CWS
CyberWerkSuite
← Zurück zum Blog
NIS2BSIGNIS2UmsuCGCybersicherheitGeschäftsleitungComplianceISMSDACH

NIS2 ist keine weitere Vorschrift. Sie entscheidet, wer nach einem Sicherheitsvorfall den Posten verliert.

Wie NIS2 die Verantwortung für Cybersicherheits-Governance von der organisationalen zur persönlichen Haftung verschiebt — und was Artikel 20, §38 BSIG und das deutsche NIS2UmsuCG für die Geschäftsleitung wesentlicher und wichtiger Einrichtungen bedeuten.

DS
Dr. Sait Yalazay, PhD / LLM / MBA
CISO — DPO — Author | CISM — CIPP — AAISM — LA 27001, 27701, 22301, 42001
Architekt automatisierter Compliance-Systeme für NIS2, DSGVO, ISMS, BCM, DORA, Tisax, AI Act & NATO Cyber Security Framework

Veröffentlicht am 6. Mai 2026

Die meisten Vorschriften erzeugen Papier. NIS2 erzeugt Konsequenzen.

Das ist kein subtiler Unterschied. Das ist der ganze Sinn der Sache.

Was alle bei NIS2 falsch verstehen

Wenn eine neue Richtlinie kommt, machen Organisationen das, was sie immer machen. Sie schieben die Sache an Compliance. Sie planen einen Workshop. Und dann gehen sie zur Tagesordnung über.

So sind Organisationen mit der DSGVO umgegangen. So sind sie mit NIS1 umgegangen. Und so gehen die meisten Organisationen gerade jetzt mit NIS2 um.

Das Problem ist: NIS2 wurde gezielt so konzipiert, dass dieser Reflex nicht mehr funktioniert.

Die Verfasser von NIS2 haben sich die Vorgängerrichtlinie — NIS1, in Kraft seit 2016 — angesehen und das Ergebnis nüchtern bewertet.1 Organisationen haben das Minimum umgesetzt. Aufsichtsbehörden hatten begrenzte Durchsetzungsinstrumente. Vorfälle passierten trotzdem.2 Dieselben strukturellen Schwächen tauchten in Audit nach Audit über alle EU-Mitgliedstaaten hinweg auf.3

Also wurde die Richtlinie neu geschrieben. Und diesmal hat man etwas anderes gemacht.

Man hat sie persönlich gemacht.

Die Haftungsverschiebung, über die niemand spricht

Artikel 20 NIS2 tut etwas, was bisher keine Cybersicherheitsregulierung in Europa in dieser Reichweite getan hat.4 Er weist die rechtliche Verantwortung für Cybersicherheits-Governance direkt der Geschäftsleitung zu.

Nicht dem CISO. Nicht der IT. Nicht dem Compliance-Team.

Dem Vorstand. Den Führungskräften. Den Personen, die in diesen Stühlen sitzen und diese Entscheidungen unterzeichnen.

Das ist die Verschiebung. Von organisationaler Verantwortung zur persönlichen Haftung.

Artikel 20 Absatz 1 NIS2 ist präzise: Die Leitungsorgane wesentlicher und wichtiger Einrichtungen müssen die Cybersicherheits-Risikomanagementmaßnahmen genehmigen, deren Umsetzung überwachen und — wörtlich nach der Richtlinie — “können für Verstöße der Einrichtungen gegen diesen Artikel haftbar gemacht werden.”5

Deutschland ist bereits weiter gegangen, als die Richtlinie verlangt. Das NIS2-Umsetzungsgesetz — das NIS2UmsuCG — und das novellierte BSIG6 schaffen einen Rahmen, in dem Aufsichtsbehörden gegen natürliche Personen vorgehen können, nicht nur gegen juristische Personen.7 In dem Bußgelder nicht an der Bilanzgrenze des Unternehmens enden. In dem die Person, die Cybersicherheit an die IT delegiert hat, weil das “zu technisch” sei, sich plötzlich namentlich in einem Durchsetzungsverfahren wiederfinden kann.8

Diese Vorschriften gehen über den Mindestrahmen von NIS2 hinaus. Und sie sind neu. Die ersten Durchsetzungsverfahren nach §38 BSIG werden konkretisieren, wie Gerichte die Wendung “nicht beachtet” — also die Verletzung der Pflichten — auslegen. Die praktische Reichweite wird sich Fall für Fall entwickeln. Die Rechtsarchitektur ist jedoch in Kraft, und das BSI hat signalisiert, sie auch nutzen zu wollen.

