Zum Inhalt springen
MeldeKette24MeldeKette24

§38 BSIG: Geschäftsführerhaftung nach NIS2 — was GF jetzt tun müssen

§38 BSIG macht Geschäftsleiter persönlich haftbar für NIS2-Verstöße — mit Privatvermögen. Schulungspflicht, Amtsentzug und wie Sie sich schützen.

§38 BSIG: Was steht im Gesetz?

§38 BSIG (NIS2-Umsetzungsgesetz) regelt die persönliche Haftung der Geschäftsleitung für die Umsetzung und Überwachung von Cybersicherheitsmaßnahmen. Die Vorschrift betrifft Geschäftsführer, Vorstände und Prokuristen — kurz: alle, die tatsächliche Leitungsverantwortung tragen.

Persönliche Haftung mit Privatvermögen

Besonders gravierend: §38 BSIG sieht vor, dass Geschäftsleiter für Bußgelder aus NIS2-Verstößen persönlich haften können — auch wenn die Gesellschaft selbst haftet. Das bedeutet: Ihr Privatvermögen ist gefährdet. Klassische D&O-Versicherungen decken Compliance-Versäumnisse oft nicht ab.

Schulungspflicht: Nicht delegierbar, revisionssicher nachweisen

§38 Abs. 2 BSIG verlangt, dass Geschäftsleiter regelmäßig an Schulungen zu Cybersicherheitsrisiken und Risikomanagement-Maßnahmen teilnehmen. Diese Pflicht ist nicht delegierbar — der GF muss persönlich teilnehmen. Die Schulung muss revisionssicher dokumentiert werden: Datum, Inhalt, Dauer, Teilnehmer, Nachweis der Teilnahme.

BSI kann Amtsausübung untersagen

In schwerwiegenden Fällen kann das BSI bei besonders wichtigen Einrichtungen die Amtsausübung der verantwortlichen Geschäftsleiter vorübergehend untersagen — eine Maßnahme ohne Vorbild im deutschen Gesellschaftsrecht. Dies gilt insbesondere bei wiederholten oder schwerwiegenden Verstößen.

D&O-Versicherung und NIS2: Warum klassische Policen nicht greifen

D&O-Versicherungen (Directors & Officers) decken in der Regel Fehler bei unternehmerischen Entscheidungen ab. NIS2-Bußgelder entstehen jedoch aus der Verletzung gesetzlicher Compliance-Pflichten — und sind von vielen Policen explizit ausgeschlossen. Sprechen Sie mit Ihrem Versicherer über NIS2-spezifischen Deckungsschutz.

Was GF konkret tun müssen (Checkliste)

  • NIS2-Schulung absolvieren und revisionssicher dokumentieren (Datum, Inhalt, Dauer)
  • Cybersicherheits-Risikoanalyse genehmigen und Umsetzung überwachen
  • Meldeprozess für erhebliche Sicherheitsvorfälle einrichten und freigeben
  • BSI-Registrierung als wichtige/besonders wichtige Einrichtung veranlassen
  • Jährliche Überprüfung der Sicherheitsmaßnahmen genehmigen
  • D&O-Versicherung auf NIS2-Deckungsschutz prüfen lassen

Wie MeldeKette24 den Schulungsnachweis revisionssicher dokumentiert

Das GF-Schulungsnachweis-Modul von MeldeKette24 dokumentiert NIS2-Schulungen revisionssicher: qualifizierte elektronische Signatur der Teilnehmer, unveränderliches Audit-Log mit Zeitstempel, PDF-Export für Archiv und BSI. Damit schützen Sie Ihr Privatvermögen mit einer lückenlosen Nachweiskette.

MeldeKette24: Der BSI-Meldeketten-Wizard für den Ernstfall

Kein GRC-Overbau. Triage-Engine, Frist-Timer und BSI-PDF-Export — sofort einsatzbereit. Jetzt kostenlos in der Beta.

Kostenlosen Beta-Zugang sichern

Keine Kreditkarte · Kündigung jederzeit · Daten in Deutschland

Weiterführende Leitfäden

§32 BSIG: Die MeldeketteFunktionen: GF-SchulungsnachweisPreiseBlog: GF-Haftung §38