Allmählich setzt sich die Erkenntnis durch, dass mit NIS-2 eine neue Dynamik für die Managerhaftung einhergeht. Mit Wirkung zum 6. Dezember 2025 wurde die NIS‑2-Richtlinie in das deutlich erweiterte Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) überführt.
Das aufgerüstete BSIG stellt einen echten Meilenstein für die Managerhaftung dar und erhöht wegen der Konkretisierung der Pflichten die Gefahr von persönlicher Haftung für Unternehmensleitern erheblich.
Fast die Hälfte der Unternehmen verpasst die Registrierungsfrist
Ein großer Teil der Unternehmen, die sich nach den neuen NIS-2-Vorgaben beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren müssten, hat dies bis heute versäumt. Die Registrierungsfrist galt bis zum 6. März 2026. Bis zum 1. April 2026 hatten jedoch gerade einmal 54 % der rund 29.000 direkt betroffenen Unternehmen den Registrierungsprozess durchlaufen. Die Gründe für die bisher unterbliebenen Registrierung sind vielfältig: So war die Frist von drei Monaten zur Registrierung denkbar kurz, zumal es neben der Registrierung vor allem um die Erfüllung der zusätzlichen Sicherheitsanforderungen ging. Zusätzlich scheint der aufwendige Registrierungsprozess Unternehmen zu bremsen. Denn das BSI-Portal kann erst nach Beantragung eines Elster-Organisationszertifikats genutzt werden.
Viele verorten die Umsetzung der gesetzlichen Anforderungen darüber hinaus direkt und vorrangig bei der IT-Abteilung. Doch die Sachlage ist klar: Das neue BSIG unterstreicht nachdrücklich, dass die Verantwortung für die IT-Security bei der Geschäftsführung liegt, die ihre Leitungsfunktion nur in enger Zusammenarbeit mit der IT-Abteilung wahrnehmen kann.
Sollte ein registrierungspflichtiges Unternehmen also bisher noch nichts unternommen haben, kann dies bereits heute ernste Folgen haben. So könnte das BSI theoretisch direkt ein Bußgeld bis zu 500.000 Euro verhängen. Allerdings wird in der Praxis meist noch eine Frist von 14 Tagen gewährt, bevor formelle Anordnungen und gegebenenfalls die Einleitung eines Ordnungswidrigkeitsverfahren folgen, die dann bei weiterer Untätigkeit in ein Bußgeld münden.
Sicherheitsvorfälle treiben Bußgeldrisiken massiv in die Höhe
Besonders unangenehm kann es werden, wenn es in einem regelwidrig nicht registrierten Unternehmen zu einem Sicherheitsvorfall kommt. Dann vervielfacht sich das Bußgeldrisiko sofort: Neben der fehlenden Registrierung können zusätzlich beispielsweise das Fehlen eines strukturierten Informationssicherheits-Managementsystem (ISMS) oder das Nichterkennen eines meldepflichtigen Sicherheitsvorfalls, jeweils zu einem enormen Bußgeld führen.
NIS-2 erhöht den Druck auf Managerhaftung deutlich
Bei Betrachtung der Sanktionswerkzeuge des durch NIS-2 verschärften BSIG liegt aber das eigentliche Risiko in der Ausgestaltung der verschärften persönlichen Haftung der Unternehmensleiter. Dies wird absehbar auch die Maßstäbe für Unternehmen setzen, die nur mittelbar oder gar nicht von NIS-2 erfasst werden. Eine mittelbare Betroffenheit ergibt sich nach § 30 Abs. 2 Nr.4 BSIG vor allem für Zulieferer von registrierungspflichtigen Unternehmen. Die Zahl der mittelbar betroffenen Unternehmen soll sogar in der Größenordnung von 100.000 liegen, was die Relevanz des Gesetzes noch einmal erheblich erhöht.
Sämtliche umfangreichen Sicherheitsanforderungen werden nunmehr der Managementpflicht unterstellt. Problematisch, da viele Unternehmensleiter technisch nur einen sehr begrenzten Bezug zur Cybersecurity haben. Sollte sich also nach einem Cyberangriff mit tage- oder wochenlangem Betriebsstillstand z. B. erweisen, dass…
- zuvor ein Risikomanagement nicht aktiv genehmigt oder veranlasst wurde, weil man nicht ausreichend Budget zur Verfügung gestellt hatte,
- die IT-Abteilung relevante Maßnahmen nicht umgesetzt hat und der Unternehmensleitung dies unbemerkt geblieben ist,
- die Geschäftsführer nicht an Cybersecurity-Schulungen teilgenommen haben,
haften sie schon bei leichter Fahrlässigkeit für den verschuldeten Schaden in vollem Umfang. Diese im BSIG nun konkretisierten Anforderungen an das Management gelten im Übrigen jetzt – neben dem neu gefassten Bußgeldrahmen – auch für Unternehmen, die seit Jahren von der KRITIS-Verordnung erfasst werden. Nichtkümmern bedroht hier also das Privatvermögen der Unternehmensleiter in besonderer Weise.
