VETOSEC befindet sich im Aufbau unter KWF- und EU-Förderung. Beratung und Services sind verfügbar – Early-Bird-Konditionen sichern. Mehr erfahren →

EU Co-financed

Haftung nach NIS2: Geschäftsführerhaftung und rechtliche Risiken

Veröffentlicht: 03. Dezember 2025 Aktualisiert: 06. Dezember 2025

Haftung nach NIS2 verstehen

Die NIS2-Richtlinie führt strenge Cybersicherheitsanforderungen für wesentliche und wichtige Einrichtungen in der EU ein. Ein zentraler Aspekt ist die persönliche Haftung der Leitungsorgane, einschließlich Geschäftsführer und Vorstände, für die Einhaltung der Maßnahmen zum Cybersicherheitsrisikomanagement.

Geschäftsführerhaftung

Nach NIS2 sind Leitungsorgane direkt verantwortlich für die Überwachung der Umsetzung von Cybersicherheitsmaßnahmen. Sie können für Schäden durch Nichteinhaltung oder Fahrlässigkeit haftbar gemacht werden. Dies umfasst:

  • Versäumnis, angemessene Risikomanagementmaßnahmen umzusetzen
  • Vernachlässigung der Meldepflichten bei erheblichen Cybersicherheitsvorfällen
  • Ignorieren von Schulungsanforderungen zur Identifizierung und Minderung von Cybersicherheitsrisiken

Die Haftung erstreckt sich sowohl auf Verwaltungsstrafen als auch auf zivilrechtliche Klagen, abhängig von der Schwere des Verstoßes und seiner Auswirkungen.

Wer kann klagen?

Nach NIS2 können Klagen eingereicht werden von:

  • Regulierungsbehörden: Wegen Nichteinhaltung der verpflichtenden Vorgaben
  • Dritten: Wie Kunden oder Partnern, für Schäden durch Cybersicherheitsvorfälle
  • Mitarbeitern: Wenn ihre persönlichen Daten aufgrund von Fahrlässigkeit kompromittiert werden

Wichtige Erkenntnisse

Um Haftungsrisiken zu minimieren, sollten Leitungsorgane:

  • Die Einhaltung der NIS2-Anforderungen sicherstellen
  • Alle Cybersicherheitsmaßnahmen und Entscheidungen dokumentieren
  • An regelmäßigen Cybersicherheitsschulungen teilnehmen
  • Rechts- und Technikexperten hinzuziehen, um die Compliance zu bewerten

Durch proaktives Handeln können Geschäftsführer ihre Organisationen und sich selbst vor rechtlichen und finanziellen Risiken schützen.

Understanding Liability Under NIS2

The NIS2 Directive introduces stringent cybersecurity obligations for essential and important entities across the EU. A key aspect is the personal liability of management bodies, including Geschäftsführer (managing directors) and board members, for ensuring compliance with cybersecurity risk management measures.

Geschäftsführerhaftung

Under NIS2, management bodies are directly responsible for overseeing the implementation of cybersecurity measures. They can be held liable for damages caused by non-compliance or negligence. This includes:

  • Failure to implement adequate risk management measures
  • Neglecting mandatory reporting obligations for significant cybersecurity incidents
  • Ignoring training requirements for identifying and mitigating cybersecurity risks

Liability extends to both administrative fines and civil lawsuits, depending on the severity of the breach and its impact.

Who Can Sue?

Under NIS2, lawsuits can be initiated by:

  • Regulatory authorities: For non-compliance with mandatory obligations
  • Third parties: Such as customers or partners, for damages caused by cybersecurity incidents
  • Employees: If their personal data is compromised due to negligence

Key Takeaways

To mitigate liability risks, management bodies should:

  • Ensure compliance with NIS2 requirements
  • Document all cybersecurity measures and decisions
  • Participate in regular cybersecurity training
  • Engage legal and technical experts to assess compliance

By taking proactive steps, Geschäftsführer can protect their organizations and themselves from legal and financial risks.