NIS2-Richtlinie: Dringender Handlungsbedarf für Unternehmen
Geschäftsführer haften mit „Haus & Hof“
Oberbergischer Kreis / NRW. Die Umsetzung der NIS2-Richtlinie steht in Deutschland kurz bevor und betrifft erstmals Unternehmen ab 50 Mitarbeitern oder ab 10 Millionen Euro Jahresumsatz – also einen Großteil des Mittelstands. Der anerkannte Datenschutzexperte Sven Oliver Rüsche aus NRW warnt eindringlich: Die neuen Haftungsrisiken für Geschäftsführer sind erheblich und können im Ernstfall existenzbedrohend sein.
Wer die Anforderungen der NIS2-Richtlinie ignoriert oder auf die lange Bank schiebt, riskiert nicht nur hohe Bußgelder, sondern auch den persönlichen finanziellen Ruin – sprichwörtlich „Haus & Hof“ stehen auf dem Spiel.
Was bedeutet die Richtlinie für Unternehmen?
Die NIS2-Richtlinie (EU 2022/2555) ist die überarbeitete EU-Richtlinie zur Netzwerk- und Informationssicherheit. Sie verpflichtet Unternehmen in 18 Sektoren – von Energie über Gesundheit bis hin zu digitalen Diensten – zu umfassenden Maßnahmen der IT-Sicherheit. Der Geltungsbereich wurde deutlich ausgeweitet: Statt wie bisher nur kritische Infrastrukturen, sind nun auch viele Mittelständler und größere Unternehmen betroffen.
Neue Pflichten und verschärfte Haftung für Geschäftsführer
Die NIS2-Richtlinie bringt nicht nur neue technische und organisatorische Anforderungen, sondern verschärft auch die persönliche Haftung der Geschäftsleitung massiv. Geschäftsführer müssen ein wirksames Risikomanagementsystem implementieren und dessen Umsetzung aktiv überwachen. Die bloße Delegation an die IT-Abteilung oder externe Dienstleister reicht nicht mehr aus. Die Verantwortung bleibt unteilbar bei der Geschäftsführung.
Besonders brisant: Die NIS2-Richtlinie verpflichtet Geschäftsführer, selbst an Sicherheitsschulungen teilzunehmen und sich regelmäßig über den Stand der Cybersicherheit im Unternehmen zu informieren. Versäumnisse oder Fehlentscheidungen können zu Schadensersatzforderungen führen, die das Privatvermögen der Verantwortlichen bedrohen – im schlimmsten Fall droht der Verlust von „Haus & Hof“.
Bußgelder und persönliche Haftung – das Risiko ist real
Die Sanktionen bei Verstößen gegen die NIS2-Richtlinie sind erheblich: Es drohen Bußgelder von bis zu 2 Prozent des weltweiten Jahresumsatzes oder bis zu 10 Millionen Euro, je nachdem, welcher Betrag höher ist. Doch damit nicht genug: Kommt es infolge mangelhafter IT-Sicherheitsmaßnahmen zu einem Schaden, können Gesellschafter oder Investoren die Geschäftsführung persönlich in Regress nehmen. Die Haftung greift insbesondere dann, wenn grundlegende Pflichten wie die Überprüfung der Lieferanten, die Umsetzung von Notfallplänen oder die regelmäßige Schulung der Mitarbeitenden vernachlässigt wurden.
Beispiele aus der Praxis zeigen, wie schnell es ernst werden kann: Wird ein Unternehmen durch einen Cyberangriff lahmgelegt und fehlen die erforderlichen Sicherheitsmaßnahmen, verweigern Versicherungen häufig die Schadensregulierung. Die Gesellschafter können dann die Geschäftsführer persönlich haftbar machen – mit gravierenden finanziellen Folgen.
Die wichtigsten Pflichten aus der NIS2-Richtlinie
Unternehmen, die unter die NIS2-Richtlinie fallen, müssen insbesondere folgende Maßnahmen umsetzen:
• Einführung eines Informationssicherheits-Managementsystems (ISMS) nach anerkannten Standards (z.B. ISO 27001, BSI IT-Grundschutz)
• Durchführung regelmäßiger Risikoanalysen und Sicherheitsüberprüfungen
• Entwicklung und Testen von Notfall- und Wiederherstellungsplänen
• Sicherstellung der Cyberhygiene und Sensibilisierung der Mitarbeitenden
• Überwachung und Dokumentation aller sicherheitsrelevanten Prozesse auf Geschäftsleitungsebene
• Überprüfung und Auswahl von Lieferanten nach Sicherheitsaspekten
Jetzt handeln – nicht abwarten!
Sven Oliver Rüsche betont in seinem Blogbeitrag, dass die NIS2-Richtlinie ein Weckruf für die gesamte Geschäftsleitung ist. Wer jetzt nicht handelt, riskiert nicht nur Bußgelder und Reputationsschäden, sondern haftet im Zweifel mit dem eigenen Vermögen. Die Zeit des Abwartens ist vorbei: Die NIS2-Richtlinie macht Cybersicherheit zur Chefsache – und das mit aller Konsequenz.
Empfehlung: Unternehmen sollten umgehend prüfen, ob sie unter die NIS2-Richtlinie fallen, und ein umfassendes Sicherheitskonzept etablieren. Die persönliche Haftung der Geschäftsleitung ist real – und der Schutz von „Haus & Hof“ liegt ab sofort in der eigenen Verantwortung.
