NIS2 und Haftungsrisiken – Klarheit schaffen

NIS2 und Haftungsrisiken – Klarheit schaffen

Mit der NIS2-Richtlinie rückt ein Aspekt besonders in den Fokus, der in vielen Unternehmen bisher unterschätzt wurde: die persönliche Haftung von Führungskräften. Während Cybersicherheit früher zu oft als „IT-Thema“ betrachtet wurde, macht NIS2 unmissverständlich klar: Die Verantwortung liegt an der Spitze – und sie lässt sich nicht delegieren. Das verändert Entscheidungswege, Prioritäten und auch die Art, wie über Risiken gesprochen wird.

Im Kern verpflichtet NIS2 Unternehmensleitungen, angemessene (und nachweisbar wirksame) Sicherheits- und Risikomanagementmaßnahmen zu etablieren, deren Umsetzung zu überwachen und ausreichende Ressourcen bereitzustellen. Unterbleibt dies, drohen nicht nur Unternehmenssanktionen, sondern auch persönliche Konsequenzen – zivilrechtlich, aufsichtsrechtlich und in Extremfällen strafrechtlich. Dieser Beitrag erklärt den rechtlichen Rahmen, typische Haftungsfallen, praxisnahe Schutzmechanismen und liefert konkrete Vorlagen, wie Leitungsgremien ihre Sorgfaltspflichten geordnet wahrnehmen und belegen können.

Der rechtliche Rahmen: NIS2 verankert Governance-Pflichten auf Vorstandsebene

NIS2 ist nicht nur Technikregulierung, sondern eine Governance-Richtlinie. Sie schreibt fest, dass die Leitungsebene (Geschäftsführung, Vorstand, in beaufsichtigten Unternehmen oft auch Aufsichts-/Verwaltungsrat) verpflichtet ist,

• eine Sicherheitsstrategie und ein Risikomanagement zu genehmigen, zu überwachen und regelmäßig zu überprüfen,
• Meldepflichten einzuhalten (kurze Reaktionsfenster, formale Inhalte),
• die Wirksamkeit der Maßnahmen zu bewerten (Tests, Audits) und
• Ressourcen (Budget, Personal, Zeit) zuzuweisen.

Zugleich verankert NIS2 das Proportionalitätsprinzip: Anforderungen müssen der Kritikalität des Dienstes und dem Risiko entsprechen. Proportionalität entbindet jedoch nicht von Kernpflichten wie Incident-Handling, Patch-/Vulnerability-Management, Sicherung der Lieferkette, Backups/BCM oder Zugriffskontrollen. Wer „Proportionalität“ als Freibrief zum Weglassen versteht, begibt sich haftungsrechtlich auf dünnes Eis.

Bußgelder, Maßnahmen, persönliche Folgen: der Sanktionscharakter in der Praxis

Die Sanktionsmechanismen sind scharf gestellt:

• Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen.
• Bis zu 7 Mio. € oder 1,4 % für wichtige Einrichtungen.

Neben Unternehmensbußen kommen persönliche Haftungsansprüche in Betracht, etwa aus Organhaftung (unterlassene sorgfältige Geschäftsführung), Regressforderungen von Gesellschaftern, vertragliche Schadensersatzansprüche von Kunden/Partnern oder aufsichtsrechtliche Maßnahmen gegenüber einzelnen Verantwortlichen. D&O-Versicherungen können das finanzielle Risiko abfedern – typischerweise nicht bei Vorsatz oder grober Fahrlässigkeit und nicht bei reinen Verwaltungsbußen. Es bleibt also essenziell, die Sorgfaltspflichten zu erfüllen und das belegen zu können.