Unsere Einordnung: Strengere Anforderungen erhöhen den Steuerungsbedarf
Die vom BSIG geforderten Maßnahmen spielen zweifellos eine wichtige Rolle für die Absicherung von Unternehmen und des gesamten Wirtschaftsstandorts Deutschland gegen Cyberrisiken. Nichtsdestotrotz steht außer Frage, dass Fehler im Management bei der Umsetzung oder Überwachung von Sicherheitsmaßnahmen menschlich sind. Um das Haftungsrisiko der Manager beherrschbar zu halten, bekommt die Cyberversicherung in diesem Zusammenhang eine immer größere Bedeutung. Sie sieht grundsätzlich keinen Ausschluss für Verstöße gegen das BSIG vor und reguliert – ohne Beachtung der Registrierungspflicht oder ihrer Umsetzung – so lange, wie die vom Versicherer akzeptierte IT-Sicherheit des Unternehmens aufrechterhalten bleibt.
Für den in der Praxis seltenen Fall, dass der Cyberversicherer wegen einer Obliegenheitspflichtverletzung nicht vollständig oder gar nicht reguliert, kann für den Unternehmensleiter die Managerhaftpflichtversicherung (D&O-Versicherung) als letzter Schutzwall greifen. Selbst wenn ein Versäumnis fahrlässig oder sogar grob fahrlässig erfolgt ist und das Handeln nicht dem BSIG entsprach, wird von hochwertigen D&O- Konzepten vollumfänglich Schutz geboten. Dies schützt den Manager und mittelbar auch das Unternehmen.
Zusammenfassend lässt sich also sagen, dass die Herausforderungen bei der Steuerung eines Unternehmens durch NIS-2 nochmals erheblich gestiegen sind. Aus unserer Sicht kann das Thema noch lange nicht als erledigt betrachtet werden; vielmehr wird die Relevanz in Zukunft weiter zunehmen.
Welche Unternehmen sind konkret betroffen?
Möglicherweise auch wegen der Komplexität der gesetzlichen Regelungen hat sich neben den oben beschriebenen Herausforderungen im Registrierungsprozess noch nicht jedes betroffene Unternehmen beim BSI gemeldet, da es sich in den zwei Kategorien und verschiedenen Sektoren nach § 28 BSIG in Verbindung mit den Anlagen I und II zum BSIG nicht wiedergefunden hat. Ein Überblick:
- Die Kategorie „wichtige Einrichtungen“ des neu gefassten BSIG meint u.a. Industrie/produzierende Gewerbe für kritische Produkte, Lebensmittelproduktion, Post- und Kurierdienste, Abfallwirtschaft, digitale Dienste/IT-Services (teilweise) sowie Forschungsorganisationen. Bei Verstößen ist ein Bußgeldrahmen von bis zu 7 Mio. Euro oder 1,4 Prozent des weltweiten Umsatzes vorgesehen.
- Für „besonders wichtige Einrichtungen“ aus dem Bereich Energie (Strom, Gas, Wasserstoff), Verkehr/Transport, Banken und Finanzmarkt, öffentliche Verwaltung, Infrastrukturen, Gesundheit (Krankenhäuser etc.), Trinkwasser/Abwasser, digitale Infrastruktur (Cloud, Rechenzentren, DNS), und Raumfahrt liegt der Bußgeldrahmen sogar bei bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Umsatzes.
Wichtig: Grundsätzlich werden Unternehmen ab 50 Mitarbeitenden erfasst. Zusätzlich gilt aber auch als Bewertungskriterium, ob – je nach Einrichtung – zusätzlich oder alternativ ein Jahresumsatz und eine Jahresbilanzsumme von 10 Mio. Euro erreicht wird. Für die Qualifizierung von bestimmten besonders wichtigen Einrichtungen gilt als ergänzendes Kriterium der Wert von 250 Mitarbeitenden oder ein Jahresumsatz von über 50 Mio. Euro und eine Jahresbilanzsumme von über 43 Mio. Euro. Es ist also recht kompliziert (Details vgl. https://www.gesetze-im-internet.de/bsig_2025/__28.html).
Dieser Beitrag ist Teil unseres Sondernewsletters Managementperspektive: Cyberrisiken im Fokus. Bleiben Sie über aktuelle Entwicklungen informiert – jetzt Newsletter abonnieren.