Die neue Dimension: Persönliche Haftung
Das NIS2UmsuCG hat eine Regelung eingeführt, die in deutschen Compliance-Kreisen für erhebliche Aufmerksamkeit sorgt: §38 BSIG verpflichtet Leitungsorgane — also Geschäftsführer, Vorstände und andere Führungspersonen — persönlich zur Billigung, Überwachung und Umsetzung der Cybersicherheitsmaßnahmen nach §30 BSIG.
Diese Pflicht kann nicht an die IT-Abteilung delegiert werden.
Was §38 BSIG konkret fordert
§38 BSIG enthält vier Kernpflichten für Leitungsorgane:
1. Billigung der Sicherheitsmaßnahmen
Der Geschäftsführer muss die Risikomanagement-Maßnahmen nach §30 BSIG ausdrücklich billigen. Das bedeutet: Aktive Entscheidung, nicht bloße Kenntnisnahme. Eine Unterschrift unter dem ISMS-Dokument ohne inhaltliche Auseinandersetzung genügt nicht.
2. Überwachung der Umsetzung
Die Billigung ist nur der erste Schritt. GF und Vorstand müssen die tatsächliche Umsetzung der Maßnahmen überwachen. Das erfordert regelmäßige Berichte, KPIs und ein funktionierendes internes Berichtswesen.
3. Teilnahme an Schulungen
§38 Abs. 3 BSIG verpflichtet Leitungsorgane zur Teilnahme an Schulungen zu Cybersicherheitsthemen. Diese Schulungen müssen dokumentiert werden.
4. Haftung bei Verletzung
Bei Verstößen haften Leitungsorgane persönlich — nicht nur das Unternehmen. Die persönliche Haftung ist ausdrücklich nicht durch D&O-Versicherungen gedeckt, soweit der Verstoß auf vorsätzliches oder grob fahrlässiges Handeln zurückzuführen ist.
Konkrete Haftungsrisiken
Szenario 1: GF ignoriert ISMS
Ein Geschäftsführer unterzeichnet das Informationssicherheitsmanagementsystem (ISMS) ohne Prüfung. Nach einem Ransomware-Angriff stellt das BSI fest, dass grundlegende Maßnahmen nach §30 BSIG fehlten. Das BSI kann ein persönliches Bußgeld gegen den GF verhängen.
Szenario 2: Meldepflicht verletzt
Die IT-Abteilung erkennt einen erheblichen Vorfall und informiert den GF. Der GF entscheidet, auf eine BSI-Meldung zu verzichten, um Reputationsschäden zu vermeiden. Diese Entscheidung macht ihn persönlich haftbar — Bußgeld nach §65 BSIG, das direkt gegen ihn verhängt werden kann.
Szenario 3: Schulung nicht absolviert
Der GF nimmt trotz Hinweis des Compliance-Teams nicht an der vorgeschriebenen NIS2-Schulung teil. Bei einer BSI-Prüfung wird dies als Verstoß gegen §38 Abs. 3 BSIG festgestellt.
Schutzmaßnahmen für Leitungsorgane
1. Aktive Beschäftigung mit dem ISMS
Fodern Sie als GF mindestens vierteljährliche Sicherheitsberichte an. Nehmen Sie an ISMS-Reviews teil. Dokumentieren Sie Ihre Entscheidungen.
2. Klare Eskalationspflicht
Legen Sie schriftlich fest, wer bei einem Sicherheitsvorfall wie schnell informiert werden muss. Der GF muss bei erheblichen Vorfällen immer in der Meldekette sein.
3. Schulungspflicht ernst nehmen
Absolvieren Sie die Pflichtschulungen nach §38 Abs. 3 BSIG und dokumentieren Sie die Teilnahme. MeldeKette24 enthält ein Schulungsmodul für Leitungsorgane.
4. Meldeprozess vor dem Ernstfall
Definieren Sie im Voraus, wie Ihr Unternehmen auf einen erheblichen Vorfall reagiert. Wer meldet ans BSI? In welcher Zeit? Auf Basis welcher Informationen?
D&O-Versicherung: Kein vollständiger Schutz
Viele GF vertrauen darauf, dass ihre D&O-Versicherung persönliche Haftungsrisiken abdeckt. Bei NIS2-Verstößen gilt: Vorsätzliche Verstöße sind typischerweise nicht versichert, grob fahrlässige oft ausgeschlossen. Überprüfen Sie Ihre Police explizit auf NIS2-Risiken.
Fazit
§38 BSIG ist kein bürokratisches Detail — er markiert eine fundamentale Verschiebung der Haftungslogik. Cybersicherheit ist Chefsache. Wer als GF die NIS2-Compliance an die IT-Abteilung delegiert, ohne sie zu überwachen, trägt ein erhebliches persönliches Haftungsrisiko.
Der NIS2-Pflicht-Check zeigt Ihnen, ob Ihr Unternehmen unter das NIS2UmsuCG fällt.