Die Richtlinie ist klar darin, wann diese Haftung ausgelöst wird. Artikel 20 Absatz 1 verpflichtet die Mitgliedstaaten sicherzustellen, dass Mitglieder der Leitungsorgane “für Verstöße der Einrichtungen gegen diese Richtlinie haftbar gemacht werden können.” Nicht für einen erfolgreichen Angriff. Für einen Verstoß — also das Versäumnis, die Governance-Pflichten zu erfüllen, die die Richtlinie ihnen ausdrücklich zuweist. Erwägungsgrund 137 verstärkt dies: Aufsichtsbehörden “sollten die Möglichkeit haben, die Leitungsorgane wesentlicher und wichtiger Einrichtungen zur Verantwortung zu ziehen, wenn diese ihre Pflichten nicht erfüllt haben.” Das deutsche BSIG geht noch weiter. §38 BSIG n.F. begründet eine direkte persönliche Verantwortlichkeit, wenn die Geschäftsleitung die ihr zugewiesenen Cybersicherheitspflichten “nicht beachtet hat.”9 In den schwersten Durchsetzungsszenarien kann allein das Governance-Versagen — ohne erfolgreichen Angriff — ausreichen, um persönliche Haftung nach §38 BSIG auszulösen. Das ist die juristische Obergrenze. In der Praxis folgen die meisten Durchsetzungsverfahren auf einen Vorfall. Aber das Gesetz macht den leichteren Fall justiziabel — und genau das verändert die Rechnung in jedem Sitzungssaal.

Wenn Sie das hier lesen und nicht klar beantworten können, wer in Ihrer Organisation für NIS2 verantwortlich ist — dann haben Sie bereits ein Problem.

Für die meisten Führungskräfte ist das der Moment, in dem es im Raum still wird.

Eine kurze Geschichte über eine lange Sitzung

Was folgt, ist ein zusammengesetztes Szenario, das aus Auditmustern bei mehreren wesentlichen Einrichtungen in Deutschland abgeleitet wurde. Es beschreibt kein einzelnes Unternehmen.

Anfang 2024 erhielt ein mittelständisches Logistikunternehmen in Deutschland eine routinemäßige Anfrage seiner Sektoraufsichtsbehörde. Ein Standardfragebogen. Auf den ersten Blick nichts Beunruhigendes.

Der CISO bereitete die Antwort vor. Der Vorstand genehmigte sie, ohne sie zu lesen. Der Fragebogen wurde abgegeben. Alle gingen zur Tagesordnung über.

Sechs Monate später erlebte das Unternehmen einen Ransomware-Vorfall. Lkw blieben stehen. Lieferungen scheiterten. Kunden begannen anzurufen. Dann taten es die Behörden.

Kritische Transportkoordinationssysteme waren elf Tage offline. Kundendaten wurden exfiltriert. Der Vorfall überschritt jede Schwelle für eine Meldepflicht.

Die Meldung ging zu spät raus.10 Die nachgelagerte Untersuchung ergab, dass die im früheren Fragebogen beschriebene Governance-Struktur nicht mit der Realität übereinstimmte. Der Vorstand hatte ein Dokument genehmigt, in dem Kontrollen beschrieben waren, die nie umgesetzt worden waren. Die zitierten Schulungsnachweise existierten nicht. Die Geschäftsleitung hatte ein Programm freigegeben, das sie nie überwacht hatte.

