Der wahrscheinlich folgenreichste Satz der NIS2-Richtlinie steht nicht in den technischen Anhängen. Er lautet sinngemäß: Die Leitungsorgane sind verantwortlich — und können persönlich haftbar gemacht werden.
Damit verschiebt NIS2 etwas Grundlegendes. Cybersicherheit war in vielen Unternehmen jahrelang ein Thema, das man „an die IT delegiert" hat. Genau diese Delegation entlastet die Geschäftsführung jetzt nicht mehr. Wer in Vorstand oder Geschäftsführung sitzt, trägt eine eigene, nicht abwälzbare Verantwortung — unabhängig davon, ob er ein Passwort von einem Phishing-Link unterscheiden kann.
Dieser Beitrag ordnet, was die NIS2-Richtlinie (EU) 2022/2555 konkret von der Geschäftsführung verlangt — getrennt nach den beiden entscheidenden Artikeln 20 (Governance) und 21 (Maßnahmen) und ohne Paragraphen-Nebel.
Kurzfassung für eilige Leser: Die Geschäftsführung muss die Cyber-Risikomaßnahmen billigen, ihre Umsetzung überwachen, sich selbst schulen lassen — und sie haftet für Versäumnisse. Drei Pflichten, eine Konsequenz.
Der eigentliche Bruch: von der IT-Aufgabe zur Führungsaufgabe
Frühere Regulierung adressierte vor allem das Unternehmen als Organisation. NIS2 adressiert zusätzlich die Personen an der Spitze. Die Europäische Kommission stellt ausdrücklich klar, dass das Top-Management für die Einhaltung der Cyber-Risikomaßnahmen verantwortlich gemacht wird — das Thema kommt damit nachweisbar im Boardroom an.
Praktisch bedeutet das einen Perspektivwechsel, der vielen Leitungsorganen noch nicht bewusst ist:
Artikel 20: Die drei Governance-Pflichten
Artikel 20 ist der Governance-Kern. Er formuliert drei Pflichten, die sich nicht an die IT-Abteilung richten, sondern an die Mitglieder der Leitungsorgane selbst.
Billigen. Die Geschäftsführung muss die Cyber-Risikomanagement-Maßnahmen aktiv genehmigen. Das ist mehr als ein Häkchen: Es setzt voraus, dass die Leitung versteht, was sie billigt — und welches Restrisiko sie damit bewusst akzeptiert.
Überwachen. Die bloße Genehmigung reicht nicht. Die Leitung muss die Umsetzung fortlaufend überwachen. Ein einmal verabschiedetes Konzept, das danach niemand kontrolliert, erfüllt die Pflicht nicht.
Sich schulen lassen. Mitglieder der Leitungsorgane müssen Schulungen wahrnehmen, um Cyber-Risiken identifizieren und bewerten zu können. Diese NIS2-Schulungspflicht der Geschäftsleitung ist keine Empfehlung, sondern Bestandteil der Richtlinie.
Das deutsche Bundesamt für Sicherheit in der Informationstechnik fasst diese Anforderungen in seinem NIS-2-FAQ für betroffene Unternehmen zusammen — ein nützlicher Einstieg, um den eigenen Status zu prüfen.
Artikel 21: Wofür die Leitung geradesteht
Während Artikel 20 die Verantwortung regelt, beschreibt Artikel 21 die Substanz: die Mindestmaßnahmen, die jedes betroffene Unternehmen auf Basis eines All-Hazards-Ansatzes umsetzen muss. Die Geschäftsführung billigt und überwacht genau diese Liste. Sie sollte sie deshalb kennen — nicht im Detail, aber in den Konturen:
Risikoanalyse und Sicherheitskonzepte für Informationssysteme
Incident Handling — Erkennung, Bewältigung und Meldung von Vorfällen
Business Continuity, Backup-Management und Disaster Recovery (Krisenmanagement)
Sicherheit der Lieferkette und Beziehungen zu Dienstleistern
Sicherheit bei Beschaffung, Entwicklung und Wartung von Systemen
Konzepte zur Bewertung der Wirksamkeit der Maßnahmen
Cyber-Hygiene und Schulung der Mitarbeitenden
Kryptografie, Zugriffskontrolle, Asset-Management und Multi-Faktor-Authentifizierung
Die ENISA Technical Implementation Guidance konkretisiert diese Maßnahmen für bestimmte digitale Dienste deutlich detaillierter als die nationale Umsetzung — und betont die Schnittstelle zwischen Incident Handling und Business Continuity.
