--- title: "Persönliche Haftung bei NIS2: Was Geschäftsführer wissen müssen" date: 2026-01-21T08:35:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/persönliche-haftung-bei-nis2-was-geschäftsführer-wissen-müssen" section: "Entries: Articles" --- ### §38 BSIG-neu: Die persönliche Haftung [\#](#38-bsig-neu-die-pers%C3%B6nliche-haftung "§38 BSIG-neu: Die persönliche Haftung") #### Grundregel [\#](#grundregel "Grundregel") Der Geschäftsführer ist strafrechtlich haftbar, wenn: 1. Die Einrichtung einen **Verstoß gegen NIS2-Anforderungen** begeht (z. B. keine Backups) 2. Dieser Verstoß auf **Fahrlässigkeit oder Vorsatz** des GF zurückzuführen ist 3. Der Schaden **erheblich** ist (typisch bei Cyber-Vorfällen) #### Was bedeutet “Fahrlässigkeit”? [\#](#was-bedeutet-fahrl%C3%A4ssigkeit "Was bedeutet ") **Fahrlässigkeit liegt vor, wenn:** - Der GF von einer bekannten IT-Sicherheitslücke gewusst hat, aber nicht handelte - Audit-Bemerkungen ignoriert wurden - Budget für Sicherheitsmaßnahmen verweigert wurde, obwohl Risiken bekannt waren - Schulungen nicht durchgeführt wurden, obwohl bereits ein Sicherheitsincident passiert war **Fahrlässigkeit liegt NICHT vor, wenn:** - Der GF vernünftig von Best Practices ausging (z. B. Cloud-Backups) - Ein unverhersehbarer Zero-Day Exploit genutzt wurde - Die IT-Abteilung den GF falsch beriet und er dieser Beratung folgte --- ### Die Schulungspflicht der Geschäftsleitung [\#](#die-schulungspflicht-der-gesch%C3%A4ftsleitung "Die Schulungspflicht der Geschäftsleitung") Das BSIG-neu verlangt explizit, dass die **Geschäftsleitung geschult** wird: **Was das konkret bedeutet:** - Jährlich mindestens eine IT-Sicherheits-Schulung für Vorstand/Geschäftsführung - Schulung sollte folgende Themen abdecken: - NIS2-Anforderungen und Haftungsrisiken - Aktuelle Bedrohungen (Ransomware-Trends, häufige Angriffsvektoren) - Backup- und Disaster-Recovery-Strategien - Incident Response Procedures - Cyber-Versicherung und Schadensfall-Handling **Dokumentation ist entscheidend:** - Schulungs-Teilnahmebescheinigung aufbewahren - Schulungs-Inhalte dokumentieren - Im Streitfall: “Wir haben eine Schulung durchgeführt” ist die Hauptverteidigung --- ### Was “angemessene Maßnahmen” konkret bedeutet [\#](#was-angemessene-ma%C3%9Fnahmen-konkret-bedeutet "Was ") Das BSIG-neu verlangt “angemessene Maßnahmen”, um Cybersicherheit herzustellen. Das ist bewusst vage formuliert, aber der GF sollte Folgendes implementieren: #### 1. Risikomanagement-Prozess [\#](#1-risikomanagement-prozess "1. Risikomanagement-Prozess") - \[ \] Jährlich: Risiko-Analyse durchführen (IT-Sicherheitsauditor) - \[ \] Definieren: Welche Systeme sind kritisch? - \[ \] Definieren: RTO/RPO pro System - \[ \] Dokumentieren: Risiken und Maßnahmen #### 2. Backup- und Recovery-Strategie [\#](#2-backup-und-recovery-strategie "2. Backup- und Recovery-Strategie") - \[ \] Offline-Backups durchführen (nicht nur Netzwerk-Backups) - \[ \] Recovery-Tests monatlich/quartalweise durchführen - \[ \] RTO/RPO dokumentieren und einhalten - \[ \] Recovery-Plan im Notfall-Handbuch #### 3. Patch-Management und Updates [\#](#3-patch-management-und-updates "3. Patch-Management und Updates") - \[ \] Automatische Updates aktivieren (oder monatliche Update-Zyklen) - \[ \] Zero-Day-Exploit-Policy: wie schnell werden Patches eingespielt? - \[ \] Test-Umgebung vor Production (sollte schon Standard sein) #### 4. Incident Response Plan [\#](#4-incident-response-plan "4. Incident Response Plan") - \[ \] Schriftlich dokumentiert - \[ \] Rollen und Verantwortlichkeiten definiert - \[ \] Eskalationskette klar - \[ \] Externe Partner (Forensik, BSI, Anwälte) vorab