Haftungsfalle Cybersecurity: NIS-2-Schulungspflicht setzt Geschäftsleiter unter Zugzwang.
Cyberangriffe treffen Unternehmen immer häufiger und entwickeln sich zum zentralen Geschäftsrisiko. Aktuell schärfen die NIS-2-Richtlinie und der Entwurf eines neuen BSI-Gesetzes die Verantwortung der Chefetagen und verpflichten Geschäftsleiter zu regelmäßigen Schulungen im Cyberrisikomanagement. Die neue Schulungspflicht macht Cybersecurity zur Kernaufgabe der Geschäftsleitung und rückt die persönliche Verantwortung in den Mittelpunkt. Wer die Vorgaben unterschätzt, riskiert hohe Bußgelder und Regressansprüche.
Zusammenfassung (TL; DR):
- Die NIS-2-Richtlinie der Europäischen Union setzt einen einheitlichen Rahmen für Cybersicherheit in 18 Sektoren
- Die Geschäftsleitung trägt die Verantwortung für den Kurs im Cyberrisikomanagement und benötigt fundierte Entscheidungsgrundlagen durch gezielte Schulung
- Verstöße gegen die Vorgaben aus NIS-2 und BSIG E können zu erheblichen Bußgeldern führen
Was es mit der NIS2-Richtlinie auf sich hat
Die NIS2-Richtlinie der Europäischen Union setzt einen einheitlichen Rahmen für Cybersicherheit in 18 Sektoren. Sie richtet sich an besonders wichtige Einrichtungen und wichtige Einrichtungen ab mittlerer Unternehmensgröße mit mehr als 50 Beschäftigten oder einem Umsatz ab zehn Millionen Euro. Im Zentrum stehen ein belastbares Risikomanagement und klare Meldewege bei Sicherheitsvorfällen, die das Management führend verantwortet.
Mit dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz überträgt der deutsche Gesetzgeber diese Vorgaben in das BSI-Gesetz (BSIG). Das BSIG konkretisiert technische und organisatorische Maßnahmen und umfasst Risikoanalyse, Notfall- sowie Wiederanlaufpläne, Lieferkettensicherheit, Schulungen zur Cyberhygiene, Personalsicherheit und Zugriffskontrollen. Außerdem richtet das BSIG den Blick direkt auf die Geschäftsleitung und verankert ihre Aufgaben im Cyberrisikomanagement. Die Vorgaben führen dazu, dass Vorstände und Geschäftsführer das Thema Cybersicherheit kontinuierlich auf der Agenda halten müssen. BSIG E verlangt unter anderem auch die Teilnahme an Schulungen, die Überwachung der Schutzmaßnahmen und die Einbindung der richtigen Fachleute im Unternehmen.
BSI-Leitfaden macht Cyber-Schulung zur Chefsache
„Die Geschäftsleitung trägt die Verantwortung für den Kurs im Cyberrisikomanagement und benötigt fundierte Entscheidungsgrundlagen durch gezielte Schulung“, erklärt Rechtsanwalt André Schenk von SBS Legal. Die vorläufige Orientierungshilfe des BSI vom 30. September 2025 konkretisiert die Schulungspflicht – ersetzt aber keine unternehmensspezifische, rechtssichere Umsetzung, für die die Geschäftsleitung begleitende Rechtsberatung in Anspruch nehmen sollte.
Sie definiert die Mitglieder der obersten Geschäftsleitung als Adressaten und empfiehlt darüber hinaus die Einbindung von Führungskräften mit Verantwortung für Informationstechnologie. Der Gesetzgeber legt ein Mindestintervall von drei Jahren fest, das BSI empfiehlt je nach Risikolage häufigere Formate bis zu jährlichen Terminen.
Inhaltlich legt der Leitfaden einen Schwerpunkt auf ein Verständnis der NIS-2-Regulierung, der Pflichten aus dem BSIG sowie der Auswirkungen von Sicherheitsvorfällen auf Geschäftsprozesse. Dazu kommen Übungen mit Fallstudien, Planspielen und Simulationen von Cyberangriffen, die die Handlungsfähigkeit der Leitungsorgane stärken. „Gut vorbereitete Geschäftsleiter erleben eine Krisensimulation als Chance und üben Abläufe, bevor der Ernstfall eintritt“, erläutert Schenk.
Die Dokumentation der Schulungen gewinnt vor diesem Hintergrund besondere Bedeutung. Teilnahmeunterlagen, Anwesenheitslisten und Materialien dienen als Nachweis gegenüber Aufsichtsbehörden und Prüfstellen und schaffen zugleich Transparenz im Unternehmen. Wer strukturierte Nachweise führt, stärkt seine Position in Haftungssituationen und zeigt gelebte Governance.
NIS-2-Verstöße führen zu hohen Bußgeldern und persönlichen Haftungsrisiken
Verstöße gegen die Vorgaben aus NIS2 und BSIG E können zu erheblichen Bußgeldern führen. Für besonders wichtige Einrichtungen sieht der Entwurf Obergrenzen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes vor. In vielen Konstellationen drohen darüber hinaus Regressansprüche an die Geschäftsführer oder die Vorstände der Gesellschaft auf Grundlage der Sorgfaltspflichten nach Aktienrecht und GmbH-Recht.
Aus Sicht von SBS Legal entwickelt sich damit eine neue Haftungsfalle im Management. „Cybersicherheit gehört zur unternehmerischen Kernstrategie und zur persönlichen Risikosteuerung der Organmitglieder“, betont André Schenk. Er rät Geschäftsleitungen zu einem strukturierten Programm aus Schulungen, Notfallübungen und klaren Zuständigkeiten, das die Anforderungen von NIS2 mit den eigenen Geschäftsmodellen verbindet.
