NIS2 Geschaeftsleiter-Haftung 2026: Was Vorstand und Aufsichtsrat persoenlich tun muessen

Was Art. 20 konkret verlangt

Absatz 1: Die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen muessen die Cyber-Risikomanagement-Massnahmen nach Art. 21 billigen, ihre Umsetzung ueberwachen und koennen fuer Verstoesse haftbar gemacht werden.

Absatz 2: Die Mitglieder der Leitungsorgane muessen regelmaessig spezifische Schulungen absolvieren, um ausreichende Kenntnisse und Faehigkeiten fuer Risikobewertung und Risikomanagementpraktiken im Cyber-Bereich zu erwerben.

Die Schulungspflicht muss Mitarbeitende sinngemaess erweitert werden (Art. 20 Abs. 2 Satz 2). Das ist die Brueckenpflicht zu Art. 21 Abs. 2 g) Cyber-Hygiene und Schulung.

Wer faellt unter 'Leitungsorgan'

In Deutschland klar: AG-Vorstand, GmbH-Geschaeftsfuehrung, Genossenschafts-Vorstand. Bei Mitbestimmung auch Aufsichtsrat in seiner Ueberwachungsrolle.

Auch faktische Geschaeftsleiter (Personen die ohne Bestellung wesentliche Leitungsentscheidungen treffen, z. B. Konzern-CIO einer Tochter) koennen erfasst sein.

C-Level ohne Vorstandsfunktion (typischer CISO) ist in der Regel kein Leitungsorgan im Sinne von Art. 20, aber ueber Delegations- und Auswahlfehler kann der Vorstand mittelbar haftbar werden.

Was 'billigen' und 'ueberwachen' praktisch heisst

Billigung: ein dokumentierter Geschaeftsleitungs- oder Vorstandsbeschluss zur Cyber-Risiko-Strategie und zum Art. 21-Massnahmenkatalog. Nicht als Kenntnisnahme, sondern als aktive Genehmigung mit Datum, Anwesenden, Stimmen.

Ueberwachung: regelmaessige Berichterstattung an die Leitung (Quartal oder Halbjahr) ueber Reifegrad, KPIs (Incident-Zahlen, Backup-Tests, Schulungsquote), offene Risiken und Eskalationen.

Ueberwachung ist keine Einmal-Abnahme. Wer einen NIS2-Beschluss faellt und das Thema fuer drei Jahre vergisst, riskiert genau die persoenliche Haftung.

Schulungspflicht: was wirklich gemeint ist

Keine 30-Minuten-Online-Awareness-Schulung. Erwartet wird ein C-Level-spezifisches Curriculum: regulatorischer Kontext (NIS2, DORA, ISO 27001, branchen-spezifisch), Risikobewertung und Risikobehandlung, Aufsichtspflicht, Vorfallsmanagement, Resilienz-Strategie, Drittanbieter-Risiko.

Die Schulung muss dokumentiert sein (Teilnehmer, Inhalte, Trainer, Bestaetigung). Erneuerung in der Regel jaehrlich, mindestens bei wesentlichen Veraenderungen.

Externe Trainer (BSI-Empfohlene, ISACA, ISC2, Universitaetsweiterbildungen) sind in der Praxis ueblich, weil interne Schulungen den Maerkten-Vergleich nicht bestehen.

Haftungs- und D&O-Implikationen

Persoenliche Haftung greift bei Verletzung der Pflichten aus Art. 20 i. V. m. Art. 21 und nationalen Umsetzungen. In Deutschland wahrscheinlich ueber das NIS2UmsuCG ergaenzend zu §93 AktG, §43 GmbHG.

D&O-Versicherer ueberpruefen 2026 die NIS2-Reife der Versicherten Unternehmen. Ohne Beschluss-, Schulungs- und Ueberwachungs-Dokumentation drohen Praemienanhebungen, Deckungs-Ausschluesse oder Kuendigungen.

Aufsichtsraete sind ebenfalls erfasst, soweit sie die Ueberwachung der Geschaeftsleitung nicht angemessen ausueben. Cyber-Risiko muss in der Aufsichtsrat-Agenda stehen.

Praktische 6-Schritte-Roadmap fuer das Leitungsorgan

1. Anwendbarkeit pruefen und dokumentieren (siehe Insight NIS2-Schwellenwerte).

2. Initialschulung des gesamten Leitungsorgans + Aufsichtsrat (oder vergleichbares Gremium).

3. Cyber-Risiko-Strategie und Art. 21-Roadmap durch foermlichen Beschluss billigen.

4. Quartals-Berichts-Format etablieren (KPIs, offene Risiken, Eskalation).

5. Top-3 Investitions-Entscheidungen als auditierbare Decision Memos (EDR/XDR, IAM, Backup, SIEM/SOC) dokumentieren.

6. Jaehrliche Auffrischung der Schulung und Review der Strategie.

Was DecisionOS dabei tut

Die Beschluesse und Investitions-Entscheidungen, die Art. 20 verlangt, sind im Kern strukturierte Entscheidungen mit Stakeholder-Alignment, Evidenz und dokumentierter Verantwortlichkeit. DecisionOS produziert genau diese Memos auditfaehig. Fuer das Leitungsorgan bedeutet das: jede materielle Cyber-Investition liegt als verteidigbarer Trail vor, der die Pflichten aus Art. 20 belegt.