kontaktiert #### 5. Cyber-Versicherung [\#](#5-cyber-versicherung "5. Cyber-Versicherung") - \[ \] D&O-Versicherung (Directors & Officers Liability) - \[ \] Cyber-Versicherung (mit Lösegeld-Deckung, falls gewünscht) - \[ \] Versicherungs-Police vor Schadensfall gut verstehen #### 6. Geschäftsleitung-Schulung [\#](#6-gesch%C3%A4ftsleitung-schulung "6. Geschäftsleitung-Schulung") - \[ \] Jährlich mindestens 1 Schulung - \[ \] Externe Trainer empfohlen (Glaubwürdigkeit) - \[ \] Teilnahmebescheinigung archivieren --- ### Praktische Strategien zur Haftungs-Minimierung [\#](#praktische-strategien-zur-haftungs-minimierung "Praktische Strategien zur Haftungs-Minimierung") #### 1. Dokumentation, Dokumentation, Dokumentation [\#](#1-dokumentation-dokumentation-dokumentation "1. Dokumentation, Dokumentation, Dokumentation") **Alles schriftlich festhalten:** - IT-Sicherheitsrichtlinie (unterzeichnet vom GF) - Risk Assessment-Ergebnisse - IT-Investitions-Pläne (mit Begründung) - Recovery-Tests (mit Datumsangabe und Ergebnis) - Schulungsnachweise - Audit-Berichte (intern und extern) Im Streitfall: “Wir haben ein Konzept, wir dokumentieren alles” ist eine starke Position. #### 2. Externe Experten einbeziehen [\#](#2-externe-experten-einbeziehen "2. Externe Experten einbeziehen") **Nicht nur IT-intern, sondern auch extern:** - Jährlicher IT-Sicherheits-Audit durch Externe Firma (z. B. BSI C5) - Penetrations-Test (1x/Jahr) - Beratung von IT-Sicherheits-Spezialisten - Beteiligung von externem Cybersicherheits-Anwalt **Vorteil:** Im Schadensfall: “Wir haben externe Experten beauftragt und deren Empfehlungen befolgt.” #### 3. Board-Entscheidungen schriftlich dokumentieren [\#](#3-board-entscheidungen-schriftlich-dokumentieren "3. Board-Entscheidungen schriftlich dokumentieren") **Z. B.:** - Board-Beschluss: “Wir investieren 150.000 EUR in Hardware Air Gap Backups” - Board-Beschluss: “Wir führen monatliche Recovery-Tests durch” - Board-Beschluss: “Wir schulen alle Mitarbeiter jährlich” Diese Beschlüsse sind später Evidenz dafür, dass Sie nicht fahrlässig gehandelt haben. #### 4. D&O-Versicherung mit Cyber-Rider [\#](#4-d-o-versicherung-mit-cyber-rider "4. D&O-Versicherung mit Cyber-Rider") Eine gute D&O-Versicherung deckt persönliche Haftung des GF ab: **Was Sie checken sollten:** - Deckungssumme: mind. 10 Mio. EUR - Cyber-Rider: sind Cyber-Verstöße deckbar? (nicht alle Policen!) - Selbstbeteiligung: wie hoch? (typisch 100.000–500.000 EUR) - Versicherer-Schutz vor Behörden-Strafen: ja oder nein? **Wichtig:** Versicherungs-Police vor Abschluss genau lesen. Nicht alle D&O-Versicherungen decken Cyber-Verstöße. #### 5. Beratungs-Memorandum anfertigen [\#](#5-beratungs-memorandum-anfertigen "5. Beratungs-Memorandum anfertigen") **Ein schriftliches Memorandum vom IT-Berater/Anwalt:** “Basierend auf unserer Analyse liegt die Einrichtung XY unter die NIS2UmsuCG-Anforderungen. Um konform zu sein, empfehlen wir folgende Maßnahmen \[Liste\]. Der Geschäftsführer hat diese Empfehlungen akzeptiert und beauftragt die Umsetzung.” Im Schadensfall: “Wir haben einem Experten vertraut und seine Ratschläge befolgt.” --- ### Persönliche Haftung vs. Unternehmens-Haftung [\#](#pers%C3%B6nliche-haftung-vs-unternehmens-haftung "Persönliche Haftung vs. Unternehmens-Haftung") ScenarioHaftungRansomware-Angriff, Unternehmen hatte Offline-Backups, konnte in 1h wiederherstellenGF: ❌ keine Haftung (angemessene Maßnahmen getroffen)Ransomware-Angriff, keine Backups, Betrieb 2 Wochen offline, GF wusste von RisikoGF: ✅ persönliche Haftung + Strafe + SchadensersatzRansomware-Angriff, Backups vorhanden aber nicht getestet, Recovery