Unter NIS1 erhielt das Unternehmen ein Bußgeld und einen Maßnahmenplan zur Abhilfe.

Unter NIS2 wäre das Gespräch ein anderes. Denn NIS2 stellt eine Frage, die NIS1 in dieser rechtlichen Schärfe nie gestellt hat: Wer hat das genehmigt — und was wusste diese Person tatsächlich?

Die Geschäftsleitung ist kein Stempel mehr. Sie ist ein rechtlich verantwortlicher Akteur.

Was sich tatsächlich geändert hat — und warum es diesmal anders ist

NIS2 hat den Anwendungsbereich dramatisch erweitert. Sie erfasst Sektoren, die NIS1 nie berührt hat — Lebensmittel, Verarbeitendes Gewerbe, Chemie, Abfallwirtschaft, Postdienste, öffentliche Verwaltung.11 Sie hat die Größenschwelle gesenkt und damit mittelständische Einrichtungen einbezogen, die zuvor keine sektorspezifischen Cybersicherheitspflichten hatten.12 Sie hat Artikel 21 eingeführt — zehn konkrete Sicherheitsmaßnahmen, die erfasste Einrichtungen umsetzen, überwachen und nachweisen müssen.13

Aber die Erweiterung des Anwendungsbereichs und die technischen Anforderungen sind nicht die strukturelle Verschiebung.

Die strukturelle Verschiebung ist die Governance-Verantwortlichkeit.

Unter NIS2 muss die Geschäftsleitung die Cybersicherheitsmaßnahmen genehmigen. Sie muss deren Umsetzung überwachen. Sie muss an Cybersicherheitsschulungen teilnehmen.14 Und wenn etwas schiefgeht — wenn ein Sicherheitsvorfall eintritt, eine Meldung versäumt wird, eine Kontrolle, die hätte existieren sollen, fehlt — dann lautet die Frage der Aufsichtsbehörden nicht: “Was haben Ihre Systeme getan?”

Sondern: “Was wusste Ihr Vorstand, wann wusste er es, und was hat er entschieden?”

Das ist eine grundsätzlich andere Frage. Eine, die Compliance-Frameworks, Gap-Analysen und Policy-Dokumente allein nicht beantworten können.

Die Organisation, an die sich diese Richtlinie wirklich richtet

NIS2 zielt nicht auf Organisationen, die bereits ein reifes Sicherheitsprogramm betreiben. Diese Organisationen werden Compliance als anspruchsvoll, aber machbar empfinden.

NIS2 zielt auf den Vorstand, der noch nie einen Sicherheitsbericht gesehen hat. Auf das Führungsteam, das Cybersicherheit als IT-Kostenstelle betrachtet. Auf die Geschäftsleitung, die die Jahrespräsentation des CISO abgenickt hat, ohne eine einzige Frage zu stellen, was irgendetwas davon eigentlich bedeutet.

Sie zielt auf die Organisation, in der die ehrliche Antwort auf “Wer war dafür verantwortlich?” — wenn morgen etwas schiefginge — lauten würde: Niemand im Besonderen.

NIS2 macht diese Antwort rechtlich unzulässig.

Die Kosten des alten Ansatzes

Die Richtlinie sieht maximale Bußgelder von 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für wesentliche Einrichtungen vor — und 7 Mio. € oder 1,4 % für wichtige Einrichtungen.15 Diese Zahlen werden häufig zitiert.

Aber die Bußgelder sind nicht die wichtigste Konsequenz.

Die wichtigste Konsequenz ist die aufsichtsrechtliche Prüfung — das Recht zuständiger Behörden, Vor-Ort-Inspektionen durchzuführen, Zugang zu Dokumentation zu verlangen, Mitglieder der Geschäftsleitung direkt zu befragen, verbindliche Anweisungen zu erteilen und Personen vorübergehend von der Ausübung von Leitungsfunktionen auszuschließen.16

Lesen Sie das noch einmal.

Denn an dieser Stelle hört NIS2 auf, eine Compliance-Übung zu sein.

