Commission Anklage gegen die SolarWinds Corporation und ihren CISO wegen Wertpapierbetrugs und Versagens interner Kontrollen im Zusammenhang mit dem SUNBURST-Angriff — einem russischen Lieferketten-Kompromiss. Der Bedrohungsakteur drang zuerst im September 2019 in SolarWinds ein; das schadhafte Update erreichte die Kunden ab März 2020 und kompromittierte etwa 18.000 Organisationen, darunter mehrere US-Bundesbehörden.11

Die SolarWinds-Theorie unterschied sich von der Uber-Theorie. Die SEC behauptete, der CISO habe interne Präsentationen gehalten, in denen das Sicherheitsprogramm des Unternehmens als „in einem sehr verwundbaren Zustand” beschrieben wurde, während öffentliche Mitteilungen an Investoren im selben Zeitraum eine reife Sicherheitslage darstellten. Die Diskrepanz zwischen interner Kenntnis und öffentlicher Darstellung machte den CISO — so die SEC — persönlich haftbar.12

Der Fall endete nicht mit einer Verurteilung. Am 18. Juli 2024 wies das erstinstanzliche Gericht im Southern District of New York den größten Teil der SEC-Klagen ab; die verbleibenden Klagen wurden am 20. November 2025 mit Wirkung res iudicata (with prejudice) durch Vergleich zurückgewiesen.13 Der Fall führte zu keinen persönlichen Sanktionen gegen den CISO. Doch der Fall ist gerade deshalb von Bedeutung, weil er angestrengt wurde. Es war das erste Mal, dass ein CISO persönlich wegen zivilrechtlichen Betrugs im Zusammenhang mit einem Sicherheitsvorfall angeklagt wurde. Die Theorie — dass interne Kenntnis von Sicherheitsmängeln bei gleichzeitigen öffentlichen Aussagen über ein solides Programm persönliche Haftung begründet — ist nun artikuliert, erprobt und dürfte prägen, wie der nächste Fall konstruiert wird.

Obwohl die SEC-Theorie unter Wertpapierrecht und nicht unter Cybersicherheitsregulierung entstand, ähnelt die zugrunde liegende Governance-Logik dem Aufsichtsmodell von Artikel 20. Die NIS2-Parallele verläuft durch Artikel 20 selbst. Eine Geschäftsleitung, die ein Sicherheitsprogramm auf Grundlage von Informationen genehmigt, von denen der CISO weiß, dass sie unvollständig sind, dürfte ihre Aufsichtspflicht nach Artikel 20 Absatz 1 nicht erfüllen können.14 § 38 Absatz 1 BSIG geht über Artikel 20 Absatz 1 hinaus: Der endgültige Gesetzestext verpflichtet die Geschäftsleitung nicht nur zur Billigung, sondern zur Umsetzung der vorgeschriebenen Risikomanagement-Maßnahmen und zur Überwachung dieser Umsetzung. Wo dies versäumt wird, schafft § 38 Absatz 2 einen unmittelbaren Anspruchsgrund auf Schadensersatz — nach den Regeln des Gesellschaftsrechts, soweit diese bestehen, und nach dem BSIG selbst, soweit nicht.

Drei Ebenen persönlicher Haftung unter NIS2

Der europäische Rechtsrahmen, der sich im Verlauf von 2025 und 2026 herauskristallisiert hat, sieht persönliche Haftung in drei klar voneinander abgegrenzten Ebenen vor — jede an eine andere Kategorie von Verhalten geknüpft.

Ebene 1 — Zivilrechtliche Schadensersatzhaftung

§ 38 Absatz 2 BSIG begründet einen unmittelbaren Anspruchsgrund: Mitglieder der Geschäftsleitung haften ihrer Einrichtung persönlich für Schäden, die durch ihre schuldhafte Pflichtverletzung im Sinne von § 38 Absatz 1 entstehen. Frühere Entwürfe des Umsetzungsgesetzes gingen sogar noch weiter und verboten der Einrichtung, vertraglich auf diese Schadensersatzansprüche zu verzichten — doch dieses Verbot wurde im parlamentarischen Verfahren gestrichen, und das endgültige Gesetz behält den klassischen gesellschaftsrechtlichen Rahmen bei. Die persönliche Haftung selbst bleibt jedoch gesetzlich geregelt und unmittelbar.15 Die Schwelle liegt hier bei schuldhaftem Verhalten, das im deutschen Zivilrecht bereits bei Fahrlässigkeit beginnt. Eine Geschäftsleitung, die keinerlei Risikomanagement-Rahmen genehmigt hat, keine vierteljährlichen Cybersicherheitsberichte erhalten hat oder die ein Programm abgesegnet hat, von dessen Unvollständigkeit sie wusste, dürfte in vielen Sachverhaltskonstellationen die Schwelle bereits überschritten haben.

