NIS2-Leitungshaftung: Persönliche Geldstrafen, Funktionsverbote und was das Management 2026 wissen muss

NIS2-Artikel 20 macht Leitungsorgane persönlich für Cybersicherheitsversäumnisse haftbar. Dieser Leitfaden erläutert persönliche Geldstrafen, vorübergehende Funktionsverbote und die 7 Schritte, die Vorstände umgehend umsetzen müssen.

NIS2-Artikel 20 macht Leitungsorgane persönlich für Cybersicherheitsversäumnisse haftbar. Dieser Leitfaden erläutert persönliche Geldstrafen, vorübergehende Funktionsverbote und die 7 Schritte, die Vorstände umgehend umsetzen müssen.

Die NIS2-Richtlinie tut etwas, was bisherige EU-Cybersicherheitsrichtlinien nie getan haben: Sie macht Leitungsorgane persönlich haftbar. Nicht das Unternehmen. Nicht die IT-Abteilung. Die Personen, die im Vorstand sitzen, Budgets genehmigen, Prioritäten setzen und Strategien absegnen. Artikel 20 der NIS2-Richtlinie stellt in unmissverständlichen Worten fest, dass Leitungsorgane Cybersicherheitsmaßnahmen genehmigen, deren Umsetzung überwachen und für Versäumnisse persönlich haftbar gemacht werden können. Dies ist kein theoretisches Risiko. Mehrere EU-Mitgliedstaaten haben bereits nationale Umsetzungsgesetze vorgelegt, die persönliche Geldstrafen und vorübergehende Funktionsverbote vorsehen.

Für Vorstände und C-Level-Führungskräfte wesentlicher und wichtiger Einrichtungen ändert sich dadurch die Rechnung grundlegend. Cybersicherheit ist kein technisches Problem mehr, das an den CISO delegiert wird. Sie ist eine Governance-Pflicht mit persönlicher rechtlicher Haftung. Im Folgenden erfahren Sie, was das Management verstehen muss, wie die Sanktionen aussehen und welche sieben Schritte jeder Vorstand gehen sollte, bevor die Durchsetzung verschärft wird.

Was Artikel 20 tatsächlich besagt

Artikel 20 der NIS2-Richtlinie (EU) 2022/2555 enthält drei Absätze, die die Leitungsverantwortung unmittelbar betreffen:

Artikel 20 Absatz 1: Leitungsorgane wesentlicher und wichtiger Einrichtungen müssen die von der Einrichtung ergriffenen Cybersicherheits-Risikomanagementmaßnahmen genehmigen, deren Umsetzung überwachen und an Cybersicherheitsschulungen teilnehmen.

Artikel 20 Absatz 2: Die Mitgliedstaaten müssen sicherstellen, dass Leitungsorgane für Verstößen gegen die Cybersicherheits-Risikomanagementpflichten haftbar gemacht werden können.

Artikel 20 Absatz 3: Die Mitgliedstaaten können Vorschriften erlassen, die natürliche Personen zur Verantwortung ziehen, einschließlich der Möglichkeit vorübergehender Funktionsverbote.

Der zentrale Begriff lautet „haftbar gemacht für Verstöße”. Es geht nicht um regulatorische Rügen. Die Mitgliedstaaten sind verpflichtet, Durchsetzungsmechanismen zu implementieren, die sich gegen Einzelpersonen richten — nicht nur gegen Unternehmen. Die Richtlinie nennt ausdrücklich persönliche Geldstrafen und vorübergehende Funktionsverbote als mögliche Sanktionen.

Die Sanktionen: Persönliche Geldstrafen und Funktionsverbote

Das NIS2-Sanktionsrahmenwerk unterscheidet zwischen wesentlichen und wichtigen Einrichtungen, wobei die persönliche Haftung für beide Kategorien gilt.

Wesentliche Einrichtungen

  • Verwaltungsgeldstrafen: Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
  • Persönliche Haftung: Leitungsorgane können persönlich für Nichteinhaltung haftbar gemacht werden
  • Vorübergehende Funktionsverbote: Mitgliedstaaten können Einzelpersonen vorübergehend die Ausübung von Leitungsfunktionen bei wesentlichen Einrichtungen untersagen
  • Geltungsbereich: Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, digitale Infrastruktur, ICT-Dienstmanagement, öffentliche Verwaltung, Weltraum

Wichtige Einrichtungen

  • Verwaltungsgeldstrafen: Bis zu 7 Mio. Euro oder 1,4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist
  • Persönliche Haftung: Derselbe persönliche Haftungsrahmen gilt
  • Geltungsbereich: Postdienste, Abfallwirtschaft, Chemie, Lebensmittel, Medizinprodukte, verarbeitendes Gewerbe, digitale Diensteanbieter und kleinere Einrichtungen in wesentlichen Sektoren