Personen vorübergehend von der Ausübung von Leitungsfunktionen ausschließen.

Nicht das Unternehmen. Die Person.

Das ist die schärfste Sanktion unter NIS2 — und sie greift, ihrer Konzeption nach, nur bei wesentlichen Einrichtungen nach Artikel 32 Absatz 5 Buchstabe b. Für wichtige Einrichtungen sieht das Parallelregime in Artikel 33 diese Maßnahme nicht vor. Aber für Organisationen in Anhang-I-Sektoren — Gesundheit, Energie, Verkehr, Bankwesen, Trinkwasser, digitale Infrastruktur — ist diese Befugnis real, und sie liegt heute bei den nationalen Aufsichtsbehörden. Die meisten Durchsetzungsverfahren werden zunächst leichtere Mittel einsetzen: Verwarnungen, verbindliche Anweisungen, Bußgelder. Der Ausschluss ist die Obergrenze. Aber die Obergrenze existiert — und genau darauf muss sich heute jeder Vorstand einstellen.

Das ist es, was verändert, wer nach einem Vorfall den Posten verliert. Nicht weil die Organisation entscheidet, dass jemand gehen muss. Sondern weil eine Aufsichtsbehörde entscheidet, dass eine bestimmte Person ihre derzeitige Rolle nicht innehaben darf, solange ein Durchsetzungsverfahren läuft.17

Das ist neu. Das ist NIS2.

Die Frage, die Ihre Geschäftsleitung sich nicht leisten kann, falsch zu beantworten

NIS2 fragt nicht, ob Ihre Organisation Cybersicherheit ernst nimmt.

Sie fragt, ob die Personen an der Spitze das beweisen können.

Beweisen durch dokumentierte Entscheidungen. Durch Schulungsnachweise.14 Durch Governance-Strukturen, die vor dem Vorfall bestanden — nicht durch Strukturen, die als Reaktion darauf zusammengestellt wurden.18

Die Organisationen, die mit NIS2 am meisten kämpfen werden, sind nicht jene, denen Technologie fehlt. Es sind jene, in denen niemand im Sitzungssaal eine einzige konkrete Frage dazu beantworten kann, was ihr Cybersicherheitsprogramm tatsächlich tut.19

Diese Lücke ist kein Managementproblem mehr.

Sie ist eine Haftung. Und unter NIS2 hat sie einen Namen.20 21

  1. Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 (NIS1-Richtlinie), ABl. L 194 vom 19.7.2016, S. 1–30.

  2. Agentur der Europäischen Union für Cybersicherheit (ENISA), NIS Investments Report 2022, ENISA, Athen, 2022. Verfügbar unter: enisa.europa.eu/publications.

  3. Europäische Kommission, Vorschlag für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS2), COM(2020) 823 final, 16. Dezember 2020, Begründung, Abschnitt 1: Kontext des Vorschlags.

  4. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 (NIS2-Richtlinie), ABl. L 333 vom 27.12.2022, S. 80–152. Artikel 20: Governance.

  5. NIS2-Richtlinie, Artikel 20 Absatz 1: “Die Mitgliedstaaten stellen sicher, dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die von diesen Einrichtungen zur Einhaltung von Artikel 21 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für Verstöße der Einrichtungen gegen diesen Artikel haftbar gemacht werden können.”

  6. Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2UmsuCG). Verabschiedet vom Bundestag am 13. November 2025; gebilligt vom Bundesrat am 21. November 2025; veröffentlicht im Bundesgesetzblatt am 5. Dezember 2025; in Kraft getreten am 6. Dezember 2025 ohne Übergangsfrist. Das BSI-Registrierungsportal wurde am 6. Januar 2026 geöffnet; bei Inkrafttreten erfasste Einrichtungen mussten sich bis zum 6. März 2026 registrieren.

