Vorsprung durch Wissen und Erfahrung
NIS2 / BSIG § 38 — Persönliche Haftung

NIS2-Haftung der Geschäftsleitung

§ 38 BSIG macht Cybersicherheit zur persönlichen Chefsache. Wir erklären, wann Geschäftsführer und Vorstände persönlich haften — und wie sie sich schützen.

Beratung anfragen NIS2-Übersicht
Technische & rechtliche Expertise Erfahrung aus zahlreichen NIS2-Projekten Standort Sindelfingen
§ 38 BSIG

Wofür haftet die Geschäftsleitung konkret?

§ 38 BSIG in Verbindung mit § 30 BSIG überträgt der Geschäftsleitung die Letztverantwortung für ein strukturiertes Cybersicherheits-Risikomanagement. Diese Verantwortung ist nicht delegierbar — wohl aber die operative Umsetzung.

Pflichtenkatalog der Geschäftsleitung nach § 38 BSIG

  • Risikoanalyse genehmigen und überwachen
  • Incident Response Management sicherstellen
  • Business Continuity Management verankern
  • Lieferkettensicherheit gewährleisten
  • Schulungen absolvieren (persönlich, nachweisbar)
  • Compliance-Nachweise gegenüber dem BSI erbringen
§ 38BSIG
Haftungsgrundlage
persönlichHaftung, nicht
delegierbar
Haftungsauslöser

Wann entsteht persönliche Haftung?

Verletzung der Überwachungspflicht

Die Geschäftsleitung muss nicht jede technische Maßnahme selbst umsetzen, aber die Umsetzung aktiv überwachen. Passive Ignoranz schützt nicht vor Haftung.

Fehlende Schulungsnachweise

Die Schulungspflicht nach § 38 BSIG ist ein eigenständiger Tatbestand. Fehlende Nachweise sind auch ohne Sicherheitsvorfall ein Bußgeldrisiko.

Versäumte Meldepflichten

Verspätete oder unterlassene BSI-Meldungen trotz Kenntnis von einem erheblichen Vorfall begründen persönliche Verantwortung der Leitungsebene.

Wichtig: Die persönliche Haftung gilt für Geschäftsführer, Vorstände und vertretungsberechtigte Personen — nicht nur für den CEO. Alle Mitglieder der Leitungsebene sind betroffen.

Schutzmaßnahmen

Wie die Geschäftsleitung sich wirksam schützt

Reicht es, einen CISO zu benennen und ihm die Aufgaben zu übertragen?
Nein. Die operative Umsetzung kann delegiert werden, die Letztverantwortung nicht. Die Geschäftsleitung muss die Arbeit des CISO aktiv überwachen, regelmäßige Berichte einfordern und in strategische Entscheidungen eingebunden sein. Passives Vertrauen schützt nicht vor Haftung.
Schützt eine D&O-Versicherung vor NIS2-Haftung?
D&O-Versicherungen decken in der Regel Pflichtverletzungen ab — aber nur, wenn die versicherte Person nicht vorsätzlich gehandelt hat. Bei grober Fahrlässigkeit oder bewusstem Ignorieren von Compliance-Pflichten greift die Versicherung häufig nicht. Sie ist kein Ersatz für tatsächliche Compliance.
Was ist der beste Schutz vor persönlicher Haftung?
Dokumentation, Dokumentation, Dokumentation. Wer nachweisen kann, dass er die richtigen Fragen gestellt, die richtigen Berichte erhalten, die richtigen Entscheidungen getroffen und diese nachvollziehbar begründet hat, ist erheblich besser geschützt als jemand ohne Nachweisspur. Plus: die Schulung nach § 38 BSIG regelmäßig absolvieren und belegen.
Verwandte Themen

Weiterführende NIS2-Themen

Bußgelder
NIS2-Bußgelder

Sanktionen gegen das Unternehmen und die Leitungsebene

GL-Schulung
Schulungspflicht § 38 BSIG

Schulungsnachweis als wichtigstes Schutzinstrument

Meldung
Meldepflichten

Fristen, die die Geschäftsleitung kennen muss

Audit
Internes Audit

Haftungsschutz durch lückenlose Dokumentation

Haftungsrisiken aktiv begrenzen

Wir beraten Geschäftsführer und Vorstände zu ihren persönlichen Pflichten unter NIS2 und helfen, belastbare Compliance-Dokumentation aufzubauen.

Jetzt Beratung anfragen
Tilsiter Str. 6 · D-71065 Sindelfingen · +49 (0) 7031.4181-860 · contact@consuvation.com