Auf den Punkt: NIS2 macht Geschäftsführer persönlich haftbar für Cybersicherheitsmängel, nicht nur für organisatorische Verstöße.
Die NIS2-Direktive verpflichtet Geschäftsführer und Vorständler zur persönlichen Haftung bei unzureichenden Cybersicherheitsmaßnahmen. Dies markiert einen Paradigmenwechsel: Sicherheit ist keine reine Compliance-Aufgabe mehr, sondern wird zur persönlichen Verantwortung der Geschäftsleitung.
Mit der Umsetzung der NIS2-Direktive (Network and Information Security Directive 2) in deutsches Recht wird die Cybersicherheit zur persönlichen Verantwortung von Geschäftsführern und Vorständen. Die Direktive verpflichtet diese zur Rechenschaftspflicht bei Sicherheitsmängeln, die zu Ausfällen kritischer Infrastrukturen oder erheblichen Datenverlusten führen.
Für CEOs bedeutet dies konkret: Verstöße gegen NIS2-Anforderungen können strafrechtliche Konsequenzen bis zur persönlichen Haftung nach sich ziehen – unabhängig davon, ob der CEO die technische Implementierung unmittelbar verantwortet. Die Pflicht zur Due Diligence in Sicherheitsfragen wird damit zur Geschäftsleitungspflicht. Das umfasst die Überwachung von Risiken, die Bestellung von Verantwortlichen für Cybersicherheit und regelmäßige Berichte an Vorstand oder Aufsichtsrat.
Praktisch erfordert dies: Ein systematisches Sicherheitsgovernance-Modell, dokumentierte Entscheidungsfindung bei Sicherheitsinvestitionen, regelmäßige Schulung des Top-Managements zu Cybersicherheitsrisiken und nachweisbare Incident-Response-Verfahren. Audittrails und Dokumentation werden zur Pflicht – nicht als IT-Afterthought, sondern als Geschäftsprozess.
Quelle: news.google.com · Erschienen 24. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.