Ebene 2 — Verwaltungsrechtliche Haftung

Artikel 32 Absatz 5 Buchstabe b der Richtlinie ermächtigt die zuständigen Behörden, in besonders schweren Fällen bei besonders wichtigen Einrichtungen jeder natürlichen Person auf Ebene des CEO oder gesetzlichen Vertreters die Ausübung von Leitungsfunktionen in dieser Einrichtung vorübergehend zu untersagen.16 Dies ist die Obergrenze verwaltungsrechtlicher Sanktion und gilt — bewusst so konstruiert — nur für besonders wichtige Einrichtungen. Für wichtige Einrichtungen reicht das parallele Regime nach Artikel 33 nicht bis zu dieser Maßnahme.

Artikel 32 Absatz 6 ergänzt dies, indem er die Mitgliedstaaten verpflichtet sicherzustellen, dass jede natürliche Person, die für eine besonders wichtige Einrichtung verantwortlich ist oder als deren gesetzlicher Vertreter handelt, befugt ist, die Einhaltung der Richtlinie sicherzustellen, und für Verletzungen dieser Pflichten zur Verantwortung gezogen werden kann.17 In Deutschland überführt § 65 BSIG Verletzungen dieser Pflichten in Ordnungswidrigkeiten mit entsprechenden Geldbußen — bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes bei besonders wichtigen Einrichtungen, 7 Millionen Euro oder 1,4 Prozent bei wichtigen Einrichtungen.

Ebene 3 — Strafrechtliche Haftung

Die Richtlinie selbst sieht keine strafrechtlichen Sanktionen vor. Das nationale Recht schließt die Lücke. Das wissentliche Verheimlichen eines meldepflichtigen Sicherheitsvorfalls, die Fälschung eines an die zuständige Behörde übermittelten Berichts, die Behinderung eines Aufsichtsverfahrens oder die Vernichtung von Beweisen im Zusammenhang mit einem erheblichen Sicherheitsvorfall sind allesamt Verhaltenskategorien, die nach den bestehenden Strafgesetzen strafrechtliche Vorschriften auslösen können.18 In Deutschland erfassen § 263 StGB (Betrug, soweit ein Vermögensschaden entsteht), § 269 StGB (Fälschung beweiserheblicher Daten) und § 274 StGB (Urkundenunterdrückung) sämtlich Verhaltenstypen, die sich mit den Meldepflichten der NIS2 überschneiden. Im Vertuschungs-Sachverhaltsmuster — bezahlte Vertuschung, gefälschte Charakterisierung des Vorfalls, vorsätzliches Verschweigen gegenüber einer Aufsichtsbehörde — kann das Verhalten in den Anwendungsbereich von § 263 geraten, soweit die Falschdarstellung der Einrichtung, ihren Aktionären oder Vertragspartnern einen Vermögensschaden zufügt; und in den Anwendungsbereich von § 269, soweit ein gefälschter elektronischer Bericht oder Datensatz im Spiel ist.

Die Kalibrierung des Vorsatzes: was die Ebenen voneinander trennt

Die kategoriale Abgrenzung zwischen diesen drei Ebenen ist nicht willkürlich. Sie folgt dem subjektiven Tatbestand — der inneren Tatseite, dem Vorstellungsbild des Täters — und dieser Vorstellung folgt der Haftungspfad.

Eine Geschäftsleitung, die es versäumt, eine Anwendbarkeitserklärung (Statement of Applicability) zu billigen, die Pflicht-Schulungen nach Artikel 20 Absatz 2 anzusetzen oder die Einrichtung bis zum 6. März 2026 beim BSI zu registrieren, hat eine objektive Pflichtverletzung begangen. In den meisten Sachverhaltskonstellationen löst dies zivilrechtliche Schadensersatzhaftung nach § 38 Absatz 2 und verwaltungsrechtliche Geldbußen nach § 65 BSIG aus. Allein dürfte sie regelmäßig keine strafrechtliche Verantwortlichkeit begründen. Die innere Tatseite ist typischerweise Fahrlässigkeit; die Reaktion ist zivilrechtlich und verwaltungsrechtlich.

Eine Geschäftsleitung, die ein Sicherheitsprogramm billigt, das sie als unzureichend erkannt hat — oder die eine CISO-Präsentation entgegennimmt, in der das Programm als „in einem sehr verwundbaren Zustand” beschrieben wird, und anschließend eine öffentliche Stellungnahme unterzeichnet, die eine reife Sicherheitslage behauptet — könnte sich bereits im SolarWinds-Tatbild bewegen. Der Sachverhalt wird am Ende möglicherweise nicht strafrechtlich verfolgt; die SEC-Klage gegen den SolarWinds-CISO wurde abgewiesen. Doch die Position dürfte unter der Aufsichtspflicht nach Artikel 20 Absatz 1 nicht mehr verteidigbar sein. Die zivilrechtliche Schadensersatzexposition tendiert dazu, sich auszuweiten. Wird das unzureichende Programm im Zusammenhang mit einer regulatorischen Meldung oder einem Aufsichtsverfahren abgesegnet, kann die strafrechtliche Exposition beginnen.