Haftungsrisiken greifbar gemacht: vier typische Szenarien

1. Unterlassene Umsetzung
   Die Betroffenheit ist klar, aber die Umsetzung stockt. Es fehlen Incident-Playbooks, Wiederanlaufproben, Lieferantenkontrollen. Tritt ein Vorfall ein, gilt das als Pflichtverletzung – auch wenn „schon etwas in Arbeit war“. Entscheidend ist der Wirksamkeitsstatus, nicht der Projektplan.
2. Unzureichendes Risikomanagement
   Risikoanalysen sind veraltet, neue Angriffsflächen (Cloud-Dienste, OT/ICS, SaaS) fehlen in der Bewertung. Ein Angriff über eine ungeprüfte Drittanbieter-Integration führt zu Ausfall/Datenabfluss. Der Vorwurf: fehlende Aktualisierung und unzureichende Kontrollen.
3. Versäumnisse bei Meldepflichten
   Ein Incident wird zu spät klassifiziert und verspätet gemeldet. Auch bei begrenztem Schaden drohen sanktionsbewehrte Formfehler. Meldepflichten sind Form- und Fristvorschriften, die organisatorisch geübt sein müssen.
4. Mangelnde Überwachung von Delegation
   Aufgaben sind delegiert, aber ohne wirksame Kontrolle (KPIs, Reviews, Audit-Feststellungen ohne Nachverfolgung). NIS2 verlangt Leitungsaufsicht – Delegation ist erlaubt, Entpflichtung ist sie nicht.

Die Rolle der Geschäftsführung: aktive Steuerung statt nachträglicher Abzeichnung

Wirksam handeln heißt: Beteiligen, beauftragen, prüfen – und dokumentieren. Dazu gehören insbesondere:

• Regelmäßige Lageberichte (quartalsweise auf C-Level): Risiken, Maßnahmen, Kennzahlen, offene Punkte, Entscheidungen.
• Budget- und Prioritätsentscheidungen: identifizierte „Top-5“-Gaps (z. B. MFA-Lücken, fehlende Restore-Tests) mit Fristen und Verantwortlichen priorisieren.
• Training des Managements: NIS2-Pflichten, Meldeprozesse, Krisenkommunikation. Führungskräfte müssen wissen, wann sie handeln.
• Genehmigte Incident-Response-Strategie: Playbooks, Kontaktketten, Eskalationsstufen, Freigaben, Behörden- und Kundenkommunikation – geübt.
• Nachweisführung: Jede zentrale Entscheidung kurz protokollieren (Beschluss, Gründe, Alternativen, Frist, Kontrolle).

Business Judgment Rule (sorgfältiges, informierte Entscheidung) wirkt nur, wenn der Entscheidungsprozess nachvollziehbar ist. „Wir dachten, die IT macht das“ trägt nicht.

Organhaftung verstehen: Was die Sorgfaltspflicht konkret verlangt

Die Sorgfaltspflicht verlangt angemessene Organisation und Überwachung. In Cybersicherheit heißt das:

• Zielklarheit: Was ist Schutzobjekt (Daten, Services), was ist Risikoappetit?
• Rollen & Verantwortlichkeiten: CISO, CIO, Risk, Compliance, Interne Revision – mit RACI je Kernprozess.
• Kontrollsystem: Policies, Prozesse, Kontrollen, Kennzahlen, Tests.
• Wirksamkeit: Sind Kontrollen in Betrieb und wirksam (Evidenzen)?
• Nachsteuerung: Werden Findings, KPIs, Audits mit Terminen und Verantwortlichen abgearbeitet?

Fehlt eines dieser Elemente, ist die Organpflicht lückenhaft – und damit potentiell haftungsauslösend.

Typische Fallstricke – und wie man sie vermeidet

• Projekte statt Betrieb: Einmalige „NIS2-Projekte“ ohne Übergang in Regelprozesse (PDCA, Reviews, Übungen). Lösung: Kalender, Owner, Zyklus festlegen.
• Schönwetter-Governance: Policies ohne gelebte Routinen (Patch-Board, Restore-Tests, Lieferanten-Assurance). Lösung: Routinen schriftlich einführen, Ergebnisse tracken.
• Lieferkettenblindheit: Fragebögen ohne Evidenzen, keine anlassbezogenen Re-Checks (M&A, Zertifikatsverlust). Lösung: Assurance-Mix (ISO/SOC/ISAE, Stichproben-Audits, Trigger).
• Meldeprozesse nur auf Papier: Keine Triage-Kriterien, unklare Freigaben, keine Übung. Lösung: Tabletop-Drills mit Stoppuhr, danach Lessons Learned.
• Kein Exit-Plan: Kritische Services ohne Portabilität – Abhängigkeit wird zum Haftungsrisiko. Lösung: Exit-/Portabilitätsklauseln und Dry-Runs.
• KPIs ohne Wirkung: Es wird gemessen, aber nicht entschieden. Lösung: Schwellenwerte und konkrete Maßnahmen bei Rot/Orange.

Schutzmechanismen: Was Leitungsgremien konkret tun sollten

1) Governance festschreiben
Verankern Sie in einer „Cyber Oversight Charter“ die Rolle des Leitungsgremiums: Sitzungsrhythmus, Berichtsinhalte, Entscheidungsrechte, Eskalationswege, Schwellen für Sonderberatungen (z. B. CVE-Kritikalität, Ausfallzeiten, Datenabfluss).

2) RACI je Kernprozess
Für Incident-Response, Meldungen, Patch-/Vulnerability-Management, Backups/BCM, Zugriffsmanagement, Lieferantensteuerung, Change-Management, Monitoring. RACI verhindert Zuständigkeitslücken.

3) KPI-/KRI-Set
Wenige, aussagekräftige Kennzahlen mit Trends und Zielwerten: MFA-Abdeckung, Patch-SLA-Erfüllung (kritisch/hoch), Restore-Erfolgsquote und RTO/RPO, MTTD/MTTR, Zahl meldepflichtiger Incidents, Lieferanten ohne aktuelle Nachweise, Phishing-Click-/Meldequote. Ampel + Maßnahmen.

4) Dokumentierte Entscheidungen
Kurzes Decision Log: „Beschluss: MFA für privilegierte Konten bis 30.09.; Grund: erhöhtes Ransomware-Risiko; Alternativen geprüft: –, Budget: 40 T€, Owner: IT-Operations; Review: 15.10.“ Das belegt informiertes Handeln.

5) Tabletop-Übungen
Jährlich mindestens eine Übung mit Vorstand/Geschäftsführung: Ransomware, Datenabfluss, Cloud-Ausfall, Lieferanten-Incident. Stoppzeiten, Rollenspiel, Medien-/Behördenkommunikation. Protokoll und Maßnahmenliste.

6) Interne Audits & externe Pen-Tests
Risikobasiert, mit Nachverfolgung der Findings (Frist, Owner, Status). Audits sind kein Selbstzweck – sie liefern Haftungsschutz, wenn Findings abgearbeitet werden.

7) D&O prüfen – aber nicht darauf verlassen
Klarstellen, welche Risiken/Nebenkosten abgedeckt sind (Rechtsverteidigung, Regress), Ausschlüsse (grobe Fahrlässigkeit), und welche Compliance-Anforderungen der Versicherer an die Organisation stellt.

Die Meldepflichten: Fristen beherrschen, Inhalte standardisieren

Meldepflichten sind belastbar, wenn drei Dinge sitzen:

• Triage-Kriterien: Was ist (wahrscheinlich) meldepflichtig? Beispiele, Checklisten, Kompetenz für Vorentscheidungen (Incident Commander).
• Kontaktketten: Behördenkontakte, Kundenkommunikation, Dienstleister, Recht/PR – mit Alternativen und 24/7-Erreichbarkeit.
• Templates: 24h-Kurzmeldung (Was ist passiert? Betroffene Dienste? Erste Maßnahmen?), 72h-Zwischenbericht (Ursache, Umfang, Eindämmung), 30-Tage-Abschluss (Root Cause, Lessons Learned, Maßnahmen).
  Wichtig: Freigabeprozess klar (Fach, Recht, Leitung), damit schnell und sicher gemeldet wird.

Üben Sie die Meldekette – ohne Übung sind 24 Stunden sehr kurz.

Lieferkettensicherheit: Verantwortung endet nicht an der Unternehmensgrenze

Leitungsorgane haften auch für organisatorische Versäumnisse in der Lieferkette. Praktikabler Ansatz:

• Kritikalitätsklassen (A–C) je Auslagerung nach Betriebsrelevanz, Datenzugriff, Sub-Outsourcing, regulatorischem Impact.
• Mindestanforderungen pro Klasse: Nachweise (ISO 27001, SOC 2/ISAE), Incident-Meldepflichten, Audit-/Assurance-Rechte, Datenlokation, Verschlüsselung, Sub-Outsourcing-Zustimmung, Exit/Portabilität.
• Auslagerungsregister: Risiken, Kontrollen, Verträge, Nachweise, Monitoring-Plan, Owner.
• Trigger für Re-Assurance: Zertifikatsablauf, Presse-/Behördenhinweise, M&A, Standortwechsel, auffällige KPIs.
• Exit-Tests klein anfangen: Stichproben-Datenexport, alternative Dienstleister simulieren.

So wird aus Fragebogen-Compliance echte Steuerung – und Haftungsrisiken sinken.

Metriken, die schützen: Was Führungsgremien wirklich sehen sollten

• Patch-SLA (kritisch/hoch/mittel): Erfüllung in Tagen, Trend, Ausnahmen mit Frist.
• MFA-Abdeckung gesamt/privilegiert: Ausnahmen (begründet, befristet).
• Restore-Tests: Erfolgsquote, RTO/RPO-Erfüllung, größte Lücken.
• Incident-Kennzahlen: MTTD/MTTR, meldepflichtige Incidents, Ursachen, wiederkehrende Muster.
• Lieferanten-Assurance: Anzahl kritischer Anbieter ohne aktuelle Nachweise, offene Remediations.
• Phishing: Click-Rate vs. Meldequote, Maßnahmen.
• Offene Maßnahmen: Anzahl/Alter, On-Time-Fertigstellungsquote.

Wichtig: Konsequenzen bei Rot/Orange (Priorisierung, Budget, Eskalation) und Beschlüsse protokollieren.

Schulung und Kultur: Sorgfaltspflicht beginnt mit Verstehen

NIS2 fordert explizit Management-Trainings. Inhalte:

• Rollen, Pflichten, Haftungsrisiken.
• Meldeprozesse und Entscheidungskompetenzen.
• Krisenkommunikation (Behörden, Kunden, Medien).
• Lieferkettenverantwortung, Exit-Strategien.
• Kennzahlen lesen, Entscheidungen treffen.

Führungskräfte sind Multiplikatoren. Wenn sie Cybersicherheit sichtbar ernst nehmen, verändert das Verhalten in der Organisation – und reduziert Haftungsrisiken signifikant.

Artefakte, die im Ernstfall tragen: Vorlagen für gelebte Sorgfalt

A) Muster: Cyber Oversight Charter (Auszug)

• Zweck: Aufsicht über Cyberrisiken und Resilienz.
• Sitzungen: quartalsweise; Ad-hoc bei Vorfällen der Stufe 1.
• Bericht: Risiken, KPIs/KRIs, Top-Gaps, Budget, Lieferantenstatus, Incident-Lage.
• Befugnisse: Genehmigung von Policies, Risikoappetit, Budgetfreigaben, Priorisierung.
• Nachweise: Decision Log, Maßnahmen-Tracker, Follow-up-Protokolle.

B) Decision Log (Kurzformat)

• Beschluss / Datum / Gremium
• Gegenstand & Ziel
• Prüf-/Informationsgrundlage (Berichte, Audits, KPIs)
• Alternativen & Gründe
• Entscheidung & Frist
• Verantwortlich & Budget
• Review-Termin

C) Incident-Template (24/72/30)

• 24h: Kurzlage, betroffene Services, erste Eindämmung, Prognose, Ansprechpartner
• 72h: Ursache/Angriffsweg (vorläufig), betroffene Daten/Umfang, konkrete Maßnahmen, Risiken
• 30 Tage: Root Cause, Lessons Learned, Präventions-/Detektionsmaßnahmen, Status

Diese schlanken Artefakte können Haftung entscheidend entschärfen, weil sie informierte, zeitnahe, nachvollziehbare Führung dokumentieren.

Best-Practice-Beispiel: Vorstandslage schafft Handlungsfähigkeit

Ein europäischer Energieversorger führte ein vierteljährliches Cyber-Briefing im Vorstand ein. Neben technischen Kennzahlen umfasste es Risikoeinschätzungen, rechtliche Updates, Lieferkettenstatus und eine Maßnahmenampel. Parallel wurden Tabletop-Übungen mit dem Krisenstab etabliert und ein Decision Log eingeführt. Ergebnis: schnellere, fundierte Entscheidungen, klar dokumentierte Sorgfalt – und messbar bessere Reaktionszeiten in echten Vorfällen. Prüfungen verliefen ohne wesentliche Feststellungen; die D&O blieb „fürs Unerwartete“ – nicht als Ersatz für Sorgfalt.

Mythen & Fakten: Was Leitungsgremien oft falsch einschätzen

• Mythos: „Wir haben ISO 27001 – damit sind wir haftungssicher.“
  Fakt: Zertifikate helfen, ersetzen aber keine NIS2-spezifischen Pflichten (z. B. Meldefristen, Lieferkettentiefe, Board-Überwachung).
• Mythos: „Das macht unsere IT – wir sind fein raus.“
  Fakt: NIS2 adressiert Leitungsverantwortung. Delegation ohne Aufsicht ist haftungsgefährlich.
• Mythos: „Proportionalität heißt, wir können vieles weglassen.“
  Fakt: Proportionalität heißt maßgeschneidert, nicht reduziert auf Null – Kernkontrollen bleiben.
• Mythos: „Kein Vorfall, kein Problem.“
  Fakt: Haftungsrisiko entsteht auch bei Versäumnissen ohne Vorfall (z. B. Meldeprozesse ungeübt, Restore nie getestet).

Persönliche Checkliste für Geschäftsführung/Vorstand

1. Habe ich eine aktuelle, verständliche Lageübersicht mit KPIs/KRIs und Top-Gaps gesehen – und Entscheidungen getroffen?
2. Kennt unser Gremium die Meldepflichten und hat geübte Playbooks/Kontaktketten?
3. Laufen Patch-/Vulnerability-Management, Backups/Restore-Tests und MFA nachweislich im Betrieb?
4. Gibt es ein Lieferantenregister mit Kritikalität, Nachweisen und Re-Assurance-Triggern?
5. Sind Audits/Tests geplant, Findings terminiert und nachverfolgt?
6. Existiert ein Decision Log – mit Gründen, Fristen, Ownern?
7. Wurde das Management (inkl. mir) geschult – zuletzt wann?
8. Gibt es einen Exit-Plan für kritische Auslagerungen – und wurden Dry-Runs gemacht?

Sind mehrere Antworten „Nein“, besteht Handlungsdruck – und potenziell persönliches Risiko.

Fazit: Klarheit schützt – und schafft Resilienz

NIS2 macht Cybersicherheit verbindlich – organisatorisch, technisch und haftungsrechtlich. Für Führungskräfte bedeutet das: Abwarten ist keine Option. Wer Pflichten kennt, Prozesse etabliert, entscheidet und dokumentiert, reduziert Haftungsrisiken spürbar. Mehr noch: Ein proaktiver, geordneter Umgang mit Cyberrisiken stärkt Vertrauen von Kunden, Partnern, Investoren – und die eigene Handlungsfähigkeit in der Krise.

Die gute Nachricht: Haftungsschutz ist kein Hexenwerk. Er entsteht aus Routine – aus Quartalslagen mit echten Kennzahlen, aus geübten Playbooks, aus nachvollziehbaren Beschlüssen, aus Audits mit Nachverfolgung, aus gelebter Lieferkettensteuerung. Wer diese Routinen schafft, erfüllt nicht nur NIS2 – er verankert Resilienz als Führungsleistung. Und genau dort gehört sie hin.