NIS2 ist die erste EU-Cybersicherheitsrichtlinie, die explizit die persönliche Haftung von Führungskräften für Cybersicherheitsversagen normiert. Das ist ein Paradigmenwechsel: Cybersicherheit war bisher primär ein IT-Thema — NIS2 macht es zu einer Chefsache mit persönlichem Haftungsrisiko.

Die Rechtsgrundlage: Art. 20 NIS2-Richtlinie

Art. 20 Abs. 1 NIS2 verpflichtet die Leitungsorgane wesentlicher und wichtiger Einrichtungen dazu, die Risikomanagementmaßnahmen nach Art. 21 zu billigen und deren Umsetzung zu überwachen. Das ist keine Delegation an die IT-Abteilung — es ist eine nicht delegierbare Pflicht der Geschäftsführung.

Art. 20 Abs. 2 verpflichtet Mitglieder des Leitungsorgans dazu, an spezifischen Schulungen zu Cybersicherheitsrisiken teilzunehmen — und entsprechende Schulungen auch für Mitarbeiter sicherzustellen.

Was bedeutet das für GmbH-Geschäftsführer in Österreich?

Das österreichische NISG 2024 setzt Art. 20 NIS2 um. Für GmbH-Geschäftsführer gilt im Zusammenspiel mit dem GmbHG:

  • Geschäftsführer haften gegenüber der Gesellschaft für Sorgfaltspflichtverletzungen (§25 GmbHG) — dazu gehört künftig auch das Versäumen von NIS2-Pflichten
  • Die Aufsichtsbehörde kann bei Verstößen gegen Art. 21 NIS2 Anordnungen direkt an das Leitungsorgan richten — und im Wiederholungsfall die vorübergehende Untersagung der Geschäftsführungstätigkeit beantragen (Art. 32 Abs. 5 NIS2 für wesentliche Einrichtungen)
  • Für wichtige Einrichtungen ist die persönliche Haftung durch Art. 33 NIS2 etwas eingeschränkt, aber Aufsichtsmaßnahmen bleiben möglich
Klarstellung: Die persönliche Haftung der Geschäftsführung greift nicht automatisch bei jedem Cyberangriff. Sie greift, wenn das Leitungsorgan seinen Billigungs- und Überwachungspflichten nicht nachgekommen ist — also wenn Cybersicherheit de facto ignoriert wurde.

Was „Billigen und Überwachen" in der Praxis bedeutet

Damit Geschäftsführer ihren NIS2-Pflichten nachkommen können, brauchen sie konkrete Governance-Strukturen:

Dokumentierte Genehmigungen

Die Sicherheitsmaßnahmen nach Art. 21 NIS2 müssen vom Leitungsorgan formell gebilligt werden — dokumentiert in Geschäftsführungs-Beschlüssen oder Vorstandsprotokollen. Eine mündliche Zustimmung ist im Streitfall wertlos.

Regelmäßige Sicherheitsberichte an die Geschäftsführung

Überwachung setzt Information voraus. Die Geschäftsführung muss regelmäßig über die Sicherheitslage, Vorfälle, Risikoentwicklungen und den Stand der Umsetzung von Maßnahmen informiert werden — idealerweise quartalsweise mit strukturiertem KPI-Reporting.

Nachweisbare Schulungsteilnahme

Art. 20 Abs. 2 NIS2 ist explizit: Mitglieder des Leitungsorgans müssen an Cybersicherheitsschulungen teilnehmen. Das muss dokumentiert sein — Datum, Inhalt, Teilnehmer.

Ressourcenbereitstellung

Die Geschäftsführung muss ausreichend Budget und personelle Ressourcen für Cybersicherheit bereitstellen. Wenn das Sicherheitsteam nachweislich um Budget gebeten hat und es nicht erhalten hat, kann das im Schadensfall zur persönlichen Haftung der Geschäftsführer führen.

Praktische Schutzmaßnahmen für Führungskräfte

  • Einführung eines ISMS nach ISO 27001 — der stärkste Nachweis für systematische Sicherheitsgovernance
  • Einrichtung einer Sicherheitsfunktion (CISO oder vCISO) mit direkter Berichtslinie zur Geschäftsführung
  • Regelmäßige Management-Reviews mit dokumentierten Entscheidungen (ISO 27001 Klausel 9.3)
  • Jährliche Cybersicherheitsschulung für alle Geschäftsführer — mit Nachweis
  • Prüfung der D&O-Versicherung: Deckt sie Haftung aus NIS2-Verstößen ab?
D&O-Versicherung: Viele D&O-Policen enthalten Ausschlüsse für wissentliche Pflichtverletzungen. Wenn ein Geschäftsführer trotz Kenntnis der NIS2-Pflichten keine Maßnahmen ergriffen hat, kann der Versicherer die Deckung verweigern. Lassen Sie Ihre Police prüfen.