Eine Geschäftsleitung, die einen erheblichen Sicherheitsvorfall entdeckt und wissentlich beschließt, ihn nicht innerhalb des 24-Stunden-Fensters zu melden — oder die einen Angreifer über einen Unternehmenskanal bezahlt und die Zahlung als etwas charakterisiert, was sie nicht ist — könnte sich im Vertuschungs-Muster befinden. Die zivilrechtliche Exposition bildet den Sockel. Das verwaltungsrechtliche Berufsverbot nach Artikel 32 Absatz 5 Buchstabe b ist absehbar. Die strafrechtliche Exposition nach nationalem Recht ist eine reale Möglichkeit. Der CSO erhielt Bewährung. Der Richter, der ihn verurteilte, sagte, dass der nächste Angeklagte das nicht erhalten würde.

Der Düsseldorfer Präzedenzfall: Wenn eine Schwachstelle zur Governance-Frage wird

Am 10. September 2020 verschlüsselten Ransomware-Akteure rund 30 Server am Universitätsklinikum Düsseldorf — einer besonders wichtigen Einrichtung im deutschen Gesundheitssystem, angegliedert an die Heinrich-Heine-Universität. Die Notaufnahme wurde geschlossen. Eingriffe wurden verschoben. Eine Patientin in lebensbedrohlichem Zustand konnte nicht aufgenommen werden und wurde an ein Krankenhaus in Wuppertal, 32 Kilometer entfernt, weitergeleitet. Die Behandlung begann etwa eine Stunde später, als sie in Düsseldorf begonnen hätte. Sie verstarb.19

Die Angreifer hatten die Schwachstelle Citrix CVE-2019-19781 ausgenutzt — eine Directory-Traversal-Schwachstelle in Citrix ADC, Gateway und SD-WAN WANOP. Die Schwachstelle war im Dezember 2019 öffentlich bekannt geworden. Patches standen seit Januar 2020 zur Verfügung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte im Januar 2020 eine offizielle Cyber-Sicherheitswarnung zur Schwachstelle und deren Konsequenzen veröffentlicht. Im September war diese Warnung acht Monate alt. Der Patch war auf den betroffenen Düsseldorfer Systemen nicht eingespielt worden. Nach dem Vorfall erklärte der damalige BSI-Präsident öffentlich: „Wir haben bereits im Januar vor der Schwachstelle gewarnt und auf die Folgen ihrer Ausnutzung hingewiesen. Angreifer verschaffen sich Zugang zu internen Netzwerken und Systemen und können diese Monate später lahmlegen. Ich kann nur dringend dazu raten, solche Warnungen nicht zu ignorieren oder aufzuschieben.”20

Der Fall nahm einen eigenen rechtlichen Verlauf. Die Staatsanwaltschaft Köln leitete ein Ermittlungsverfahren gegen die unbekannten Angreifer wegen des Verdachts der fahrlässigen Tötung gemäß § 222 StGB ein. Das Verfahren wurde später ohne Anklageerhebung eingestellt: Die Staatsanwaltschaft konnte angesichts der zugrunde liegenden kritischen Gesundheitslage der Patientin keine unmittelbare Kausalität zwischen der Ransomware und ihrem Tod zur Anklagereife nachweisen. Der rechtliche Punkt überlebt den prozessualen Ausgang. Zum ersten dokumentierten Mal in Europa hatte ein Ransomware-Angriff auf ein Krankenhaus eine Tötungsdelikt-Ermittlung ausgelöst.21

Im Jahr 2020 war Düsseldorf unter dem KRITIS-Rahmen reguliert — dem Vorgängerregime. KRITIS sah Verpflichtungen auf Betreiberebene vor, doch weder so streng wie die nachfolgenden noch in der Lage, die Personen zu erreichen, die die Einrichtung führten. Vor allem gab es keinen gesetzlichen Weg zur persönlichen Haftung der Geschäftsleitung. Der rechtliche Werkzeugkasten von 2026 — auf die Einzelpersonen im Sitzungssaal gerichtet statt auf die Einrichtung selbst — existierte 2020 nicht.

