Dies ist der dritte Beitrag unserer Artikelserie zum Thema NIS 2 und die Bedeutung für deutsche KMU
Cybersicherheit wird zur Chefsache
Mit der NIS-2-Richtlinie vollzieht sich eine Verschärfung, die weit über klassische Compliance-Fragen hinausgeht. Zum ersten Mal schreibt europäisches Recht ausdrücklich vor, dass Geschäftsleitungen selbst die Verantwortung für Cybersicherheit tragen. Sie müssen Risikomanagement-Maßnahmen genehmigen, deren Umsetzung überwachen und für deren Wirksamkeit einstehen. Damit wird Cybersicherheit auf dieselbe Stufe gehoben wie andere Kernaufgaben der Unternehmensführung – mit unmittelbaren Folgen für Haftung, Sanktionen und persönliche Verantwortung.
Sanktionen: Bußgelder in Millionenhöhe
Die Sanktionen bei Pflichtverletzungen sind bewusst so ausgestaltet, dass sie spürbare Wirkung entfalten. Besonders wichtige Einrichtungen müssen mit Bußgeldern von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes rechnen. Für wichtige Einrichtungen liegt der Rahmen bei sieben Millionen Euro oder 1,4 Prozent des Umsatzes. Diese Beträge orientieren sich an der Logik der Datenschutz-Grundverordnung und sollen gewährleisten, dass Verstöße nicht als kalkulierbares Risiko behandelt werden können.
Damit wird klar: Cybersicherheit ist nicht länger ein nachgeordnetes IT-Thema, sondern ein finanziell relevanter Risikofaktor, den Geschäftsleitungen strategisch adressieren müssen.
Persönliche Haftung: Verantwortung ohne Delegation
Ein zentrales Element von NIS 2 ist die persönliche Verantwortung der Geschäftsführung. Die Richtlinie sieht ausdrücklich vor, dass Leitungspersonen für die Erfüllung der Pflichten haftbar gemacht werden können. Ein Delegieren der Aufgabe an Fachabteilungen oder externe Dienstleister entbindet nicht von der eigenen Haftung. Die Geschäftsführung muss nachweisen, dass sie Risiken erkannt, Entscheidungen getroffen und die Umsetzung von Maßnahmen kontrolliert hat: Dadurch wird das Risikomanagement unumgänglich.
Diese Entwicklung führt zu einer rechtlichen Situation, in der Geschäftsführer nicht nur für das Unternehmen, sondern auch mit ihrem persönlichen Vermögen haften können. Kommt es zu Schäden durch schuldhafte Pflichtverletzungen, etwa weil Meldefristen nicht eingehalten oder notwendige Sicherheitsmaßnahmen nicht eingeführt wurden, drohen zivilrechtliche Ansprüche und persönliche Konsequenzen.
Eingriffsbefugnisse: Aufsichtsbehörden mit scharfem Schwert
Neben Bußgeldern und Haftung sieht die Richtlinie auch unmittelbare Eingriffsbefugnisse vor. Aufsichtsbehörden können Geschäftsleiter im Falle gravierender Pflichtverletzungen temporär ihres Amtes entheben. Dieses Instrument ist Ausdruck einer neuen Ernsthaftigkeit im regulatorischen Umgang mit Cybersicherheit: Wer die Anforderungen nicht erfüllt, verliert nicht nur Geld, sondern auch seine Funktion.
Für Unternehmen bedeutet dies, dass Sicherheitsfragen untrennbar mit Governance-Strukturen verknüpft werden müssen. Es reicht nicht, Maßnahmen umzusetzen – ihre Steuerung, Dokumentation und Überwachung müssen auf Vorstandsebene institutionalisiert sein.
Strategische Konsequenzen für die Unternehmensführung
Die Parallelen zur Datenschutz-Grundverordnung sind offensichtlich. Auch dort führte die Androhung hoher Bußgelder und persönlicher Haftung dazu, dass Datenschutz vom Randthema zur Chefsache wurde. Unter NIS 2 zeichnet sich ein ähnlicher Wandel ab: Sicherheit wird zur Managementaufgabe, die aktiv gesteuert und dokumentiert werden muss.
Für Geschäftsleitungen bedeutet dies einen Perspektivwechsel. Es genügt nicht, IT-Abteilungen Budgets zur Verfügung zu stellen. Vielmehr ist erforderlich, dass das Management ein Verständnis für Risikomanagement entwickelt, regelmäßig Berichte einfordert, eigene Entscheidungsverantwortung wahrnimmt und Governance-Strukturen etabliert, die eine echte Kontrolle ermöglichen.
Fazit: Managementverantwortung in neuer Dimension
Mit NIS 2 werden Haftung, Sanktionen und persönliche Verantwortung so verknüpft, dass Cybersicherheit dauerhaft auf die Agenda der Unternehmensführung rückt. Geschäftsleitungen können sich nicht länger hinter technischen Strukturen verstecken. Sie sind gezwungen, Verantwortung sichtbar zu übernehmen und Cybersicherheit in dieselbe Kategorie strategischer Aufgaben einzuordnen wie Finanzberichterstattung oder unternehmerische Governance.
INVASE.IO begleitet Unternehmen und Führungskräfte in diesem Prozess. Unser Ansatz verbindet rechtliche Klarheit, organisatorische Steuerung und technische Expertise, damit Verantwortung nicht nur formal getragen, sondern wirksam umgesetzt wird.
Sie benötigen nähere Informationen zum Thema NIS 2 und deren Auswirkungen auf Ihre Unternehmung oder wünschen eine unverbindliche Beratung?
Sprechen Sie uns gerne an.