Wichtig für die Leitungsebene. Sie müssen diese Maßnahmen nicht selbst umsetzen. Aber Sie müssen beurteilen können, ob sie angemessen umgesetzt sind — und das setzt genug eigenes Verständnis voraus, um die richtigen Fragen zu stellen. Genau das ist der Sinn der Schulungspflicht.
Die Haftung: Was im Ernstfall persönlich wird
NIS2 verbindet die Governance-Pflichten mit echten Sanktionen. Die Bußgelder treffen zunächst das Unternehmen, doch die persönliche Verantwortung der Leitung ergibt sich zusätzlich aus dem allgemeinen Gesellschafts- und Schadensersatzrecht — insbesondere, wenn sich Sorgfaltspflichtverletzungen nicht widerlegen lassen.
Entscheidend ist die Beweislast: Im Streitfall muss die Geschäftsführung zeigen, dass sie ihrer Sorgfaltspflicht nachgekommen ist. Wer keinen Beschluss, kein Protokoll, keine dokumentierte Abwägung vorweisen kann, hat ein strukturelles Problem — selbst wenn er „eigentlich alles richtig gemacht" hat. Wie das in der Praxis konkret schiefläuft, beschreibt der Beitrag NIS2 in der Praxis: Wo Compliance auf dem Papier versagt.
Was die Geschäftsführung konkret tun sollte
Aus den Pflichten lässt sich eine schlanke, wiederholbare Routine ableiten — kein Großprojekt, sondern Führungsdisziplin:
Betroffenheit klären. Fallen Sie überhaupt unter NIS2? Eine schnelle Standortbestimmung liefert die kostenlose NIS2-Checkliste für die Geschäftsleitung.
Risikomaßnahmen formal billigen. Nicht per E-Mail, sondern als protokollierter Beschluss mit Datum und akzeptiertem Restrisiko.
Überwachung verankern. Ein fester Tagesordnungspunkt pro Quartal: Top-Risiko-Bild, anstehende Entscheidungen, Wirksamkeitsnachweise.
Schulung wahrnehmen. Die Leitungsorgane lassen sich nachweisbar schulen — idealerweise praxisnah, nicht als Folien-Webinar.
Den Ernstfall üben. Eine Cyber-Krisensimulation zeigt, ob die gebilligten Maßnahmen unter Druck als System funktionieren — und erzeugt zugleich einen Wirksamkeitsnachweis.
Vier Irrtümer, die in der Praxis teuer werden
In Gesprächen mit Geschäftsführungen begegnen mir immer wieder dieselben Annahmen — und sie sind alle gefährlich, weil sie sich vernünftig anfühlen.
1. „Wir haben einen externen Dienstleister, der kümmert sich um NIS2." Ein Dienstleister kann Maßnahmen umsetzen und beraten. Er kann der Geschäftsführung aber nicht die Pflicht abnehmen, diese Maßnahmen zu billigen, zu überwachen und zu verantworten. Die gesetzliche Verantwortung lässt sich nicht einkaufen, nur die Umsetzung.
2. „Wir sind zu klein, um betroffen zu sein." NIS2 hat den Kreis der betroffenen Einrichtungen deutlich ausgeweitet — über rund 18 Sektoren hinweg, oft schon ab 50 Beschäftigten oder 10 Mio. € Jahresumsatz. Zudem wirkt die Lieferketten-Anforderung indirekt durch: Auch kleinere Zulieferer kritischer Einrichtungen werden über Vertragsklauseln faktisch in die Pflicht genommen.