Derselbe Sachverhalt, in das Jahr 2026 transponiert, würde auf einen anderen Rahmen treffen. Eine bekannte kritisch bewertete Schwachstelle mit einem Patch ab Januar, eine ausdrückliche BSI-Warnung im selben Monat, und ein Ransomware-Vorfall neun Monate später — die Lücke zwischen Risikokenntnis und Risikobehebung — ist genau das Verhalten, das § 38 Absatz 1 BSIG adressiert. Wo die Geschäftsleitung die BSI-Warnung erhielt und keine zeitnahe Behebung veranlasste, könnte die Schwelle der schuldhaften Pflichtverletzung nach § 38 Absatz 2 ohne weiteren Beweis erreicht sein. Wo der Patientenausgang einen dokumentarischen Bezug zum ungepatchten System aufweist, tendiert die zivilrechtliche Exposition dazu, sich weiter auszudehnen. Wo Belege für ein internes Anerkennen des Risikos gefolgt von einer Entscheidung gegen Handeln auftauchen, mag das Verhalten in den Anwendungsbereich der SolarWinds-Theorie geraten. Und wo die Entscheidung zeitnah als Kostenabwägung dokumentiert wurde, mag sich das Verhalten dem groben Governance-Versagen annähern.

Die Frage, die Düsseldorf 2020 nicht beantworten musste — warum hat die Geschäftsleitung eine Januar-Warnung bis September unbearbeitet liegen lassen? — ist die Frage, die NIS2 im Jahr 2026 verpflichtend machen könnte. Die Antwort, festgehalten im Protokoll, könnte zur Grundlage persönlicher Haftung werden.

Der Blick aus Bonn

Die BSI-Präsidentin erklärte gegenüber der deutschen Presse vor Inkrafttreten des Gesetzes: „NIS2 ist trotz des Regierungswechsels vergleichsweise schnell umgesetzt worden, und wir sind bereit. Von uns aus kann es losgehen.”22 Das Signal liegt nicht in der Bereitschaft, sondern in der Direktheit. Die Behörde, die das Aufsichtsregime führen wird, hat sich als handlungsbereit positioniert. Das ist ungewöhnliche Rhetorik für einen deutschen Regulator. Sie ist zugleich konsistent mit der Entwicklung der vergangenen achtzehn Monate: Das Positionspapier des BSI vom Oktober 2025 zum Umsetzungsgesetz forderte ausdrücklich erweiterte technische Befugnisse für Resilienz-Scans, Command-and-Control-Tracking und direkte Warnungen an Einrichtungen.

Im selben Interview ging sie weiter. Auf die Frage nach der praktischen Wirkung des neuen Regimes verwies sie nicht auf die eigenen Vollzugsbefugnisse des BSI, sondern auf etwas ganz anderes:

„Der große Hebel sind nicht wir. Der große Hebel ist die Haftung von Geschäftsführern, Vorständen und Aufsichtsräten. Wenn sie ihren Versicherern nicht nachweisen können, dass sie zumindest die Grundlagen erfüllt haben, dann können je nach Umständen sogar persönliche Haftungsfragen entstehen, die nicht abgedeckt sind.”23

Diesen Satz aufmerksam lesen. Die Präsidentin der obersten deutschen Cybersicherheitsbehörde erklärt öffentlich, dass die wichtigste Folge von NIS2 nicht BSI-Bußgelder sind, sondern die persönliche Exposition der Geschäftsleitung — und dass die D&O-Versicherung diese Lücke möglicherweise nicht deckt. Das ist kein Kommentar eines Kritikers der Führungskultur. Es ist die amtierende Regulierungsbehörde, die erklärt, wo das eigentliche Gewicht des neuen Regimes liegt. Jede Geschäftsleitung in Deutschland sollte diesen Satz zweimal lesen.

Die Zahl, auf die es ankommt: rund 30.000 Einrichtungen fallen nun in den deutschen NIS2-Rahmen — gegenüber rund 4.500 unter dem alten KRITIS-Regime.24 Mit dem Registrierungsstichtag 6. März 2026 verfügt die Behörde durch die BSI-Portaldaten erstmals über ein maßgebliches Bestandsregister, gegen das sie agieren kann. Die nächsten achtzehn Monate dürften die erste Welle verwaltungsrechtlicher Maßnahmen hervorbringen, die ersten Bußgelder nach § 65 BSIG, die ersten Schadensersatzklagen nach § 38 Absatz 2 — und, in Sachverhaltsmustern, die der Uber-Vertuschung ähneln, die ersten strafrechtlichen Ermittlungen.

Was dies für die Geschäftsleitung bedeutet

Es gibt eine einzige Disziplin, die gegen jede in diesem Artikel beschriebene Haftungsebene verteidigt — und sie ist keine technische Kontrolle. Es ist die Integrität der Informationen, die von der Sicherheitsfunktion an die Governance-Struktur fließen, und die Integrität der Reaktion der Governance-Struktur auf diese Informationen.25

Eine Geschäftsleitung, die ihre vierteljährlichen Cybersicherheits-Briefings dokumentiert, dem CISO direkte Fragen zum Restrisiko stellt, spezifische Ausnahmen schriftlich genehmigt und akzeptiert, ihre Schulungen plant und erhebliche Sicherheitsvorfälle innerhalb des 24-Stunden-Fensters meldet, hat das Risiko nicht beseitigt.26 Sie dürfte aber die staatsanwaltliche Beweisführung gegen einzelne Mitglieder strukturell schwerer aufzubauen machen. Die CSO-Verurteilung hing nicht am Sicherheitsvorfall. Sie hing am dokumentarischen Pfad der Vertuschung.

Das Spiegelbild gilt ebenso. Eine Geschäftsleitung, die ihre Briefings nicht dokumentiert, keine direkten Fragen stellt, schweigend abzeichnet und mehrdeutige Reaktionen auf erkannte Vorfälle autorisiert, dürfte die staatsanwaltliche Beweisführung für jeden künftigen Ermittler ohne die Mithilfe eines Angreifers selbst zusammenstellen.

Der Schlussakkord

Die Aufgabe des CISO im Jahr 2026 ist schwieriger als 2016. Die Aufgabe der Geschäftsleitung wurde grundlegend neu gestaltet.27 Artikel 20 ist keine neue Papierarbeit. Er ist die rechtliche Architektur, unter der europäische Führungskräfte nun persönlich verantwortlich sind für das, was ihre Organisation tut — und nicht tut —, wenn ein Sicherheitsvorfall erkannt wird.

Die meisten Regulierungen machen Unternehmen vorsichtiger in ihrem Handeln.

NIS2 macht Einzelpersonen vorsichtiger.

Der CSO bekam Bewährung. Der Richter, der ihn verurteilte, sagte, dass der nächste Angeklagte das nicht bekommen würde.28

Dr. Sait Yalazay PhD / LLM / MBA

CISO — DPO — Author

CISM — CIPP — AAISM — LA 27001, 27701, 22301, 42001

Architekt automatisierter Compliance-Systeme für NIS2, GDPR, ISMS, BCM, DORA, TISAX & AI Act, NATO Cyber Security Framework

Sein Buch From Directive to Done: The 10-Step NIS2 Implementation Playbook ist im Druck. Folgen Sie ihm für Updates.

NIS2Suite — operative Compliance-Software, gebaut für echte Audits — cyberwerksuite.com

  1. United States v. Sullivan, US District Court for the Northern District of California, Jury-Urteil 5. Oktober 2022. Zwei Bundesverbrechen: 18 U.S.C. § 1505 (Behinderung von Verfahren vor Behörden, Agenturen und Ausschüssen) und 18 U.S.C. § 4 (Nichtanzeige einer Straftat — misprision of a felony). § 1505 verbatim: “Whoever corruptly, or by threats or force, or by any threatening letter or communication influences, obstructs, or impedes or endeavors to influence, obstruct, or impede the due and proper administration of the law under which any pending proceeding is being had before any department or agency of the United States… shall be fined under this title, imprisoned not more than 5 years…” § 4 verbatim: “Whoever, having knowledge of the actual commission of a felony cognizable by a court of the United States, conceals and does not as soon as possible make known the same to some judge or other person in civil or military authority under the United States, shall be fined under this title or imprisoned not more than three years, or both.” Online: 18 USC § 1505 — Cornell LII | 18 USC § 4 — Cornell LII | FindLaw § 1505

  2. Richtlinie (EU) 2022/2555 (NIS2). Artikel 20 Absatz 1 verbatim: “Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die in Artikel 21 erwähnten Risikomanagementmaßnahmen, die diese Einrichtungen ergreifen, billigen, ihre Umsetzung überwachen und für Verstöße der Einrichtungen gegen Artikel 21 zur Verantwortung gezogen werden können.” Artikel 32 Absatz 6 verbatim: “Die Mitgliedstaaten stellen sicher, dass jede natürliche Person, die für eine wesentliche Einrichtung verantwortlich ist oder als deren gesetzlicher Vertreter handelt…, über die Befugnis verfügt, sicherzustellen, dass die Einrichtung dieser Richtlinie nachkommt. Die Mitgliedstaaten stellen sicher, dass solche natürlichen Personen für die Verletzung ihrer Pflichten zur Sicherstellung der Einhaltung dieser Richtlinie zur Verantwortung gezogen werden können.” Online: EUR-Lex NIS2

  3. United States v. Sullivan, ND California, Anklageschrift Case No. 20-cr-00337 — eingereicht 3. September 2020 (vorher als Strafanzeige am 20. August 2020), erweiterte Anklageschrift vom 21. Dezember 2021. Datum des Sicherheitsvorfalls: 14. November 2016, zehn Tage nach der eidesstattlichen Aussage vor der Federal Trade Commission am 4. November 2016. Online: DOJ-Pressemitteilung | CourtListener Akte 3:20-cr-00337

  4. U.S. Department of Justice, Pressemitteilung „Former Uber Chief Security Officer Charged With Paying ‘Hush Money’ to Conceal Massive Breach”, 20. August 2020. Auszahlung von 100.000 USD in Bitcoin über das Bug-Bounty-Programm von Uber an die Hacker Brandon Glover und Vasile Mereacre. Geheimhaltungsvereinbarungen, die das Vorgehen fälschlich als „authorized security research” charakterisierten. Online: DOJ-Pressemitteilung (Anklage)

  5. U.S. Department of Justice, Pressemitteilung „Former Chief Security Officer Of Uber Convicted Of Federal Charges For Covering Up Data Breach Involving Millions Of Uber User Records”, 5. Oktober 2022. Vierwöchiger Prozess; Schuldsprüche wegen Behinderung von FTC-Verfahren (§ 1505) und Nichtanzeige einer Straftat (§ 4). Online: DOJ-Pressemitteilung (Verurteilung)

  6. Strafmaß-Verkündung 4. Mai 2023, US District Court for the Northern District of California (Richter William H. Orrick III). Strafmaß: drei Jahre Bewährung, 200 Stunden gemeinnütziger Arbeit, Geldstrafe in Höhe von 50.000 USD. Die Staatsanwaltschaft hatte 15 Monate Haft beantragt; das Gericht lehnte dies unter Verweis auf 186 Unterstützungsschreiben ab. Höchststrafe: 8 Jahre. Online: Bank Info Security | Axios | QZ | CSO Online

  7. Bemerkungen von Richter William H. Orrick III bei der Strafmaß-Verkündung, US District Court for the Northern District of California, 4. Mai 2023. Im Gerichtssaal berichtet: “If I have a similar case tomorrow, even if the defendant had the character of Pope Francis, they would be looking at jail time.” Sources: Axios, QZ, CSO Online, Dark Reading, Bank Info Security. Online: Axios | QZ | CSO Online | Dark Reading | Bank Info Security

  8. United States v. Sullivan, 131 F.4th 776 (9th Cir. 2025), No. 23-927. Entscheidung verkündet 13. März 2025. Die Kammer wies Sullivans Berufung gegen Schuld und Strafmaß zurück. Bemerkenswertes Holding der Kammer: rechtswidriges Verhalten kann nicht durch eine Geheimhaltungsvereinbarung „reingewaschen” werden. Online: FindLaw caselaw | Casemine | CourtListener Akte

  9. NIS2 Artikel 23 Absatz 1 und Absatz 4 Buchstabe a (Meldepflichten). Artikel 23 Absatz 1 verbatim: “Die Mitgliedstaaten stellen sicher, dass wesentliche und wichtige Einrichtungen ihrem CSIRT oder gegebenenfalls ihrer zuständigen Behörde gemäß Absatz 4 unverzüglich jeden Sicherheitsvorfall melden, der erhebliche Auswirkungen auf die Erbringung ihrer Dienste im Sinne von Absatz 3 hat (erheblicher Sicherheitsvorfall).” Artikel 23 Absatz 4 Buchstabe a verbatim: “unverzüglich, in jedem Fall jedoch innerhalb von 24 Stunden nach Kenntniserlangung von dem erheblichen Sicherheitsvorfall, eine Frühwarnung, die gegebenenfalls auch Angaben dazu enthält, ob der erhebliche Sicherheitsvorfall auf rechtswidrigen oder böswilligen Handlungen beruhen könnte oder grenzüberschreitende Auswirkungen haben könnte.” Im deutschen Recht umgesetzt durch § 32 BSIG (n.F.) im Rahmen des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), in Kraft seit 6. Dezember 2025. Online: EUR-Lex NIS2 | § 32 BSIG

  10. Verbatim § 263 Absatz 3 StGB (besonders schwere Fälle): „In besonders schweren Fällen ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren.” Bei der Erfüllung des Grundtatbestands § 263 Absatz 1 in Verbindung mit dem qualifizierten § 263 Absatz 3 ergibt sich der maximale Strafrahmen von zehn Jahren. § 32 BSIG (24-Stunden-Frühwarnung; 72-Stunden-Meldung; Abschlussmeldung innerhalb eines Monats); § 65 BSIG (Bußgelder — bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen). Online: § 263 StGB | § 32 BSIG | § 65 BSIG

  11. SEC v. SolarWinds Corp. and Timothy G. Brown, US District Court for the Southern District of New York, Case No. 1:23-cv-09518. SEC-Anklage erhoben am 30. Oktober 2023 wegen Wertpapierbetrugs (Securities Act § 17(a), Exchange Act § 10(b)) und Versagens interner Kontrollen. SUNBURST: Bedrohungsakteur drang im September 2019 ein; schadhafte Updates ab März 2020 verteilt; Auswirkung auf rund 18.000 Organisationen einschließlich mehrerer US-Bundesbehörden. Online: SEC-Pressemitteilung 2023-227 | CourtListener SDNY 1:23-cv-09518

  12. SEC-Klageschrift, Absätze zur internen Beurteilung von Brown vor dem Vorfall: das Sicherheitsprogramm sei “in a very vulnerable state regarding its security”; öffentliche Mitteilungen an Investoren beschrieben gleichzeitig eine reife Sicherheitslage. Diese Diskrepanz war die Grundlage der SEC-Theorie der persönlichen Haftung. Online: SEC-Klageschrift PDF

  13. SEC v. SolarWinds Corp. and Timothy G. Brown. Richter Paul A. Engelmayer (SDNY) wies am 18. Juli 2024 die meisten Klagepunkte ab; verbleibende Klagepunkte mit Wirkung res iudicata (with prejudice) zurückgewiesen 20. November 2025. Der Fall endete ohne persönliche Sanktionen gegen Brown. Online: Perkins Coie Analyse | Harvard Corp Gov | CourtListener Akte

  14. NIS2-Richtlinie, Artikel 20 Absatz 1 verbatim: “Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die in Artikel 21 erwähnten Risikomanagementmaßnahmen, die diese Einrichtungen ergreifen, billigen, ihre Umsetzung überwachen und für Verstöße der Einrichtungen gegen Artikel 21 zur Verantwortung gezogen werden können.” Online: EUR-Lex NIS2

  15. § 38 BSIG (n.F.) — Umsetzungs-, Überwachungs- und Schulungspflichten der Geschäftsleitung sowie Schadensersatzhaftung. Verbatim Gesetzestext: „(1) Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen. (2) Geschäftsleitungen, die ihre Pflichten nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Nach diesem Gesetz haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung nach Satz 1 enthalten. (3) Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, regelmäßig an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Cybersicherheit zu erlangen.” Hinweis: Frühere Entwürfe enthielten ein vertragliches Haftungsverzichtsverbot, das im parlamentarischen Verfahren gestrichen wurde (siehe DQS- und Morrison-Foerster-Anmerkungen, Dezember 2025). § 38 Absatz 1 verlangt nach dem endgültigen Gesetzestext „umsetzen und ihre Umsetzung überwachen” — nicht bloß „billigen”. Online: § 38 BSIG offizieller Text | Morrison Foerster Analyse | DQS

  16. NIS2-Richtlinie, Artikel 32 Absatz 5 Buchstabe b. Befugnis der zuständigen Behörden, in besonders schweren Fällen bei besonders wichtigen Einrichtungen einer natürlichen Person auf Ebene des CEO oder gesetzlichen Vertreters die Ausübung von Leitungsfunktionen in dieser Einrichtung vorübergehend zu untersagen. Gilt ausschließlich für besonders wichtige Einrichtungen; das parallele Regime nach Artikel 33 für wichtige Einrichtungen sieht diese Maßnahme nicht vor. Online: EUR-Lex NIS2

  17. NIS2-Richtlinie, Artikel 32 Absatz 6. Verpflichtung der Mitgliedstaaten, sicherzustellen, dass jede natürliche Person, die für eine besonders wichtige Einrichtung verantwortlich ist oder als deren gesetzlicher Vertreter handelt, befugt ist, die Einhaltung der Richtlinie sicherzustellen, und für Verletzungen dieser Pflichten zur Verantwortung gezogen werden kann. Online: EUR-Lex NIS2

  18. Strafgesetzbuch (StGB) — Verbatim Gesetzestext der einschlägigen Tatbestände. § 263 Absatz 1 (Betrug): „Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er durch Vorspiegelung falscher oder durch Entstellung oder Unterdrückung wahrer Tatsachen einen Irrtum erregt oder unterhält, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.” § 263 Absatz 3 (besonders schwere Fälle): „In besonders schweren Fällen ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren.” § 269 Absatz 1 (Fälschung beweiserheblicher Daten): „Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, daß bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.” § 274 Absatz 1 (Urkundenunterdrückung): „Mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe wird bestraft, wer eine Urkunde oder eine technische Aufzeichnung, welche ihm entweder überhaupt nicht oder nicht ausschließlich gehört, in der Absicht, einem anderen Nachteil zuzufügen, vernichtet, beschädigt oder unterdrückt.” Online: § 263 StGB | § 269 StGB | § 274 StGB

  19. Ransomware-Angriff auf das Universitätsklinikum Düsseldorf (UKD), 10. September 2020. Etwa 30 Server wurden mit der DoppelPaymer-Ransomware-Variante verschlüsselt. Die Notaufnahme wurde abgemeldet; eine Patientin in lebensbedrohlichem Zustand wurde an ein Krankenhaus in Wuppertal weitergeleitet, etwa 32 km entfernt; die Behandlung begann etwa eine Stunde später, als sie am UKD begonnen hätte. Die Patientin verstarb. Vielfach als der erste Ransomware-Angriff auf ein Krankenhaus berichtet, dem ein Patiententod folgte. Online: Healthcare IT News | Computer Weekly | BleepingComputer | PMC / NIH-Archiv