Was „persönliche Haftung” in der Praxis bedeutet

Persönliche Haftung nach NIS2 bedeutet, dass einzelne Vorstandsmitglieder und Führungskräfte Folgendes gewärtigen können:

  1. Persönliche Geldstrafen — gegen die Einzelperson, nicht gegen das Unternehmen verhängt
  2. Vorübergehende Funktionsverbote — Untersagung, für einen bestimmten Zeitraum in Vorständen oder Führungspositionen zu dienen
  3. Abstellungsverpflichtung — gerichtlich angeordnete Compliance-Verbesserungen mit persönlicher Verantwortlichkeit
  4. Reputationsschädigung — öffentliche Durchsetzungsmaßnahmen, die Einzelpersonen namentlich benennen

Die genauen Mechanismen variieren je nach Mitgliedstaat, jedoch verlangt die Richtlinie von allen 27 EU-Ländern die Umsetzung persönlicher Haftungsregelungen. Deutschland, Frankreich und die Niederlande haben bereits Umsetzungsentwürfe veröffentlicht, die diese Maßnahmen enthalten.

7 Schritte, die jeder Vorstand gehen muss

Schritt 1: Einen formellen Cybersicherheits-Risikomanagementrahmen genehmigen

Der Vorstand muss die Cybersicherheits-Risikomanagementmaßnahmen der Einrichtung formell genehmigen. Dies ist kein Formscheinentwurf. Die Genehmigung muss in den Vorstandsprotokollen dokumentiert sein, und die Maßnahmen müssen alle in Artikel 21 Absatz 2 genannten Bereiche abdecken: Risikoanalyse, Vorfallsmanagement, Betriebskontinuität, Lieferkettensicherheit, Sicherheitsrichtlinien, Kryptokontrolle und Schulung.

Maßnahme: Terminieren Sie eine eigene Vorstandssitzung zur Prüfung und Genehmigung des Cybersicherheitsrahmens. Dokumentieren Sie die Genehmigung in formellen Protokollen mit konkretem Bezug zu den NIS2-Anforderungen.

Schritt 2: Regelmäßige Cybersicherheitsberichterstattung etablieren

Artikel 20 verlangt von Leitungsorganen, die „Umsetzung” von Cybersicherheitsmaßnahmen zu „überwachen”. Das bedeutet, dass Vorstände regelmäßige, strukturierte Berichte zur Cybersicherheitslage erhalten müssen — nicht nur im Vorfallsfall.

Maßnahme: Führen Sie quartalsweise Cybersicherheitsberichterstattung an den Vorstand ein, einschließlich zentraler Risikokennzahlen, Vorfalltrends, Schwachstellenmanagement-Status und Compliance-Fortschritt gegenüber NIS2-Anforderungen.

Schritt 3: Obligatorische Cybersicherheitsschulung absolvieren

Artikel 20 Absatz 1 stellt ausdrücklich fest, dass Leitungsorgane „an Cybersicherheitsschulungen teilnehmen” müssen. Dies ist nicht optional. Vorstandsmitglieder und Führungskräfte müssen regelmäßig an Cybersicherheitsschulungen teilnehmen, um die Bedrohungen und Pflichten zu verstehen, für die sie persönlich einstehen.

Maßnahme: Registrieren Sie alle Vorstandsmitglieder und C-Level-Führungskräfte für jährliche Cybersicherheitsschulungen. Dokumentieren Sie die Teilnahme und bewahren Sie die Nachweise für Prüfungen auf.

Schritt 4: Einen benannten Cybersicherheitsbeauftragten mit Vorstandszugang ernennen

NIS2 verlangt, dass die Cybersicherheitsverantwortlichkeiten klar zugewiesen sind und eine direkte Berichtslinie zum Leitungsorgan besteht. Der benannte Beauftragte muss ausreichende Befugnisse und Zugang zum Vorstand haben.

Maßnahme: Bestellen oder bestätigen Sie einen benannten Cybersicherheitsbeauftragten (CISO, DSB oder vergleichbar) mit dokumentierter Berichtslinie an den Vorstand. Stellen Sie sicher, dass dieser Beauftragte bei jeder Vorstandssitzung berichtet.

Schritt 5: Vorfallsreaktionsverfahren prüfen und genehmigen

Der Vorstand muss Gewissheit haben, dass die Einrichtung die strengen NIS2-Meldefristen einhalten kann: Frühwarnung innerhalb von 24 Stunden, Vorfallmitteilung innerhalb von 72 Stunden und Abschlussbericht innerhalb eines Monats. Diese Fristen setzen vorab genehmigte und erprobte Verfahren voraus.

