NIS2-Geschäftsleiterhaftung in Deutschland ist jetzt bindend

Von Editorial Team | Mai 6, 2026

Die NIS2-Geschäftsleiterhaftung ist für deutsche Geschäftsleitungen zur bindenden Realität geworden. § 38 des geänderten BSI-Gesetzes (BSIG) begründet eine persönliche und nicht delegierbare Verantwortung für Cyberrisiken auf Vorstands- und Leitungsebene — eine Verantwortung, die ohne Übergangsfrist am 6. Dezember 2025 in Kraft getreten ist. Unzureichende Aufsicht, mangelhafte Governance oder eine Geschäftsleitung, die keine angemessene Sensibilisierung und Schulung nachweisen kann, können eine persönliche Haftung nach § 38 BSIG auslösen — unabhängig davon, wo der Gesamtumsetzungsprozess aktuell steht.
Vielen deutschen Vorständen wird die NIS2-Umsetzung weiterhin als „langsam“ und „unklar“ geschildert. Diese Darstellung greift inzwischen zu kurz. Das gesetzliche Fundament steht, die materiellen Pflichten gelten, die gesetzliche Frist des BSI-Registrierungsportals ist am 6. März 2026 abgelaufen, und die Aufsicht hat erklärt, nicht registrierte Einrichtungen aktiv zu identifizieren. Dieser Beitrag zeigt, was NIS2 in Deutschland heute rechtlich von Geschäftsleitungen verlangt, wo echte Unsicherheit verbleibt und wo die praktischen Schwerpunkte liegen.

1. Wie § 38 BSIG die NIS2-Geschäftsleiterhaftung begründet

§ 38 BSIG verankert NIS2 im deutschen Gesellschaftsrecht. Die Aufsicht über Cyberrisiken ist eine Pflicht der Geschäftsleitung selbst; sie kann nicht an einen CISO, einen externen Berater oder eine Tochtergesellschaft delegiert werden. § 38 Abs. 3 BSIG geht weiter: Mitglieder der Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen sind persönlich verpflichtet, regelmäßig an Schulungen zu Cyberrisiken und Sicherheitsmaßnahmen teilzunehmen. Der deutsche Gesetzgeber hat damit eine allgemeine EU-Richtlinienpflicht in eine konkrete, individuell bindende Verpflichtung übersetzt.
Zwei deutsche Kategorien sind hier relevant. „Wesentliche Einrichtungen“ der NIS2-Richtlinie entsprechen in Deutschland den besonders wichtigen Einrichtungen nach § 28 BSIG; „wichtige Einrichtungen“ der Richtlinie entsprechen den wichtigen Einrichtungen. Beide Kategorien fallen unter § 38, doch unterscheiden sich Bußgeldhöhe und Nachweispflichten zwischen ihnen.
BSIG (konsolidierte Fassung)

2. Die Pflichten gelten bereits — es gibt keine Übergangsfrist

Genau diesen Punkt übersehen die meisten „abwartenden“ Argumente. Die materiellen Pflichten nach §§ 28, 30, 32, 38 und 65 BSIG sind ohne Übergangsfrist am 6. Dezember 2025 in Kraft getreten. Was sich noch entwickelt, sind die Aufsichtspraxis und konkrete BSI-Auslegungen — nicht die Pflichten selbst.
Einige dieser Pflichten haben feste Parameter, die Geschäftsleitungen kennen sollten:

§ 32 BSIG Meldekette: eine Erstmeldung innerhalb von 24 Stunden, eine Folgemeldung innerhalb von 72 Stunden und ein Abschlussbericht innerhalb eines Monats nach einem erheblichen Sicherheitsvorfall.
§ 39 BSIG Nachweispflicht: Besonders wichtige Einrichtungen müssen die wirksame Umsetzung innerhalb von drei Jahren nachweisen — also bis Dezember 2028.
§ 65 BSIG Bußgelder: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen; bis zu 7 Mio. € oder 1,4 % für wichtige Einrichtungen; bis zu 500.000 € speziell für eine verspätete oder unterlassene Registrierung.