  20. Verwendete Schwachstelle: Citrix CVE-2019-19781 — Directory-Traversal-Schwachstelle in Citrix ADC, Gateway und SD-WAN WANOP. Öffentlich offengelegt im Dezember 2019; Patches verfügbar ab Januar 2020. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte im Januar 2020 eine offizielle Cyber-Sicherheitswarnung zur Schwachstelle. Verbatim-Zitat des damaligen BSI-Präsidenten Arne Schönbohm (September 2020): „Wir haben bereits im Januar vor der Schwachstelle gewarnt und auf die Folgen ihrer Ausnutzung hingewiesen. Angreifer verschaffen sich Zugang zu internen Netzwerken und Systemen und können diese Monate später lahmlegen. Ich kann nur dringend dazu raten, solche Warnungen nicht zu ignorieren oder aufzuschieben.” Online: NVD CVE-2019-19781 | BSI Cyber-Sicherheitswarnung (Januar 2020) | Computer Weekly (Schönbohm-Zitat)

  21. Die Staatsanwaltschaft Köln leitete ein vorgerichtliches Ermittlungsverfahren gegen die unbekannten Ransomware-Akteure wegen des Verdachts der fahrlässigen Tötung gemäß § 222 StGB ein, nachdem die Patientin verstorben war. Das Verfahren wurde später ohne Anklageerhebung eingestellt, da unmittelbare Kausalität zwischen der Ransomware und dem Tod angesichts der zugrunde liegenden kritischen Gesundheitslage der Patientin nicht zur Anklagereife nachgewiesen werden konnte. Die Existenz der Ermittlung — nicht ihr Ausgang — markiert den ersten Fall in Europa, in dem ein Ransomware-Angriff eine Tötungsdelikt-Ermittlung auslöste. Online: Healthcare IT News | BleepingComputer / AP-Bericht | PMC / NIH-Archiv

  22. Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Interview mit heise online, 6. Januar 2026 — anlässlich des Inkrafttretens des NIS2UmsuCG am 6. Dezember 2025 und der Eröffnung des BSI-Meldeportals. Vollständiges Zitat verbatim: „NIS2 ist trotz des Regierungswechsels vergleichsweise schnell umgesetzt worden, und wir sind bereit. Von uns aus kann es losgehen.” Online: heise online — Plattner-Interview

  23. Claudia Plattner, BSI-Präsidentin, Interview mit heise online, 6. Januar 2026 — vollständiges Zitat zur D&O-Versicherung verbatim: „Der große Hebel sind nicht wir. Der große Hebel ist die Haftung von Geschäftsführern, Vorständen und Aufsichtsräten. Wenn sie ihren Versicherern nicht nachweisen können, dass sie zumindest die Grundlagen erfüllt haben, dann können je nach Umständen sogar persönliche Haftungsfragen entstehen, die nicht abgedeckt sind.” Online: heise online — Plattner-Interview, 6. Januar 2026

  24. Bundesamt für Sicherheit in der Informationstechnik (BSI), NIS2-Meldeportal. Geltungsumfang in Deutschland nach Inkrafttreten des NIS2UmsuCG: rund 30.000 wesentliche und wichtige Einrichtungen — gegenüber rund 4.500 unter dem alten KRITIS-Regime. Registrierungsstichtag bei Inkrafttreten: 6. März 2026. Online: BSI NIS2-Portal

  25. BSI-Positionspapier vom Oktober 2025 zum NIS2UmsuCG — Forderungen nach erweiterten technischen Befugnissen für Resilienz-Scans, Command-and-Control-Tracking und direkte Warnungen an Einrichtungen. Online: heise online — Berichterstattung BSI-Positionspapier

  26. Strafmaß-Bemerkungen, Richter William H. Orrick III, United States v. Sullivan, ND California, 4. Mai 2023. Online: Axios | CSO Online

  27. NIS2-Richtlinie Artikel 20 verbatim — Absatz 1: „Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane… die… Risikomanagementmaßnahmen… billigen, ihre Umsetzung überwachen und für Verstöße der Einrichtungen gegen Artikel 21 zur Verantwortung gezogen werden können.” Absatz 2: „Die Mitgliedstaaten stellen sicher, dass Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen verpflichtet sind, an Schulungen teilzunehmen, und sie verlangen den wesentlichen und wichtigen Einrichtungen, ihrem Personal regelmäßig vergleichbare Schulungen anzubieten…” Online: EUR-Lex NIS2 | § 38 BSIG

  28. Strafmaß-Bemerkungen, Richter William H. Orrick III, United States v. Sullivan, ND California, 4. Mai 2023. Online: Axios | QZ | CSO Online