  7. §38 BSIG n.F. (Bundessicherheitsgesetz, neue Fassung): Verantwortung der Geschäftsleitung für Informationssicherheit. Die Vorschrift begründet eine direkte persönliche Verantwortlichkeit der Mitglieder der Geschäftsleitung wesentlicher und wichtiger Einrichtungen.

  8. NIS2-Richtlinie, Erwägungsgrund 127: “Damit die Durchsetzung wirksam ist, sollte ein Mindestkatalog an Durchsetzungsbefugnissen festgelegt werden, die für Verstöße gegen die in dieser Richtlinie vorgesehenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit und Berichtspflichten ausgeübt werden können […] Dabei sollten die Art, die Schwere und die Dauer des Verstoßes gegen diese Richtlinie, der verursachte materielle oder immaterielle Schaden sowie die Frage, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde, gebührend berücksichtigt werden.” ABl. L 333 vom 27.12.2022, S. 117.

  9. §38 BSIG n.F. (Bundessicherheitsgesetz, neue Fassung): Die Vorschrift regelt, dass die Geschäftsleitung wesentlicher Einrichtungen die Umsetzung von Cybersicherheits-Risikomanagementmaßnahmen sicherstellen und deren Einhaltung überprüfen muss. Hat die Geschäftsleitung diese Pflichten “nicht beachtet”, entsteht eine direkte persönliche Haftung der einzelnen Mitglieder nach den anwendbaren Vorschriften des deutschen Zivil- und Gesellschaftsrechts — unabhängig davon, ob ein Cybersicherheitsvorfall tatsächlich eingetreten ist.

  10. NIS2-Richtlinie, Artikel 23 Absatz 4 Buchstabe a: Wesentliche und wichtige Einrichtungen übermitteln dem CSIRT oder gegebenenfalls der zuständigen Behörde “unverzüglich, in jedem Fall aber innerhalb von 24 Stunden, nachdem sie Kenntnis von dem erheblichen Sicherheitsvorfall erlangt haben, eine Frühwarnung, in der gegebenenfalls anzugeben ist, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde oder grenzüberschreitende Auswirkungen haben könnte.” Die 24-Stunden-Frist beginnt mit dem Zeitpunkt der Kenntniserlangung; vollständige Informationen sind keine Voraussetzung.

  11. NIS2-Richtlinie, Anhänge I und II. Anhang I (Sektoren mit hoher Kritikalität) und Anhang II (sonstige kritische Sektoren) erfassen zusammen 18 Sektoren, gegenüber 7 nach NIS1-Richtlinie Anhang II.

  12. NIS2-Richtlinie, Artikel 2 Absatz 1: Die Richtlinie gilt für öffentliche oder private Einrichtungen einer in Anhang I oder II genannten Art, die als mittlere Unternehmen nach Artikel 2 des Anhangs der Empfehlung 2003/361/EG eingestuft werden.

  13. NIS2-Richtlinie, Artikel 21 Absatz 2 Buchstaben a–j: Zehn vorgeschriebene Kategorien von Sicherheitsmaßnahmen — Risikoanalyse, Vorfallbearbeitung, Aufrechterhaltung des Geschäftsbetriebs, Sicherheit der Lieferkette, Sicherheit bei Erwerb und Entwicklung, Bewertung der Wirksamkeit, Cyberhygiene, Kryptografie, Personalsicherheit, Zugriffskontrolle und Multi-Faktor-Authentifizierung.

  14. NIS2-Richtlinie, Artikel 20 Absatz 2: “Die Mitgliedstaaten stellen sicher, dass Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen verpflichtet sind, an Schulungen teilzunehmen, und ermutigen wesentliche und wichtige Einrichtungen, ihren Mitarbeitern regelmäßig vergleichbare Schulungen anzubieten.” 2

  15. NIS2-Richtlinie, Artikel 34 Absatz 4 (wesentliche Einrichtungen) und Artikel 34 Absatz 5 (wichtige Einrichtungen). Artikel 34 Absatz 4: Wesentliche Einrichtungen sind mit Geldbußen von höchstens mindestens 10 000 000 EUR oder höchstens mindestens 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens, dem die wesentliche Einrichtung angehört, im vorangegangenen Geschäftsjahr zu belegen, je nachdem, welcher Betrag höher ist. Artikel 34 Absatz 5: Wichtige Einrichtungen sind mit Geldbußen von höchstens mindestens 7 000 000 EUR oder höchstens mindestens 1,4 % des gesamten weltweiten Jahresumsatzes zu belegen, je nachdem, welcher Betrag höher ist.

