„Cybersecurity ist Chefsache – jetzt nicht mehr nur als Floskel, sondern als Haftungsfalle.“
Liebe Geschäftsführer-Kollegen Ihre D&O-Versicherung deckt vieles. Aber nicht das, was seit 6. Dezember 2025 auf Sie zukommt. NIS2 hat aus Cybersecurity ein Vorstands- und Geschäftsführer-Thema gemacht – im juristischen, nicht im rhetorischen Sinne. Wer 2026 noch glaubt, das könne man „in die IT delegieren“, organisiert seine eigene persönliche Haftung.
Mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) trat eine neue Verantwortungsebene in Kraft: Geschäftsführer und Aufsichtsräte unterliegen nun gesetzlicher Haftung für Cyberrisiken. §38 BSIG verpflichtet Geschäftsleitungen, Risikomanagementmaßnahmen zu billigen, ihre Umsetzung zu überwachen und sich regelmäßig zu schulen.
Mehr als 90 Prozent der KMU schätzen ihre eigene Sicherheit als „gut“ ein. Untersuchungen des BSI deuten hingegen eher auf das genaue Gegenteil hin: Ihnen zufolge erfüllen deutsche KMU im Durchschnitt nur 56 Prozent der Basisanforderungen.
Die Differenz zwischen „90 % halten sich für sicher“ und „56 % haben die Basics im Griff“ ist der Prozentbereich, in dem Geschäftsführer-Haftung passiert. Mit durchschnittlichen Schäden selbst bei einem kleinen KMU von ca. 100.000 Euro und die D&O zahlt nicht. Wollen Sie das riskieren?
Wann haben Sie das Cyber-Risiko zuletzt im Beirat/Aufsichtsrat protokolliert behandelt – mit Beschlussfassung?
Erwartete Gegenargumente & Konter:
- „Ich verstehe von IT nichts.“ → Genau das ist der Punkt. §38 BSIG verlangt Schulungspflicht der Geschäftsleitung – nicht IT-Detailwissen, aber Risikoverständnis.
- „Wir haben einen IT-Leiter.“ → Verantwortung delegieren funktioniert seit dem KonTraG nicht mehr. Mit NIS2 ist es endgültig vorbei.
- „Bußgelder werden schon nicht so heiß gegessen.“ → Vielleicht. Aber Schadensersatzforderungen aus §43 GmbHG (Sorgfaltspflichtverletzung) durch Gesellschafter sind die unterschätzte Eskalationsstufe.
Jetzt mehr im Video erfahren:
