NIS2-Gesetz: Manager haften jetzt persönlich für IT-Krisen

Eine neue Ära der Unternehmensverantwortung hat begonnen. Seit dem vollständigen Inkrafttreten des NIS2-Umsetzungsgesetzes in Deutschland sehen sich Geschäftsführer und Vorstände mit verschärften Haftungsrisiken konfrontiert. Unzureichende Krisenvorsorge ist nicht länger ein strategisches Versäumnis, sondern eine direkte Gefahr für das Privatvermögen der Unternehmensleitung.

Die Umsetzung der zweiten EU-Richtlinie zur Netz- und Informationssicherheit (NIS2) markiert einen Wendepunkt für die Corporate Governance. Die neuen Regelungen nehmen die Geschäftsleitung persönlich in die Pflicht, die Umsetzung von Risikomanagementmaßnahmen nicht nur anzuordnen, sondern aktiv zu überwachen. Die Zeiten, in denen Cybersicherheit als reines IT-Thema delegiert werden konnte, sind damit endgültig vorbei.

Die neue NIS2‑Pflicht macht deutlich, wie groß das Risiko ist: Viele Unternehmen sind auf Cyberangriffe nicht vorbereitet – und Geschäftsleitungen können persönlich haften. Ein kostenloses E‑Book erklärt die aktuellen Bedrohungen, die rechtlichen Pflichten nach NIS2 und konkrete Schutzmaßnahmen (Awareness, technische Controls, Dokumentation), die Sie sofort umsetzen können, um Bußgelder und Haftungsrisiken zu minimieren. Jetzt kostenlosen Cyber‑Security‑Leitfaden herunterladen

Persönliche Haftung: Das Privatvermögen ist in Gefahr

Das seit Ende 2025 geltende NIS2-Umsetzungsgesetz betrifft weitaus mehr Unternehmen als seine Vorgängerregelung. Rund 30.000 Organisationen in kritischen und wichtigen Sektoren sind nun erfasst. Kern der neuen Vorschriften ist die direkte Verantwortung der Geschäftsleitung.

Bei Pflichtverletzungen drohen nicht nur empfindliche Bußgelder für das Unternehmen – bis zu zwei Prozent des weltweiten Jahresumsatzes –, sondern auch die persönliche Inanspruchnahme der Manager. Kommt es infolge mangelhafter Vorbereitung zu erheblichen Betriebsausfällen, kann dies als Organisationsverschulden gewertet werden. Die Leitungsebene haftet dann mit ihrem Privatvermögen.

Integrierte Notfallpläne: Mehr als nur IT-Wiederherstellung

Experten betonen: Ein reiner IT-Notfallplan genügt nicht mehr. Gesetzgeber und Aufsichtsbehörden fordern ein ganzheitliches Krisenmanagement. Ein solcher Plan muss klare Verantwortlichkeiten, definierte Kommunikationswege und Eskalationsstufen umfassen.

Ein zentrales Element ist die Business Impact Analysis. Sie identifiziert kritische Geschäftsprozesse und legt Wiederherstellungsziele fest. Der Notfallplan muss zudem regelmäßig getestet und an neue Bedrohungslagen angepasst werden. Die hybride Bedrohungslage macht eine solche integrierte Planung überlebenswichtig.

Doppelter Druck: StaRUG verpflichtet zu Frühwarnsystemen

Die verschärften Anforderungen aus der Cybersicherheit werden durch das Unternehmensstabilisierungs- und -restrukturierungsgesetz (StaRUG) ergänzt. Geschäftsführer sind ohnehin verpflichtet, ein System zur Krisenfrüherkennung zu implementieren.

Diese Pflicht beginnt nicht erst bei drohender Zahlungsunfähigkeit, sondern bereits bei strategischen oder Ergebniskrisen. Eine mangelhafte Vorbereitung auf eine IT-Krise stellt somit auch eine Verletzung der StaRUG-Pflichten dar. Die Kombination beider Regelwerke schafft ein engmaschiges Netz an Verantwortlichkeiten.

Herausforderung für den Mittelstand: Vom Nachzügler zum Vorreiter?

Die neuen Rahmenbedingungen stellen insbesondere für den deutschen Mittelstand eine erhebliche Herausforderung dar. Viele Unternehmen, die bisher nicht als kritische Infrastruktur galten, fallen nun in den Anwendungsbereich von NIS2. Oft fehlen die personellen und finanziellen Ressourcen für umfassende Systeme.

Branchenexperten sehen jedoch auch eine Chance. Die Regulierung zwingt Unternehmen dazu, ihre Resilienz als strategisches Ziel zu begreifen. Ein nachweislich gut aufgestelltes Unternehmen gewinnt nicht nur an Rechtssicherheit, sondern auch das Vertrauen von Kunden und Investoren.

Versicherungen prüfen genauer: Deckung kann verweigert werden

Für die kommenden Monate wird ein steigender Druck durch die Aufsichtsbehörden erwartet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat erweiterte Befugnisse erhalten, um die Einhaltung zu überprüfen.

Gleichzeitig wird die Thematik der Managerhaftung die Versicherungsbranche weiter beschäftigen. D&O-Versicherungen werden ihr Augenmerk verstärkt auf die Qualität des implementierten Risikomanagements legen. Es ist absehbar, dass Versicherer bei grob fahrlässiger Missachtung der gesetzlichen Pflichten eine Deckung verweigern könnten. Für Manager wird die lückenlose Dokumentation ihrer Krisenvorsorge daher unerlässlich.

PS: Zusätzlich zu dokumentierten Notfallplänen fordern Aufsichtsbehörden und Versicherer pragmatische Schutzmaßnahmen gegen Phishing, Ransomware und organisatorische Lücken. Ein praktischer Gratis‑Report führt in vier umsetzbare Schritten durch Awareness-Maßnahmen, technische Kontrollen und Compliance-Checklisten, damit Vorstände ihre Haftungsrisiken reduzieren und Versicherungsansprüche nicht gefährden. Gratis Cyber‑Security‑Guide & Schutzcheck sichern