Maßnahme: Prüfen und genehmigen Sie formell den Vorfallsreaktionsplan, einschließlich des 24-Stunden-Frühwarnverfahrens. Stellen Sie sicher, dass der Plan innerhalb der letzten 24 Monate durch Tabletop-Übungen getestet wurde.

Schritt 6: Cybersicherheitsrisiken in der Lieferkette bewerten

Artikel 21 Absatz 2 Buchstabe d verpflichtet Einrichtungen, die Lieferkettensicherheit zu adressieren. Der Vorstand muss sicherstellen, dass Drittparteien-Risikobewertungen durchgeführt werden und kritische Lieferanten den Sicherheitsanforderungen entsprechen.

Maßnahme: Fordern Sie einen Bericht über das ICT-Drittparteien-Register der Einrichtung und die Ergebnisse der Sicherheitsbewertungen für kritische Lieferanten an. Genehmigen Sie die Lieferkettensicherheitsrichtlinien.

Schritt 7: Alles dokumentieren

Die mit Abstand wichtigste Maßnahme für Vorstände, denen persönliche Haftung droht, ist die Dokumentation. Wenn eine Aufsichtsbehörde einen Cybersicherheitsvorfall in Ihrer Einrichtung untersucht, wird sie Beweise anfordern, dass der Vorstand seinen Pflichten nachgekommen ist. Vorstandsprotokolle, Schulungsnachweise, Genehmigungsdokumente und Berichtsnachweise sind die Verteidigung des Vorstands.

Maßnahme: Führen Sie eine sofortige Dokumentationsprüfung durch. Stellen Sie sicher, dass für jede NIS2-Pflicht entsprechende Nachweise existieren: Vorstandsprotokolle mit Maßnahmegenehmigungen, Schulungsteilnahmenachweise, empfangene und geprüfte Quartalsberichte, Ergebnisse von Vorfallsreaktionstests und Lieferkettenbewertungsberichte.

Wie die Cyberversicherung das Management schützt

Die Cyberversicherung spielt im NIS2-Haftungsumfeld eine zentrale Rolle. Auch wenn der Versicherungsschutz nicht in allen Rechtsordnungen gegen regulatorische Geldstrafen schützt, kann sie Folgendes bieten:

  • Kosten der Rechtsverteidigung — Deckung der Kosten für die rechtliche Vertretung während behördlicher Untersuchungen
  • Krisenmanagement-Unterstützung — Zugang zu Vorfallsreaktionsteams, Forensikern und Rechtsberatern
  • Betriebsunterbrechungsdeckung — Finanzieller Schutz bei Serviceunterbrechungen infolge von Cybersicherheitsvorfällen
  • Vorstands- und Geschäftsführer-Haftpflichtversicherung (D&O) — Persönlicher finanzieller Schutz für Vorstände und Geschäftsführer bei Haftungsansprüchen

Allerdings prüfen Cyberversicherer zunehmend den NIS2-Compliance-Status. Ein Vorstand, der keine Compliance nachweisen kann, kann Deckungslücken oder Anspruchsausschlüsse riskieren. Nutzen Sie unseren Cyber-Risikorechner, um Ihre Exposition zu bewerten, und unseren NIS2-Compliance-Checker, um Ihre aktuelle Lage zu beurteilen.

Deutschland, Frankreich und die Niederlande: Frühe Umsetzungssignale

Die Mitgliedstaaten waren verpflichtet, NIS2 bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Während viele diese Frist verpasst haben, haben mehrere bedeutende Fortschritte erzielt:

Deutschland (BSI-Durchsetzung)

Deutschlands BSIG-Änderungen (BSI-Gesetz) setzen NIS2 durch den bestehenden BSI-Regulierungsrahmen um. Das BSI hat erweiterte Aufsichtsbefugnisse angekündigt, einschließlich unangekündigter Prüfungen und persönlicher Haftungsregelungen für Leitungsorgane kritischer und besonders kritischer Einrichtungen. Der deutsche Ansatz klassifiziert Einrichtungen als „kritisch”, „besonders kritisch” oder „wichtig” mit steigenden Pflichten.

Frankreich (ANSSI-Aufsicht)

Frankreich hat die ANSSI als zuständige Aufsichtsbehörde benannt. Die französische Umsetzung enthält persönliche Haftungsregelungen und hat den Geltungsbereich der erfassten Einrichtungen im bestehenden LPM-Rahmen (Loi de Programmation Militaire) erweitert. Die ANSSI hat Leitlinien veröffentlicht, wonach die Durchsetzung bei wesentlichen Einrichtungen in kritischen Infrastruktursektoren beginnen wird. Siehe unseren NIS2-Frankreich-ANSSI-Compliance-Leitfaden für den vollständigen französischen Durchsetzungszeitplan und die Anforderungen.