BSI-Pressemitteilung: NIS-2-Umsetzungsgesetz in Kraft (5. Dezember 2025)

3. Wo Deutschland bei der Registrierung tatsächlich steht

Bis zur gesetzlichen Frist am 6. März 2026 hatten nach Auswertungen deutscher Cybersicherheitsfirmen nur rund 11.500 betroffene Organisationen die Registrierung beim BSI abgeschlossen — eine Registrierungsquote von knapp unter 40 % gegenüber der BSI-eigenen Schätzung von rund 29.500 verpflichteten Einrichtungen. Diese Lücke verteilt sich nicht gleichmäßig: Besonders niedrig sind die Registrierungsquoten bei mittelständischen Unternehmen, die bisher außerhalb von KRITIS standen und erstmals einer bundesweiten Cybersicherheitsaufsicht unterliegen.
Das BSI hat öffentlich erklärt, nicht registrierte Einrichtungen nun aktiv zu identifizieren und Bußgelder nach § 65 BSIG zu verhängen. Geschäftsleitungen, die davon ausgehen, dass den Aufsichtsbehörden die Informationen für eine Durchsetzung fehlen, sollten diese Annahme überprüfen.
Netguardia-Analyse: NIS2-Registrierungsquoten bis zur Frist am 6. März 2026

4. Das strategische Risiko ist Governance-Schuld, nicht das Bußgeld

Für die meisten Geschäftsleitungen liegt das größte NIS2-Risiko nicht im aufsehenerregenden Bußgeld. Es liegt im schleichenden Aufbau von Governance-Schuld: undokumentierte Entscheidungen, nicht erfasste Lieferantenabhängigkeiten, ungeschulte Führungskräfte und Notfallprozesse, die zuletzt vor der BSIG-Novelle überprüft wurden. Jeder einzelne Punkt lässt sich für sich aufholen, in Summe wird die Behebung jedoch teuer — und alle sind nun im Prüfpfad nach § 38 und § 39 nachvollziehbar.
NIS2 führt keine neuen Sicherheitsprinzipien ein. Managementverantwortung, risikobasierte Entscheidungen, dokumentierte Aufsicht, Vorfallsbereitschaft — all dies gilt seit Jahren als Best Practice. NIS2 macht daraus geltendes Recht, mit klar benannten Konsequenzen für die Personen am Vorstandstisch.
Compliance ist nicht mehr der Maßstab. Governance ist es.
Europäische Kommission — NIS2-Richtlinie

5. Praktische Schwerpunkte für Geschäftsleitungen

Statt auf weitere Hinweise des BSI zu warten, können Geschäftsleitungen die aktuelle Phase produktiv nutzen, indem sie an Punkten arbeiten, die sich kaum noch ändern werden.
Der erste Schwerpunkt ist die Verantwortung der Geschäftsleitung. Schriftlich festzuhalten ist, welche Leitungsrollen die Verantwortung für Cyberrisiken tragen, welche Nachweise sie regelmäßig vorlegen und wie die Schulung nach § 38 Abs. 3 BSIG erfolgt.
Der zweite Schwerpunkt ist die risikobasierte Governance. Zu identifizieren sind die kritischen Dienstleistungen und Lieferantenabhängigkeiten, deren Ausfall das Geschäft wesentlich beeinträchtigen würde — und realistische Auswirkungsszenarien sind durchzuspielen, statt sich nur auf technische Kontrollen zu konzentrieren.
Der dritte Schwerpunkt ist die Vorfallsbereitschaft entlang der Meldekette nach § 32 BSIG. Die Erstmeldung innerhalb von 24 Stunden ist kein Trockenlauf; die Frage an die Geschäftsleitung lautet, ob die richtige Eskalationskette nachts um drei Uhr, an einem Feiertag, in einer anderen Zeitzone funktioniert.
Der vierte Schwerpunkt ist die Transparenz in der Lieferkette. Kritische Dienstleister sind zu erfassen, und die Geschäftsleitung muss beantworten können, wie sich der Ausfall eines Lieferanten operativ und vertraglich auswirken würde.
DLA Piper: NIS-2-Richtlinie in Deutschland umgesetzt (11. Februar 2026)

Ausblick

Die langsamere Umsetzung in Deutschland hat verändert, wie Geschäftsleitungen mit der NIS2-Geschäftsleiterhaftung umgehen sollten. Sie hat nicht verändert, ob sie handeln müssen. Die Pflichten sind bindend, die Registrierungsfrist ist abgelaufen, die Aufsicht hat ihre Absicht signalisiert, und die NIS2-Geschäftsleiterhaftung liegt nun nach § 38 BSIG persönlich auf dem Schreibtisch jedes Mitglieds der Geschäftsleitung.
Mit einem erfahrenen Compliance-Partner lässt sich dieser Prozess verkürzen. Wenn die NIS2-Geschäftsleiterhaftung auf der Agenda Ihrer nächsten Sitzung der Geschäftsleitung steht, können Sie uns über Kontakt ansprechen, um den aktuellen Stand Ihrer Organisation zu besprechen.

Gepostet in DIESEC™ abgelegt unter § 38 BSIG, BSI-Registrierung, BSIG, Cybersicherheits-Governance, Geschäftsleiterhaftung, NIS2, NIS2 Deutschland, NIS2-Geschäftsleiterhaftung, NIS2-Umsetzung, Vorstandshaftung