3. „Wir haben ein Konzept verabschiedet, also sind wir compliant." Ein einmal gebilligtes Konzept erfüllt nur die halbe Pflicht. Die laufende Überwachung der Umsetzung ist der Teil, der in der Praxis am häufigsten fehlt — und der im Prüfungsfall am sichtbarsten ist.
4. „Im Ernstfall regeln wir das dann." Genau das ist der teuerste Irrtum. Unter dem Druck eines realen Vorfalls fehlt die Zeit, Entscheidungsrechte, Meldewege und Eskalationsschwellen erst zu klären. Wer diese Strukturen nicht vorher etabliert und geübt hat, verliert im Ernstfall die kritischen ersten Stunden.
Allen vier Irrtümern ist eines gemeinsam: Sie verschieben die Verantwortung — auf Dienstleister, auf die Unternehmensgröße, auf ein Dokument, auf die Zukunft. NIS2 lässt genau diese Verschiebung nicht mehr zu. Die Verantwortung bleibt bei der Leitung, und sie wird im Zweifel persönlich.
Der All-Hazards-Ansatz: warum NIS2 mehr meint als Hacker
Ein Detail aus Artikel 21 wird in Vorständen oft überlesen, ist aber für die Risikobewertung der Leitung zentral: Die Maßnahmen müssen einem All-Hazards-Ansatz folgen. Gemeint ist, dass nicht nur gezielte Cyberangriffe abzudecken sind, sondern alle Gefahren, die die Verfügbarkeit, Integrität und Vertraulichkeit der Systeme bedrohen können.
Dazu zählen ausdrücklich auch Ereignisse jenseits des klassischen Hacker-Bildes: der Ausfall eines Rechenzentrums, ein Stromausfall, der Brand in einem Serverraum, der plötzliche Wegfall eines kritischen Dienstleisters oder menschliches Versagen. Für die Geschäftsführung bedeutet das, die Risikobetrachtung bewusst breiter aufzuziehen, als es das Wort „Cybersicherheit" zunächst nahelegt.
Genau hier verbindet sich NIS2 mit klassischem Business Continuity Management. Der BSI-Standard 200-4 beschreibt, wie ein Unternehmen den Geschäftsbetrieb bei Ausfällen aller Art aufrechterhält oder wiederherstellt. Wer NIS2 ernst nimmt, denkt Cybersicherheit und Geschäftskontinuität deshalb zusammen — nicht in getrennten Silos.
Häufige Fragen
Gilt die persönliche Verantwortung für alle Geschäftsführer oder nur für einen „IT-Verantwortlichen"?
Die Pflichten richten sich an die Leitungsorgane als Ganzes. Cybersicherheit lässt sich intern an eine Funktion zuordnen, aber die Gesamtverantwortung der Geschäftsführung bleibt bestehen. Ein einzelner „CISO-Beauftragter" entlastet die übrigen Mitglieder nicht von ihrer Aufsichtspflicht.
Reicht es, wenn wir ein ISMS oder eine ISO-27001-Zertifizierung haben?
Ein gutes ISMS deckt viele Anforderungen ab, ist aber kein automatischer NIS2-Nachweis. NIS2 verlangt zusätzlich konkrete Punkte zu Lieferketten, Meldepflichten und vor allem zur Governance- und Schulungsverantwortung der Leitung, die eine Zertifizierung nicht explizit fordert.
Was ist der schnellste erste Schritt?
Betroffenheit prüfen und die nächste Vorstandssitzung nutzen, um einen ersten dokumentierten Beschluss zu fassen. Schon eine protokollierte Risikoabwägung ist mehr Nachweis-Spur, als viele Unternehmen heute haben.
Fazit: Verantwortung ist nicht delegierbar
NIS2 macht aus Cybersicherheit eine Führungsdisziplin. Die Geschäftsführung muss die Maßnahmen billigen, ihre Umsetzung überwachen, sich selbst schulen — und sie haftet für Versäumnisse.
Die gute Nachricht: Keine dieser Pflichten verlangt, dass Sie zum Techniker werden. Sie verlangen, dass Sie die richtigen Fragen stellen, bewusst entscheiden und das dokumentieren.
Cyber-Risiko ist delegierbar. Cyber-Verantwortung ist es nicht.