Niederlande (CSAN-Umsetzung)

Die Niederlande haben NIS2 durch den Cyber Security Act (CSAN) umgesetzt, der persönliche Haftung für Leitungsorgane wesentlicher und wichtiger Einrichtungen vorsieht. Der niederländische Ansatz umfasst ein abgestuftes Durchsetzungsmodell mit eskalierenden Sanktionen.

Italien (ACN-Aufsicht)

Italiens Decreto Legislativo 138/2024 übernimmt die maximalen persönlichen Haftungsregelungen, die NIS2 zulässt. Artikel 23 macht Leitungsorgane persönlich für Cybersicherheitsversäumnisse haftbar, mit individuellen Verwaltungssanktionen für Direktoren, die keine Sorgfalt nachweisen können. Die ACN verfügt über unangekündigte Prüfungsbefugnisse und kann Leitungsfunktionen vorübergehend aussetzen. Italien hat zudem die Sanktionsbestimmungen für Wiederholungstäter innerhalb von fünf Jahren verdoppelt. Siehe unseren NIS2-Italien-ACN-Compliance-Leitfaden für den vollständigen italienischen Durchsetzungsrahmen.

Die Uhr tickt

Für Leitungsorgane wesentlicher und wichtiger Einrichtungen ist die Zeit für Delegation abgelaufen. Die persönliche Haftung nach NIS2 bedeutet, dass Cybersicherheits-Governance-Fehler zu persönlichen Geldstrafen und karrierebeendenden Funktionsverboten führen können. Die oben beschriebenen sieben Schritte sind das Minimum, das jeder Vorstand unverzüglich umsetzen sollte.

Laden Sie unsere kostenlose NIS2-Compliance-Checkliste herunter, um die Bereitschaft Ihrer Einrichtung zu bewerten. Für eine umfassende Bewertung nutzen Sie unseren NIS2-Compliance-Checker — er dauert 5 Minuten und identifiziert genau, wo Ihre Lücken liegen.

Wenn Sie als Makler oder Underwriter die NIS2-Compliance von Kunden bewerten, lesen Sie unseren NIS2-Underwriting-Fragenkatalog mit den spezifischen Fragen, die Compliance-Lücken während der Platzierung aufdecken.

Für sektorspezifische Hinweise zu den risikoreichsten NIS2-Einrichtungen siehe unseren Kritische-Infrastruktur-Underwriting-Leitfaden — mit Schwerpunkt auf Gesundheitswesen, Energie und Transport sowie underwriting-spezifischen Risikofaktoren.

Michael Guiao Michael Guiao gründete Resiliently AI und schreibt Resiliently. Er hat CISM, CCSP, CISA und DPO-Zertifizierungen — aber sie verfallen lassen, denn im Zeitalter von KI ist Wissen billig. Worauf es ankommt, ist Urteilskraft — und die kommt aus acht Jahren Praxis bei Zurich, Sompo, AXA und PwC.

Get the full picture with premium access

In-depth reports, assessment tools, and weekly risk intelligence for cyber professionals.

Starter

€199 /month

Unlimited scans, submission packets, PDF downloads, NIS2/DORA

View Plans →
Best Value

Professional

€490 /month

Full platform — continuous monitoring, API access, white-label reports

Everything in Starter plus professional tools

Upgrade Now →
30-day money-back
Secure via Stripe
Cancel anytime

Free NIS2 Compliance Checklist

Get the free 15-point PDF checklist + NIS2 compliance tips in your inbox.

No spam. Unsubscribe anytime. Privacy Policy

blog.featured

WordPress Plugin Flaw CVE-2023-4213 Exposes 10K+ Sites to Cyber Claims

Cyber Risk ·

6 min read

WordPress Plugin XSS Vulnerability Exposes Cyber Insurance Portfolios to Persistent Web Risks

Cyber Risk ·

5 min read

WordPress Security Plugin Flaw Exposes Organizations to Cyber Claims

Cyber Risk ·

6 min read

WordPress Plugin Flaw Exposes Cyber Insurance Portfolios to SQL Injection Risks

Cyber Risk ·

6 min read

Premium Report

2026 Cyber Risk Landscape Report

24 pages of threat analysis, claims data, and underwriting implications for European cyber insurance.

View Reports →

Verwandte Artikel

DeepMind Mapped Every Way the Web Can Hijack Your AI Agent — Here Is What Underwriters Need to Ask
AI Agents · · 20 min read

DeepMind Mapped Every Way the Web Can Hijack Your AI Agent — Here Is What Underwriters Need to Ask

Google DeepMind researchers classified six categories of AI agent attacks — from invisible web content that hijacks perception to cascading multi-agent failures. Coverage gaps emerge at every layer. Here is the underwriting playbook.