NIS2 Geschäftsleiter-Haftung 2026: Was Vorstand und Aufsichtsrat persönlich tun müssen

Was Art. 20 konkret verlangt

Absatz 1: Die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen müssen die Cyber-Risikomanagement-Maßnahmen nach Art. 21 billigen, ihre Umsetzung überwachen und können für Verstöße haftbar gemacht werden.

Absatz 2: Die Mitglieder der Leitungsorgane müssen regelmäßig spezifische Schulungen absolvieren, um ausreichende Kenntnisse und Fähigkeiten für Risikobewertung und Risikomanagementpraktiken im Cyber-Bereich zu erwerben.

Die Schulungspflicht muss Mitarbeitende sinngemäß erweitert werden (Art. 20 Abs. 2 Satz 2). Das ist die Brückenpflicht zu Art. 21 Abs. 2 g) Cyber-Hygiene und Schulung.

Wer fällt unter 'Leitungsorgan'

In Deutschland klar: AG-Vorstand, GmbH-Geschäftsführung, Genossenschafts-Vorstand. Bei Mitbestimmung auch Aufsichtsrat in seiner Überwachungsrolle.

Auch faktische Geschäftsleiter (Personen die ohne Bestellung wesentliche Leitungsentscheidungen treffen, z. B. Konzern-CIO einer Tochter) können erfasst sein.

C-Level ohne Vorstandsfunktion (typischer CISO) ist in der Regel kein Leitungsorgan im Sinne von Art. 20, aber über Delegations- und Auswahlfehler kann der Vorstand mittelbar haftbar werden.

Was 'billigen' und 'überwachen' praktisch heißt

Billigung: ein dokumentierter Geschäftsleitungs- oder Vorstandsbeschluss zur Cyber-Risiko-Strategie und zum Art. 21-Maßnahmenkatalog. Nicht als Kenntnisnahme, sondern als aktive Genehmigung mit Datum, Anwesenden, Stimmen.

Überwachung: regelmäßige Berichterstattung an die Leitung (Quartal oder Halbjahr) über Reifegrad, KPIs (Incident-Zahlen, Backup-Tests, Schulungsquote), offene Risiken und Eskalationen.

Überwachung ist keine Einmal-Abnahme. Wer einen NIS2-Beschluss fällt und das Thema für drei Jahre vergisst, riskiert genau die persönliche Haftung.

Schulungspflicht: was wirklich gemeint ist

Keine 30-Minuten-Online-Awareness-Schulung. Erwartet wird ein C-Level-spezifisches Curriculum: regulatorischer Kontext (NIS2, DORA, ISO 27001, branchen-spezifisch), Risikobewertung und Risikobehandlung, Aufsichtspflicht, Vorfallsmanagement, Resilienz-Strategie, Drittanbieter-Risiko.

Die Schulung muss dokumentiert sein (Teilnehmer, Inhalte, Trainer, Bestätigung). Erneuerung in der Regel jährlich, mindestens bei wesentlichen Veränderungen.

Externe Trainer (BSI-Empfohlene, ISACA, ISC2, Universitätsweiterbildungen) sind in der Praxis üblich, weil interne Schulungen den Märkten-Vergleich nicht bestehen.

Haftungs- und D&O-Implikationen

Persönliche Haftung greift bei Verletzung der Pflichten aus Art. 20 i. V. m. Art. 21 und nationalen Umsetzungen. In Deutschland wahrscheinlich über das NIS2UmsuCG ergänzend zu §93 AktG, §43 GmbHG.

D&O-Versicherer überprüfen 2026 die NIS2-Reife der Versicherten Unternehmen. Ohne Beschluss-, Schulungs- und Überwachungs-Dokumentation drohen Prämienanhebungen, Deckungs-Ausschlüsse oder Kündigungen.

Aufsichtsräte sind ebenfalls erfasst, soweit sie die Überwachung der Geschäftsleitung nicht angemessen ausüben. Cyber-Risiko muss in der Aufsichtsrat-Agenda stehen.

Praktische 6-Schritte-Roadmap für das Leitungsorgan

1. Anwendbarkeit prüfen und dokumentieren (siehe Insight NIS2-Schwellenwerte).

2. Initialschulung des gesamten Leitungsorgans + Aufsichtsrat (oder vergleichbares Gremium).

3. Cyber-Risiko-Strategie und Art. 21-Roadmap durch förmlichen Beschluss billigen.

4. Quartals-Berichts-Format etablieren (KPIs, offene Risiken, Eskalation).

5. Top-3 Investitions-Entscheidungen als auditierbare Decision Memos (EDR/XDR, IAM, Backup, SIEM/SOC) dokumentieren.

6. Jährliche Auffrischung der Schulung und Review der Strategie.

Was DecisionOS dabei tut

Die Beschlüsse und Investitions-Entscheidungen, die Art. 20 verlangt, sind im Kern strukturierte Entscheidungen mit Stakeholder-Alignment, Evidenz und dokumentierter Verantwortlichkeit. DecisionOS produziert genau diese Memos auditfähig. Für das Leitungsorgan bedeutet das: jede materielle Cyber-Investition liegt als verteidigbarer Trail vor, der die Pflichten aus Art. 20 belegt.