  16. NIS2-Richtlinie, Artikel 32 Absatz 2 (Aufsichtsbefugnisse gegenüber wesentlichen Einrichtungen): Vor-Ort-Inspektionen und externe Aufsicht, regelmäßige und gezielte Sicherheitsaudits durch eine unabhängige Stelle oder die zuständige Behörde, Ad-hoc-Audits bei begründetem Anlass nach einem erheblichen Sicherheitsvorfall oder Verstoß, Sicherheitsscans, Auskunftsersuchen zur Bewertung der Risikomanagementmaßnahmen sowie Anforderung von Umsetzungsnachweisen. Artikel 32 Absatz 4 sieht die entsprechenden Durchsetzungsbefugnisse vor (Verwarnungen, verbindliche Anweisungen, Überwachungsbeauftragte, Geldbußen nach Artikel 34); Artikel 32 Absatz 5 Buchstabe b sieht den vorübergehenden Ausschluss natürlicher Personen auf CEO- oder Vertretungsebene vor. Die Befugnis zum vorübergehenden Ausschluss gilt für wesentliche Einrichtungen nach Artikel 32; das Parallelregime für wichtige Einrichtungen nach Artikel 33 enthält diese Maßnahme nicht.

  17. NIS2-Richtlinie, Artikel 32 Absatz 5: “Die Mitgliedstaaten stellen sicher, dass die zuständigen Behörden, wenn sie feststellen, dass eine wesentliche Einrichtung gegen diese Richtlinie verstoßen hat, […] verlangen können, dass jede Person, die Leitungsaufgaben auf der Ebene des Geschäftsführers oder des gesetzlichen Vertreters in dieser wesentlichen Einrichtung wahrnimmt, vorübergehend daran gehindert wird, Leitungsfunktionen in dieser Einrichtung auszuüben.”

  18. ENISA, Guidelines on Assurance Frameworks for Security Operations Centres, ENISA, 2023. Abschnitt 4: Governance- und Verantwortungsstrukturen im Cybersicherheitsprogramm-Management.

  19. Bundesamt für Sicherheit in der Informationstechnik (BSI), Lagebericht zur IT-Sicherheit in Deutschland 2023. BSI, Bonn, 2023. Der Bericht identifiziert Lücken in der Verantwortlichkeit der Geschäftsleitung als einen wesentlichen Treiber systemischen Cybersicherheitsversagens in deutschen Organisationen.

  20. NIS2-Richtlinie, Artikel 32 Absatz 5 und Erwägungsgrund 127: Der Rahmen der persönlichen Haftung ist darauf ausgelegt, dass namentlich benannte Personen — der gesetzliche Vertreter oder der CEO der verstoßenden Einrichtung — die Verantwortung für Governance-Versagen tragen.

  21. NIS2-Richtlinie, Artikel 32 Absatz 6: “Die Mitgliedstaaten stellen sicher, dass jede natürliche Person, die für eine wesentliche Einrichtung verantwortlich ist oder als deren gesetzlicher Vertreter aufgrund der Befugnis zu deren Vertretung, der Befugnis, in deren Namen Entscheidungen zu treffen, oder der Befugnis, deren Kontrolle auszuüben, handelt, befugt ist, deren Einhaltung dieser Richtlinie sicherzustellen. Die Mitgliedstaaten stellen sicher, dass diese natürlichen Personen für die Verletzung ihrer Pflichten zur Sicherstellung der Einhaltung dieser Richtlinie haftbar gemacht werden können.”