fehlgeschlagenGF: ⚠️ Fahrlässigkeit möglich (Backups ohne Tests?)Daten-Leak durch alte Software, GF nicht informiert, IT-Leiter zu spät Patch eingespieltGF: ❌ keine Haftung (konnte nicht wissen)Daten-Leak durch alte Software, GF wurde 6 Monate vorher informiert, ignorierte esGF: ✅ persönliche Haftung + Fahrlässigkeit--- ### Checkliste: Wie minimiere ich Haftung? [\#](#checkliste-wie-minimiere-ich-haftung "Checkliste: Wie minimiere ich Haftung?") #### Organisatorisch [\#](#organisatorisch "Organisatorisch") - \[ \] IT-Sicherheitsrichtlinie schriftlich, unterschrieben - \[ \] Verantwortlichkeiten klar (Wer ist IT-Sicherheits-Officer?) - \[ \] Budget für IT-Sicherheit freigegeben (> 2% des IT-Budgets empfohlen) - \[ \] Board-Beschlüsse zu Sicherheitsmaßnahmen #### Technisch [\#](#technisch "Technisch") - \[ \] Offline-Backups implementiert (Hardware Air Gap oder Tape) - \[ \] Recovery-Tests monatlich/quartalweise durchgeführt - \[ \] Patch-Management aktiv - \[ \] EDR/Antivirus aktiv - \[ \] Netzwerk-Segmentierung aktiv #### Schulung & Bewusstsein [\#](#schulung-bewusstsein "Schulung & Bewusstsein") - \[ \] Geschäftsleitung jährlich geschult - \[ \] Alle Mitarbeiter jährlich geschult - \[ \] Schulungs-Nachweise archiviert - \[ \] Phishing-Simulation durchgeführt (2x/Jahr) #### Versicherung & Rechtliches [\#](#versicherung-rechtliches "Versicherung & Rechtliches") - \[ \] D&O-Versicherung mit Cyber-Rider abgeschlossen - \[ \] Cyber-Versicherung abgeschlossen - \[ \] Versicherungs-Policen verstanden - \[ \] Anwalt mit Cyber-Expertise konsultiert - \[ \] Beratungs-Memorandum vom Experten archiviert #### Audit & Compliance [\#](#audit-compliance "Audit & Compliance") - \[ \] Jährlicher externer IT-Sicherheits-Audit - \[ \] Penetrations-Test (mind. 1x/Jahr) - \[ \] Gap-Analyse durchgeführt - \[ \] Audit-Findings dokumentiert - \[ \] Remediation-Plan erstellt --- ### Häufige Fragen [\#](#h%C3%A4ufige-fragen "Häufige Fragen") **Kann ich als GF für IT-Sicherheit einen Spezialisten einstellen und dann mich “rausnehmen”?**Nein. Die persönliche Haftung bleibt. Sie müssen überwachen, dass der Spezialist die Arbeit richtig macht. Aber: Ein Spezialist reduziert Ihr Fahrlässigkeitsrisiko (Sie haben einen Experten). **Was ist, wenn unser IT-Leiter die Sicherheitsmaßnahmen absichtlich sabotiert?**Das ist sein Problem (Straftat). Sie haften nicht persönlich, WENN Sie reasonable controls hatten (z. B. ein Vier-Augen-Prinzip für kritische Entscheidungen). **Brauchen wir wirklich D&O-Versicherung?**Rechtlich: nein. Praktisch: sehr empfohlen. Eine Strafe von 5 Mio. EUR kann ein mittelständisches Unternehmen zugrunde richten. Versicherung schützt Ihr privates Vermögen. **Kann die Versicherung mich weigern zu zahlen?**Ja, wenn Sie grossly negligent waren (z. B. bewusst keine Backups trotz bekanntem Risiko). Deshalb: Immer Maßnahmen dokumentieren, um Fahrlässigkeit auszuschließen. --- ### NIS2 Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2) ### NIS2 Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2) ### NIS2 Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2) ### NIS2 Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2) ### Ransomware Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Disaster Recovery Disaster Recovery bezeichnet die strukturierten Prozesse und technischen Maßnahmen, die sicherstellen, dass IT-Systeme nach einem schwerwiegenden Ausfall — Ransomware-Angriff, Hardwareversagen, Rechenzentrumsausfall — innerhalb definierter Zeitrahmen (RTO) mit maximalem Datenverlust (RPO) wiederhergestellt werden können. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/disaster-recovery)